Attacco hacker subito: multa per un’Azienda sanitaria locale
Diverse le criticità importanti rilevate dal ‘Garante’ a seguito di attività ispettiva ad hoc. Acclarata la mancanza di protezione di dati personali e dati sanitari di migliaia di persone
Multa di 30.000 euro ad un’Azienda sanitaria locale napoletana, colpevole, secondo quanto appurato dal ‘Garante per la privacy’, di non aver protetto adeguatamente da attacchi hacker i dati personali e i dati sanitari di ben 842.000 soggetti, tra assistiti e dipendenti. In sostanza, la struttura sanitaria aveva subito l’attacco di un virus informatico che aveva limitato l'accesso al database della struttura sanitaria e poi richiesto un riscatto per ripristinare il funzionamento dei sistemi. Come previsto dalla normativa in materia di protezione di dati personali, l’Azienda sanitaria ha provveduto a comunicare la violazione subita al ‘Garante’ che ha immediatamente aperto un’istruttoria sull’episodio per verificare le misure tecniche e organizzative adottate dalla struttura sanitaria sia prima che dopo l’attacco hacker subito. Ebbene, diverse sono state le criticità importanti rilevate dal ‘Garante’ a seguito di attività ispettiva ad hoc: la mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali e a garantire la sicurezza delle reti, anche in violazione del principio della protezione dei dati fin dalla progettazione; l’accesso alla rete, tramite rete virtuale privata, avvenuto mediante una procedura di autenticazione basata solo sull’utilizzo di username e password; la carenza di segmentazione delle reti, con conseguente propagazione del virus all’intera infrastruttura informatica. Nel sanzionare l’illecito il ‘Garante’ ha sì tenuto conto del fatto che la violazione ha riguardato dati idonei a rilevare informazioni sulla salute di un numero molto rilevante di soggetti, ma ha anche preso atto dell’atteggiamento non intenzionale e collaborativo dell’Azienda sanitaria, che, dopo l’episodio, ha adottato una serie di misure volte non solo ad attenuare il danno subito dai soggetti coinvolti, ma anche a ridurre la replicabilità dell’evento stesso, tra le quali l’attivazione di una procedura di accesso alla rete, tramite rete virtuale privata, con doppio fattore di autenticazione. (Provvedimento del 28 settembre 2023 del Garante per la protezione dei dati personali)