Notizia di oggi è la sanzione del Garante privacy di 30.000 euro all’ Asl Napoli 3 Sud per non aver protetto adeguatamente da attacchi hacker i dati personali e i dati sanitari di 842.000 tra assistiti e dipendenti. La struttura sanitaria aveva subito un attacco ransomware che attraverso un virus aveva limitato l’accesso al data base della struttura sanitaria e richiesto un riscatto per ripristinare il funzionamento dei sistemi.
Un ransomware è un tipo di software dannoso (malware) progettato per bloccare l’accesso a un computer o ai suoi dati cifrandoli. Gli autori del ransomware quindi richiedono un riscatto (un “ransom” in inglese, da cui il nome) alle vittime per fornire la chiave o il metodo per sbloccare i dati o il dispositivo. In breve, è un attacco informatico che prende in ostaggio i tuoi dati o il tuo computer finché non paghi un riscatto. La crittografia rende i dati incomprensibili a chiunque non sia autorizzato a accedervi, fornendo una sicurezza aggiuntiva durante la trasmissione o lo stoccaggio dei dati sensibili. Quando si dispone della chiave corretta o dell’algoritmo di decrittografia, è possibile riportare i dati al loro stato originale e leggibile.
Come previsto dalla normativa in materia protezione di dati personali, l’Asl aveva provveduto a comunicare l’incidente (il data breach) al Garante che ha immediatamente aperto un’istruttoria sull’accaduto per verificare le misure tecniche e organizzative adottate dalla ASL, sia prima che dopo l’attacco subito.
Diverse le importanti criticità rilevate dal Garante a seguito dell’attività ispettiva, come la mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali e a garantire la sicurezza delle reti, anche in violazione del principio della protezione dei dati fin dalla progettazione (privacy by design). L’accesso alla rete tramite VPN avveniva infatti mediante una procedura di autenticazione basata solo sull’utilizzo di username e password. Inoltre, la carenza di segmentazione delle reti aveva
causato la propagazione del virus all’intera infrastruttura informatica. Una VPN, acronimo di “Virtual Private Network” (Rete Virtuale Privata), è un servizio o una tecnologia che crea una connessione sicura e criptata tra il dispositivo (come un computer, uno smartphone o un tablet) e un server remoto in una posizione geografica diversa. Questa connessione sicura attraverso la VPN consente di navigare in Internet o accedere a risorse di rete in modo più privato e sicuro.
Nel sanzionare l’illecito il Garante ha tenuto conto del fatto che il data breach ha riguardato dati idonei a rilevare informazioni sulla salute di un numero molto rilevante di interessati, ma anche dell’atteggiamento non intenzionale e collaborativo della Asl.
Dopo l’accaduto, l’azienda ha adottato una serie di misure volte non solo ad attenuare il danno subito dagli interessati, ma anche a ridurre la replicabilità dell’evento stesso, tra le quali l’attivazione di una procedura di accesso alla rete tramite VPN con doppio fattore di autenticazione. Quando una VPN è configurata con il doppio fattore di certificazione, significa che per accedere alla VPN, l’utente deve fornire non solo una password (o una chiave di accesso), ma anche un secondo elemento di verifica, come un codice generato da un’app di autenticazione sul proprio dispositivo mobile.