/ricerca/ansait/search.shtml?tag=
Mostra meno

Se hai scelto di non accettare i cookie di profilazione e tracciamento, puoi aderire all’abbonamento "Consentless" a un costo molto accessibile, oppure scegliere un altro abbonamento per accedere ad ANSA.it.

Ti invitiamo a leggere le Condizioni Generali di Servizio, la Cookie Policy e l'Informativa Privacy.

Puoi leggere tutti i titoli di ANSA.it
e 10 contenuti ogni 30 giorni
a €16,99/anno

  • Servizio equivalente a quello accessibile prestando il consenso ai cookie di profilazione pubblicitaria e tracciamento
  • Durata annuale (senza rinnovo automatico)
  • Un pop-up ti avvertirà che hai raggiunto i contenuti consentiti in 30 giorni (potrai continuare a vedere tutti i titoli del sito, ma per aprire altri contenuti dovrai attendere il successivo periodo di 30 giorni)
  • Pubblicità presente ma non profilata o gestibile mediante il pannello delle preferenze
  • Iscrizione alle Newsletter tematiche curate dalle redazioni ANSA.


Per accedere senza limiti a tutti i contenuti di ANSA.it

Scegli il piano di abbonamento più adatto alle tue esigenze.

Sanità: il Garante Privacy sanziona un'azienda ospedaliera

Sanità: il Garante Privacy sanziona un'azienda ospedaliera

Attacco hacker per software obsoleti e alert inadeguati

ROMA, 23 dicembre 2024, 12:58

Redazione ANSA

ANSACheck
- RIPRODUZIONE RISERVATA

- RIPRODUZIONE RISERVATA

Con una sanzione di 25mila euro il Garante Privacy ha definito il procedimento aperto nei confronti di un'Azienda ospedaliero-universitaria che aveva subito un attacco hacker ai sistemi informativi nel dicembre 2022. Il data breach - causato da un malware di tipo ransomware introdotto nei sistemi attraverso l'accesso a un PC aziendale con VPN aperta - aveva comportato la perdita di riservatezza, integrità e disponibilità dei dati personali di un numero elevato di interessati. Tra questi dipendenti, consulenti e pazienti.
    La violazione non aveva però determinato il blocco dei servizi sanitari.
    L'Autorità si era attivata a seguito di una notifica dell'Azienda. Dalla documentazione trasmessa e dall'ispezione effettuata dal Garante sono emerse alcune carenze relative agli obblighi di sicurezza previsti dal Regolamento europeo, dovute all'adozione di sistemi non aggiornati e a misure inadeguate a rilevare tempestivamente le violazioni di dati e a garantire la sicurezza delle reti informatiche. In particolare, l'utilizzo di software obsoleti, per i quali non erano più previsti aggiornamenti di sicurezza e di alert non a copertura h24, hanno favorito il verificarsi dell'attacco hacker.
    Nel corso dell'istruttoria, il Garante ha inoltre accertato ulteriori omissioni riguardanti le misure di sicurezza, tra cui la mancanza di una procedura di autenticazione informatica a più fattori per l'accesso da remoto alla VPN, che invece avveniva solo attraverso l'utilizzo di username e password; e l'assenza di un sistema per segmentare e segregare le reti delle postazioni dei dipendenti, nonché i server per i trattamenti, per evitare una propagazione di virus.
   

Riproduzione riservata © Copyright ANSA

Da non perdere

Condividi

O utilizza