Non solo il danno, ma anche la multa da parte del Garante della Privacy. Nel dicembre 2022, l’Azienda Ospedaliero-Universitaria SS. Antonio e Biagio e Cesare Arrigo di Alessandria è stata vittima di un attacco ransomware noto come “Ragnar Locker”. Questo malware, introdotto tramite un accesso remoto non sicuro, ha compromesso la riservatezza, l’integrità e la disponibilità dei dati personali di dipendenti, consulenti e pazienti. Nonostante la violazione, i servizi sanitari non sono stati interrotti, ma il danno reputazionale e tecnico è stato significativo.
Le indagini condotte dal Garante della Privacy hanno rivelato che l’infrastruttura informatica dell’ospedale presentava gravi lacune. Tra queste, l’utilizzo di software obsoleti non più supportati da aggiornamenti di sicurezza, e un sistema di monitoraggio con alert non attivi 24 ore su 24. Questi elementi hanno lasciato la rete vulnerabile, facilitando l’intrusione degli hacker e l’azione del ransomware.
Una volta penetrati nei sistemi, gli hacker hanno criptato i dati e lasciato un messaggio intimidatorio, minacciando di vendere il contenuto esfiltrato se non fossero stati contattati entro tre giorni tramite la rete TOR per negoziare un riscatto. La mancanza di protezioni adeguate ha reso l’attacco un successo per i cybercriminali, evidenziando la debolezza delle misure di sicurezza adottate.
Le conseguenze e il monito del Garante della Privacy
La sanzione di 25mila euro inflitta dal Garante della Privacy ha messo in luce la necessità di adeguare i sistemi di sicurezza delle infrastrutture sanitarie. Oltre alla multa, il report dell’Autorità ha evidenziato ulteriori criticità. Ad esempio, l’accesso remoto ai sistemi avveniva tramite una semplice combinazione di username e password, senza un’autenticazione a più fattori, considerata oggi una misura essenziale per garantire la sicurezza. Inoltre, mancava un sistema di segmentazione delle reti interne, fondamentale per impedire la propagazione di eventuali minacce tra le postazioni dei dipendenti e i server centrali.
Questo caso rappresenta un esempio emblematico di come la trascuratezza nella manutenzione tecnologica possa esporre istituzioni critiche a rischi enormi. La sanità, che gestisce dati estremamente sensibili, deve essere particolarmente vigilante. Investire in software aggiornati, sistemi di monitoraggio attivi h24 e misure di autenticazione robuste non è più un’opzione, ma una necessità.
Il Garante ha auspicato che situazioni simili non si ripetano, e che le strutture sanitarie italiane colgano questa vicenda come un’opportunità per migliorare. Con l’aumento esponenziale degli attacchi informatici, la cybersecurity deve diventare una priorità strategica. Solo così sarà possibile proteggere non solo i dati, ma anche la fiducia dei cittadini verso un sistema sanitario sicuro e tecnologicamente avanzato.
