Il Garante per la protezione dei dati personali ha inflitto una sanzione di 25.000 euro all’Azienda Ospedaliero-Universitaria SS. Antonio e Biagio e Cesare Arrigo di Alessandria per la violazione del GDPR (Regolamento generale sulla protezione dei dati). In seguito ad un attacco ransomware sono state sottratte informazioni di pazienti, dipendenti e consulenti.
Gravi carenze di sicurezza
L’attacco informatico è avvenuto a dicembre 2022. I cybercriminali hanno installato su molti PC dell’azienda ospedaliera il ransomware Ragnar Locker e successivamente minacciato di vendere i dati esfiltrati entro tre giorni, se non ci fosse stato un contatto su canale Tor per istruzioni. Non sono stati compromessi software e servizi all’utenza.
L’intrusione nella rete interna è avvenuta sfruttando una vulnerabilità del firewall aziendale. I cybercriminali hanno quindi recuperato alcune credenziali di dominio, effettuato l’accesso ad un PC con VPN aperta, ottenuto privilegi di amministratore, scaricato le credenziali LSASS, esfiltrato i dati da un server posizionato in Olanda e installato una backdoor SSH. Dopo aver disattivato l’antivirus hanno installato il ransomware.
In seguito all’indagine, il Garante della privacy ha rilevato diverse carenze di sicurezza: mancata adozione di misure per rilevare tempestivamente la violazione dei dati personali, mancata adozione di misure per garantire la sicurezza delle reti e obsolescenza dei software installati su alcuni sistemi (non erano più disponibili aggiornamenti).
Ulteriori omissioni rilevate sono: mancanza dell’autenticazione multi-fattore per l’accesso da remoto alla VPN e assenza di un sistema per segmentare le reti delle postazioni dei dipendenti e dei server per evitare la propagazione dei malware. Considerato il tipo di dati personali, il numero di interessati coinvolti e l’assenza di reclami da questi ultimi, il Garante ha inflitto una sanzione di 25.000 euro.