Ospedale di Alessandria colpito da hacker e sanzionato dal Garante della privacy

Ospedale di Alessandria colpito da hacker e sanzionato dal Garante della privacy

Sanzione del Garante privacy per l’ospedale di Alessandria

Il procedimento avviato dal Garante per la protezione dei dati personali nei confronti dell’Azienda Ospedaliero-Universitaria SS. Antonio e Biagio e Cesare Arrigo di Alessandria si è concluso con una sanzione di 25.000 euro. Questa multa segue un attacco informatico subito dall’ospedale nel mese di dicembre del 2021, perpetrato utilizzando il ransomware “Ragnar Locker”. Tale attacco ha generato significativi rischi per la sicurezza dei dati personali degli utenti, comprese le informazioni di dipendenti, consulenti e pazienti.

Nonostante la natura seria della violazione, i servizi sanitari non sono stati interrotti. Tuttavia, l’indagine del Garante ha rivelato che l’ospedale non aveva rispettato i requisiti di sicurezza stabiliti dal Regolamento europeo sulla protezione dei dati personali. La sanzione mira a sottolineare la necessità di una maggiore attenzione nel garantire un’adeguata protezione dei dati, un aspetto cruciale nel contesto sanitario dove la riservatezza è fondamentale.

L’ammenda, emessa nel contesto di un controllo approfondito, serve anche da monito per altre istituzioni, evidenziando l’importanza della prevenzione e della compliance rispetto alle normative vigenti. A seguito di questa decisione da parte del Garante, ci si auspica che l’ospedale implementi misure più rigorose per garantire la sicurezza dei dati e per evitare che simili incidenti possano verificarsi in futuro.

Dettagli dell’attacco informatico

La notte di dicembre 2022 è stata cruciale per l’Azienda Ospedaliero-Universitaria SS. Antonio e Biagio e Cesare Arrigo di Alessandria, quando ha avuto luogo un attacco informatico orchestrato dal gruppo hacker noto come “Ragnar Locker”. Durante questo attacco, le infrastrutture informatiche dell’ospedale sono state compromesse, dando origine a una serie di problematiche in termini di sicurezza dei dati. In particolare, molti dispositivi sulla rete dell’ospedale sono stati colpiti, presentando un messaggio di vittoria degli hacker. Questo incidente ha messo in evidenza vulnerabilità significative nei sistemi di sicurezza, che avrebbero dovuto proteggere informazioni sensibili.

Gli hacker, attraverso un avviso visibile, hanno informato gli operatori sanitari che i dati esfiltrati sarebbero stati messi in vendita al miglior offerente se non fosse stato contattato il gruppo entro tre giorni. Questo metodo di attacco ha messo in luce non solo la pericolosità del ransomware, ma anche l’enorme impatto che tali violazioni possono avere su istituzioni critiche come quelle sanitarie.

Il ransomware “Ragnar Locker” è noto per crittografare i file delle vittime e chiedere un riscatto per il ripristino. In questo caso, l’attacco ha suscitato preoccupazioni per la possibilità di compromissione della riservatezza dei dati di pazienti e personale sanitario. La reazione tempestiva della direzione dell’ospedale è stata fondamentale per contenere eventuali danni, ma le falle nei sistemi di protezione hanno rivelato necessità urgenti di adeguamenti e miglioramenti infrastrutturali.

Carenze nei sistemi di sicurezza

In seguito all’attacco informatico subìto, il Garante per la protezione dei dati personali ha evidenziato gravi lacune nei sistemi di sicurezza utilizzati dall’Azienda Ospedaliero-Universitaria SS. Antonio e Biagio e Cesare Arrigo di Alessandria. Durante l’ispezione, è emerso che l’ospedale faceva uso di software obsoleti, privi degli aggiornamenti di sicurezza necessari per la protezione dei dati. Questa situazione ha assolutamente compromesso l’integrità delle misure preventive, lasciando l’ospedale vulnerabile a ulteriori incidenti informatici.

In particolare, il Garante ha riscontrato che non erano attive soluzioni di monitoraggio in tempo reale sulla rete, con alert non operativi a copertura h24, il che ha rappresentato una criticità significativa. Inoltre, è stata evidenziata l’assenza di un sistema di autenticazione a più fattori per l’accesso remoto alla VPN, consentendo quindi accessi solo tramite username e password. Tale prassi ha reso l’infrastruttura di rete ancora più esposta a potenziali attacchi esterni.

D’altra parte, non esisteva nemmeno una strategia efficace per segmentare le reti interne, il che avrebbe potuto impedire la diffusione di malware fra i dispositivi, limitando i danni. Questi elementi di vulnerabilità hanno reso possibile l’attacco da parte del gruppo hacker, che ha sfruttato con successo le fragilità strutturali esistenti. La gravità di tali carenze nei sistemi di sicurezza non solo espone i dati sensibili al rischio di violazione, ma mette anche in discussione la fiducia degli utenti nei servizi erogati dall’ospedale, evidenziando la necessità di un intervento sistematico e radicato per rafforzare la protezione dei dati personali.

Conseguenze dell’attacco sui dati personali

Le ripercussioni dell’attacco informatico subito dall’Azienda Ospedaliero-Universitaria SS. Antonio e Biagio e Cesare Arrigo di Alessandria sono state significative non solo per l’infrastruttura tecnologica, ma anche per la riservatezza dei dati personali di un’ampia fascia di soggetti coinvolti. La compromissione dei sistemi ha messo a rischio la privacy di dipendenti, consulenti e pazienti, con possibili conseguenze legali e reputazionali per l’ospedale.

Il ransomware “Ragnar Locker” ha consentito agli hacker di esfiltrare informazioni sensibili, tra cui dati identificativi, informazioni sanitarie e dettagli finanziari. L’impossibilità di garantire la riservatezza ha sollevato allerta presso le autorità competenti, rendendo necessario l’invio di comunicazioni agli interessati sul potenziale uso illecito dei dati trapelati. L’ospedale ha dovuto avviare un monitoraggio accurato dei dati esfiltrati per valutare l’impatto sui diritti e le libertà degli interessati.

La violazione della sicurezza ha comportato anche un esame approfondito delle pratiche di gestione dei dati, spingendo l’ospedale a rafforzare le misure di sicurezza a livello normativo. Le normative europee sul trattamento dei dati personali hanno subito un’ulteriore sollecitazione, richiedendo una revisione delle politiche interne dell’ospedale e un incremento della consapevolezza tra il personale circa la protezione dei dati.

Questa situazione ha portato a un ripensamento dell’approccio alla sicurezza informatica, evidenziando l’importanza di adottare strategie robuste e piani di risposta a incidenti mirati. Le conseguenze di tale attacco non si fermano a un risarcimento economico, ma coinvolgono la credibilità e la fiducia che gli utenti ripongono nei servizi sanitari, rendendo essenziale un’azione risoluta per contenere i danni e prevenire future violazioni.

Misure adottate dopo l’incidente

In seguito all’attacco informatico e alle evidenti carenze strutturali riscontrate dai controlli del Garante privacy, l’Azienda Ospedaliero-Universitaria SS. Antonio e Biagio e Cesare Arrigo di Alessandria ha intrapreso una serie di misure correttive per migliorare la propria sicurezza informatica. Le autorità sanitarie hanno compreso l’urgenza di un aggiornamento radicale delle proprie infrastrutture, decidendo di investire in software e hardware moderni, accompagnati da regolari aggiornamenti di sicurezza.

Una delle prime azioni adottate è stata l’implementazione di un sistema di monitoraggio attivo, in grado di garantire la sorveglianza continua della rete e la rilevazione tempestiva di anomalie, per evitare situazioni critiche come quella verificatasi a dicembre 2022. Le misure includono anche la creazione di un protocollo di risposta agli incidenti per gestire in modo efficace eventuali futuri attacchi.

In aggiunta, è stata implementata l’autenticazione a più fattori per l’accesso da remoto, superando le vulnerabilità precedentemente evidenziate. Questo cambiamento rappresenta un passo fondamentale per garantire che solo utenti autorizzati possano accedere ai sistemi sensibili. La segmentazione delle reti interne è stata un’altra priorità, creando barriere tra le diverse aree per limitare la propagazione di minacce.

Il personale dell’ospedale ha subito un’intensa formazione sulla cybersecurity, per aumentare la consapevolezza riguardo alle pratiche di sicurezza e per fornire gli strumenti necessari per riconoscere segnali di attacco o comportamenti sospetti. Queste misure, partendo dalle lacune scoperte, mirano a costruire una cultura della sicurezza consapevole e pervasiva, essenziale per la protezione dei dati personali e per il mantenimento della fiducia da parte degli utenti.

Articolo editoriale realizzato dalla Redazione di Assodigitale. Per tutte le vostre esigenze editoriali e per proporci progetti speciali di Branded Content oppure per inviare alla redazione prodotti per recensioni e prove tecniche potete contattarci direttamente scrivendo alla redazione : CLICCA QUI

DIRETTORE EDITORIALE

PUBBLICITA’ – COMUNICATI STAMPA – PROVE PRODOTTI

Per acquistare pubblicità CLICCA QUI

Per inviarci comunicati stampa e per proporci prodotti da testare prodotti CLICCA QUI

#ASSODIGITALE.

PUBBLICITA’ COMUNICATI STAMPA

Per acquistare pubblicità potete richiedere una offerta personalizzata scrivendo al reparto pubblicitario.

Per pubblicare un comunicato stampa potete richiedere una offerta commerciale scrivendo alla redazione.

Per inviarci prodotti per una recensione giornalistica potete scrivere QUI

Per informazioni & contatti generali potete scrivere alla segreteria.

Tutti i contenuti pubblicati all’interno del sito #ASSODIGITALE. “Copyright 2024” non sono duplicabili e/o riproducibili in nessuna forma, ma possono essere citati inserendo un link diretto e previa comunicazione via mail.

FONTE UFFICIALE GOOGLE NEWS

#ASSODIGITALE. da oltre 20 anni rappresenta una affidabile fonte giornalistica accreditata e certificata da Google News per la qualità dei suoi contenuti.

#ASSODIGITALE. è una testata editoriale storica che dal 2004 ha la missione di raccontare come la tecnologia può essere utile per migliorare la vita quotidiana approfondendo le tematiche relative a: TECH & FINTECH + AI + CRYPTO + BLOCKCHAIN + METAVERSE & LIFESTYLE + IOT + AUTOMOTIVE + EV + SMART CITIES + GAMING + STARTUP.