Azienda ospedaliera: sanzione per data breach

Azienda ospedaliera: sanzione per data breach

L'azienda ospedaliera di Alessandria dovrà pagare una sanzione di 25.000 euro per il data breach subito a fine 2022 tramite attacco ransomware.
Azienda ospedaliera: sanzione per data breach
L'azienda ospedaliera di Alessandria dovrà pagare una sanzione di 25.000 euro per il data breach subito a fine 2022 tramite attacco ransomware.

Il Garante per la protezione dei dati personali ha inflitto una sanzione di 25.000 euro all’Azienda Ospedaliero-Universitaria SS. Antonio e Biagio e Cesare Arrigo di Alessandria per la violazione del GDPR (Regolamento generale sulla protezione dei dati). In seguito ad un attacco ransomware sono state sottratte informazioni di pazienti, dipendenti e consulenti.

Gravi carenze di sicurezza

L’attacco informatico è avvenuto a dicembre 2022. I cybercriminali hanno installato su molti PC dell’azienda ospedaliera il ransomware Ragnar Locker e successivamente minacciato di vendere i dati esfiltrati entro tre giorni, se non ci fosse stato un contatto su canale Tor per istruzioni. Non sono stati compromessi software e servizi all’utenza.

L’intrusione nella rete interna è avvenuta sfruttando una vulnerabilità del firewall aziendale. I cybercriminali hanno quindi recuperato alcune credenziali di dominio, effettuato l’accesso ad un PC con VPN aperta, ottenuto privilegi di amministratore, scaricato le credenziali LSASS, esfiltrato i dati da un server posizionato in Olanda e installato una backdoor SSH. Dopo aver disattivato l’antivirus hanno installato il ransomware.

In seguito all’indagine, il Garante della privacy ha rilevato diverse carenze di sicurezza: mancata adozione di misure per rilevare tempestivamente la violazione dei dati personali, mancata adozione di misure per garantire la sicurezza delle reti e obsolescenza dei software installati su alcuni sistemi (non erano più disponibili aggiornamenti).

Ulteriori omissioni rilevate sono: mancanza dell’autenticazione multi-fattore per l’accesso da remoto alla VPN e assenza di un sistema per segmentare le reti delle postazioni dei dipendenti e dei server per evitare la propagazione dei malware. Considerato il tipo di dati personali, il numero di interessati coinvolti e l’assenza di reclami da questi ultimi, il Garante ha inflitto una sanzione di 25.000 euro.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
24 dic 2024
Link copiato negli appunti