Oltre il danno, anche la beffa. É così che un’azienda sanitaria AUSL di Modena ha ricevuto una sanzione dall’Autorità Garante per la protezione dei dati (GPDP) dopo essersi ritrovata vittima di un attacco hacker ai sistemi informativi, a seguito di un malware di tipo ransomware sferzato dall’attore malevolo Hunters International.

L’attacco informatico è consistito nel “bucare” i sistemi, esfiltrando oltre un milione di file contenenti dati sanitari, per poi pubblicarli nel dark web. Vediamo cos’è accaduto e perché l’Autorità Garante ha comminato una sanzione all’AUSL di Modena.

L’attacco hacker all’AUSL di Modena

L’AUSL di Modena ha notificato al Garante la violazione dei dati a causa di un attacco hacker che ha determinato a sua volta la pubblicazione sul dark web di 21 file esfiltrati dai sistemi dell’Azienda e successivamente di 1,2 milioni di file (per un totale di 954,7 GB) contenenti dati sanitari, di natura particolare e quindi altamente (ex) sensibili.

Non solo. Dagli accertamenti ispettivi è emerso anche che il sistema SIEM in uso presso l’Azienda sanitaria in parola, al momento dei fatti, non effettuava né una correlazione avanzata dei diversi eventi di sicurezza né aveva configurato sistemi di alert volti a segnalare o bloccare con tempestività eventi anomali come: accessi sospetti, creazione di utenze privilegiate, generazione di file malevoli o alterazioni delle chiavi di registro.

Con l’aggiunta di un presidio (umano) carente o comunque limitato all’orario d’ufficio, a maggior ragion in assenza dell’attivazione di un Security Operation Center (SOC).

Le dinamiche del cyber attacco

Dalla lettura del provvedimento in questione e in particolare del “Report Incidente”, si evincono le varie fasi dell’attacco, e cioè che “l’attaccante è presumibilmente entrato nella rete dell’Azienda attraverso credenziali VPN utilizzate da un tecnico sistemista che svolgeva assistenza sulle postazioni di lavoro, tramite l’host” da cui poi è avvenuta l’esfiltrazione.

Ciò nonostante, si legge testualmente nel provvedimento, “l’erogazione dei servizi verso l’utenza e la somministrazione delle prestazioni sanitarie non ha subito interruzioni, sebbene con rallentamenti dovuti al mancato supporto degli strumenti tecnologici.

L’attività dei centri prelievi (laboratori) è stata comunque garantita per i pazienti interni ricoverati e la sua riattivazione per i pazienti esterni è stata individuata come prioritaria, anche con il recupero delle prestazioni prenotate e non erogate”.

Naturalmente vista la dinamica di data breach, l’azienda sanitaria in questione ha ritenuto doveroso notificare l’accaduto al Garante.

I dati esfiltrati, il numero degli interessati e la portata del data
breach

Per quanto attiene al numero di interessati, leggiamo sempre nel provvedimento del Garante, ha riguardato dati, come detto, sanitari, contenuti in “due asset (che) fungevano da file server con cartelle personali dei dipendenti e cartelle di reparto o servizio create su richiesta dal responsabile con opportuni diritti di accesso”. Non poco.

Di qui, la portata della violazione per l’appunto non indifferente.

Ancora, con riferimento ai server e alle postazioni di lavoro, l’AUSL ha puntualizzato che “sono state colpite le postazioni delle radiologie in quanto queste erano, e sono tuttora, gestite da un diverso fornitore (FUJI) ed erano dotate di un antivirus che non ha bloccato l’attacco”.

La sanzione del Garante all’AUSL

Il Garante dopo aver condotto la sua attività ispettiva, consistita prevalentemente nell’accertare le misure di sicurezza e, nella fattispecie, procedure di autenticazione utilizzate nell’ambito dell’accesso in VPN e alle postazioni di lavoro, e le “password policy” previste per le diverse tipologie di utenze, perviene al convincimento dell’irrogazione di una sanzione pecuniaria.

Tanto più che nel corso dell’istruttoria è chiaramente emerso come difettassero procedure di “autenticazione informatica a più fattori” (MFA).

Il ragionamento

L’Autorità argomenta la sanzione partendo dal presupposto di cui all’art. 5, par. 1, lett. f), del Regolamento (GDPR) il quale stabilisce che i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.

Tale principio deve essere letto in combinato disposto con l’art. 32 del GDPR, concernente la sicurezza del trattamento.

Quest’ultimo, come noto, stabilisce che “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (…)” (par. 1) e che “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (par. 2). In pratica, ciò che è avvenuto nel caso di specie.

Una lezione per tutti

Da questa sanzione, per quanto non contenuta nell’importo irrogato (10k), si impara che le misure di sicurezza devono essere adeguate in base al contesto e pertanto robuste specie in taluni settori come quello sanitario.

E lo devono essere prima che avvenga un breach. Senza contare che in questo le “Linee guida n. 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del GPDR” adottate dall’EDPB bene chiariscono che “la capacità di individuare, trattare e segnalare tempestivamente una violazione deve essere considerata un aspetto essenziale” delle misure tecniche e organizzative che il titolare e pro quota anche il responsabile del trattamento devono mettere in atto al fine di garantire un livello adeguato di sicurezza dei dati personali.