Gazzetta di Modena

MODENA È bastato conoscere la password di un tecnico esterno agli hacker che nel dicembre 2023 rubarono oltre un milione di dati sensibili all’Ausl di Modena relativi a pazienti e dipendenti. Già, una semplice chiave di accesso ha spalancato le porte agli hacker di Hunters International, che si sono introdotti nei server dell’azienda sanitaria copiando e pubblicando nel dark web cartelle cliniche, carte di identità, prescrizioni mediche e tanto altro, come documenti relativi agli infortuni sul lavoro.

La sanzione

A stabilirlo – sanzionando l’azienda sanitaria con una multa da 10mila euro – è il Garante per la privacy, che ha ricostruito cosa accadde quel 13 dicembre 2023.

«Il punto critico era rappresentato dagli accessi remoti. Al momento della violazione, le credenziali utilizzate per l’accesso in Vpn coincidevano con quelle impiegate per accedere ai sistemi di dominio, anche per utenti con privilegi amministrativi» commenta l’avvocata Chiara Ciccia Romito, esperta di reati informatici.

In parole povere i dipendenti, per collegarsi alla rete aziendale da remoto, utilizzavano una Vpn, la cui password era la stessa utilizzata per accedere ai sistemi aziendali. Agli hacker è bastata una password per avere accesso a una mole enorme di dati.

«Inoltre – continua l’avvocata – l’autenticazione multifattore risultava assente. In un contesto sanitario, con dati particolarmente delicati e con accessi di fornitori ai sistemi aziendali, tale configurazione ha assunto un peso centrale nella valutazione dell’autorità. A ciò si aggiungeva l’assenza di un Security Operation Center e un presidio umano limitato all’orario d’ufficio. Per un attacco ransomware, questo elemento assume un rilievo concreto. Le intrusioni informatiche possono svilupparsi in orari notturni, nei fine settimana o in fasce nelle quali il controllo operativo risulta ridotto. La capacità di individuare anomalie in tempo reale diventa quindi parte essenziale della sicurezza del trattamento». Insomma, gravi le mancanze dal punto di vista della sicurezza informatica rilevate dal Garante.

«Il Garante richiama prima la pubblicazione di 21 file e poi di circa 1,2 milioni di file, per un totale pari a 954,7 GB. Il dato quantitativo colpisce, ma il punto decisivo riguarda la natura delle informazioni coinvolte. Nel caso di una struttura sanitaria, anche un singolo documento può contenere dati capaci di rivelare patologie, prestazioni ricevute, percorsi diagnostici, condizioni fisiche o mentali, accessi ospedalieri e informazioni di estrema delicatezza».

Il dato temporale rende la vicenda ancora più significativa: «Se il riferimento fattuale è al data breach del 2023, il Gdpr era già pienamente applicabile da cinque anni. La sicurezza del trattamento non poteva più essere considerata un obbligo nuovo o incerto. Il Garante ha quindi riconosciuto la violazione del principio di integrità e riservatezza e degli obblighi di sicurezza previsti dagli articoli 5, paragrafo 1, lettera f), e 32 del GDPR. La contestazione non riguarda la sola gestione successiva dell’incidente, ma soprattutto l’assetto esistente prima dell’attacco: protezione degli accessi remoti, uso delle credenziali, assenza della Mfa, capacità di monitoraggio e rilevazione tempestiva degli eventi anomali». Il caso Ausl Modena consegna però una lezione più ampia: «nella sanità digitale, la protezione dei dati personali coincide con la tutela concreta delle persone. Dietro un file esfiltrato possono esserci pazienti, operatori, percorsi di cura, diagnosi, fragilità e informazioni che appartengono alla parte più riservata della vita individuale. La cybersecurity, quindi, non rappresenta solo un tema tecnico. È una componente essenziale dell’affidabilità dei servizi sanitari e della protezione dei diritti fondamentali. Una credenziale compromessa può aprire una porta, ma sono l’assenza di controlli ulteriori, il monitoraggio insufficiente e la debolezza dei presidi sugli accessi remoti a trasformare quella porta in un varco verso l’intero sistema» conclude l’avvocata Romito.