Entra nel nostro canale Telegram
    News

    Napoli, multata l’ASL NA 3 Sud per non aver saputo proteggere i dati di 842000 tra malati e dipendenti

    Fortunato VadalaBy Updated:5 Mins Read
    Blue folder with patient reports and files.
    Entra nel canale Telegram di Decripto.org

    Il Garante della privacy ha comminato una multa da 30mila euro all’Asl Napoli 3 Sud, che ha competenza sull’area del Nolano e del Vesuviano, nella provincia di Napoli, per non aver protetto adeguatamente da attacchi hacker i dati personali e i dati sanitari di 842.000 tra assistiti e dipendenti. In particolare, il provvedimento è stato preso per l’omissione di adeguate misure di sicurezza per rilevare tempestivamente le violazioni dei dati personali e garantire la sicurezza delle reti, contravvenendo al principio della privacy by design, Il quale si può definire come protezione dei dati fin dalla progettazione nel senso che prevede che la protezione dei dati personali degli utenti sia integrata e presente lungo tutto il ciclo di progettazione del prodotto/servizio digitale.

    I fatti

    Nel gennaio 2022 l’azienda sanitaria locale ha subito un attacco hacker di tipo ransomware, il quale ha impedito l’accesso ai sistemi informatici con la richiesta da parte degli autori di un riscatto per poter ripristinarli. La multa è arrivata perché, secondo il Garante, l’Asl Napoli 3 Sud non avrebbe fatto tutto il necessario per proteggere i dati di pazienti e dipendenti. Questo episodio è stato causato da un attacco informatico perpetrato attraverso un malware di tipo ransomware, che ha colpito i sistemi info L’ASL ha dichiarato che si sono verificati malfunzionamenti dei sistemi sanitari sottesi all’erogazione dei servizi ospedalieri e di laboratorio.

    Si è appurato che l’intera infrastruttura del datacenter (server, domain controller, proxy, VPN) è stato oggetto di attacco hacker di tipo cryptolocker con attività di encryption dei dati aziendali e dei volumi virtuali che consentono il funzionamento di tutti gli applicativi aziendali e sono stati compromessi gli elenchi degli utenti di dominio con profilo di amministratore rendendo impossibili gli accessi ai sistemisti aziendali. Inoltre, è stata riscontrata su tutte le diverse postazioni la presenza di un file denominato DECRYPTION.txt con il quale viene comunicata la natura dell’attacco, il gruppo criminale “54BB47H” (Sabbath) che ha effettuato il medesimo attacco e le modalità con le quali entrare in contatto al fine di riscattare i codici per il decrypting dei file compromessi. Nello specifico, sono stati coinvolti tutti i software e dati relativi alle piattaforme applicative installate sui server virtuali del data center principale e data center disaster recovery. Inoltre, sono stati coinvolti i data center delocalizzati installati presso i quali sono installati i software applicativi del Pronto Soccorso, ADT e diagnostica per immagini. Il blocco dei data center aziendali ha causato il fermo di tutti gli applicativi aziendali di ordine sanitario e amministrativo contabile; restando funzionanti solo le applicazioni su piattaforme esterne (Regionale, SORESA, ministeriale) quali CUPR, vaccinazioni, anagrafe assistibili, 118, vaccinazioni e tamponi Covid-19.

    L’istruttoria del garante

    In base la normativa vigente, l’Asl ha informato il Garante della Privacy dell’attacco subito ed esso si è subito attivato per aprire un’istruttoria sul caso al fine di verificare le misure adottate dall’Azienda sanitaria locale sia prima che dopo il data breach (ovvero la fuga dei dati).

    Nel corso delle attività ispettive, l’ASL ha confermato la timeline e riferito che le analisi forensi hanno ricostruito la violazione a partire dai primi accessi abusivi, da IP estero, tramite VPN, con le credenziali di personale non tecnico della ASL, disponibili nel dark web. Tali credenziali sono state, poi, utilizzate per ottenere privilegi di administrator. Durante questa indagine sono state rivelate diverse criticità come la mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali e a garantire la sicurezza delle reti. Inoltre, sempre stando a quanto accertato dal Garante, la carenza di segmentazione della rete aveva fatto sì che l’attacco hacker si propagasse all’intera infrastruttura informatica. Ad esempio, l’accesso alla rete tramite VPN era possibile unicamente mediante un processo di autenticazione basato sull’uso di username e password. In aggiunta, la mancanza di una segmentazione efficace delle reti ha portato alla diffusione del virus nell’intera infrastruttura informatica. Aggravante del caso di specie, è il coinvolgimento di dati relativi alla salute.

    Le conclusioni dell’indagine

    Dall’esame delle informazioni e degli elementi acquisiti nonché della documentazione fornita dall’ASL è emerso che il trattamento è stato effettuato in violazione degli artt. 5, par. 1, lett. f), 25 e 32 del GDPR, in relazione ai seguenti profili:

    1. mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali e particolari (dati relativi alla salute);
    2. mancata adozione di misure adeguate a garantire la sicurezza delle reti.

    Per tali ragioni, sono state confermate le valutazioni preliminari dell’Ufficio rilevando l’illiceità del trattamento di dati personali effettuato dall’ASL Napoli 3 Sud, in violazione:

    1. del principio di “integrità e riservatezza”, di cui all’art. 5, par. 1, lett. f), del GDPR;
    2. del principio della “protezione dei dati fin dalla progettazione” di cui all’art. 25, par. 1, del GDPR;
    3. degli obblighi in materia di sicurezza di cui all’art. 32 del GDPR.

    Nel sanzionare l’illecito il Garante ha tenuto conto del fatto che il data breach ha riguardato dati idonei a rilevare informazioni sulla salute di un numero molto rilevante di interessati, ma anche dell’atteggiamento non intenzionale e collaborativo dell’Asl.

    Laureato in Scienze Bancarie e Assicurative ha svolto la sua attività nel campo finanziario, prima di dedicarsi al settore immobiliare. Ha sempre avuto l'hobby del giornalismo, che ha sviluppato nel tempo curando un suo blog personale, partecipando alla comunicazione del movimento contro le mafie "Ammazzatecitutti", collaborando per la testata oniline "Net1news" e corrispondente per il quotidiano "Calabria Ora". Ha collaborato con l'associazione "Garante Condominio" e la testata "Reccom Magazine" specializzata a trattare i temi della scienza e della tecnologia.

    Articoli correlati

    Entra nel nostro canale Telegram esclusivo
    VUOI SOSTENERCI?
    GOFUNDME

    Fai la tua donazione in crypto inviando a decripto.eth su qualsiasi rete EVM

    Decripto.org è una rivista giornalistica dal 01/06/2022 con la denominazione di Decripto.org, testata iscritta al registro stampa presso il Tribunale di Napoli n° 24 del 01/06/2022, R. G. n.: 4398/22 ai sensi della Legge sulla Stampa 8/2/1948 di proprietà di Decripto World s.r.l. | Via Santa Lucia 16 CAP 35020| Albignasego (PD) | P.iva. 05501570286

    ©COPYRIGHT 2022 TUTTI I DIRITTI RISERVATI. La riproduzione o la diffusione senza l’autorizzazione dell’editore sono vietate. Alle violazioni si applicano le sanzioni previste dagli artt. 171, 171-bis, 171-ter, 174-bis e 174-ter L. 633/1941. Le opere presenti in questo sito hanno assolto gli obblighi derivanti dalla normativa sui diritti d’autore e connessi.
    Facebook Twitter Instagram Telegram Github Discord
    © 2023 decripto.org