Con una sanzione di 25mila euro il
Garante Privacy ha definito il procedimento aperto nei confronti
di un'Azienda ospedaliero-universitaria che aveva subito un
attacco hacker ai sistemi informativi nel dicembre 2022. Il data
breach - causato da un malware di tipo ransomware introdotto nei
sistemi attraverso l'accesso a un PC aziendale con VPN aperta -
aveva comportato la perdita di riservatezza, integrità e
disponibilità dei dati personali di un numero elevato di
interessati. Tra questi dipendenti, consulenti e pazienti.
La violazione non aveva però determinato
il blocco dei servizi sanitari.
L'Autorità si era attivata a seguito di una notifica
dell'Azienda. Dalla documentazione trasmessa e dall'ispezione
effettuata dal Garante sono emerse alcune carenze relative agli
obblighi di sicurezza previsti dal Regolamento europeo, dovute
all'adozione di sistemi non aggiornati e a misure inadeguate a
rilevare tempestivamente le violazioni di dati e a garantire la
sicurezza delle reti informatiche. In particolare, l'utilizzo di
software obsoleti, per i quali non erano più previsti
aggiornamenti di sicurezza e di alert non a copertura h24, hanno
favorito il verificarsi dell'attacco hacker.
Nel corso dell'istruttoria, il Garante ha inoltre accertato
ulteriori omissioni riguardanti le misure di sicurezza, tra cui
la mancanza di una procedura di autenticazione informatica a più
fattori per l'accesso da remoto alla VPN, che invece avveniva
solo attraverso l'utilizzo di username e password; e l'assenza
di un sistema per segmentare e segregare le reti delle
postazioni dei dipendenti, nonché i server per i trattamenti,
per evitare una propagazione di virus.
Riproduzione riservata © Copyright ANSA