Il Garante della Privacy ha inflitto una multa di 25.000 euro all’Azienda Ospedaliero-Universitaria di Alessandria per una grave violazione dei dati personali avvenuta a dicembre 2022. L’incidente, originato da un attacco ransomware denominato “Ragnar Locker”, ha coinvolto informazioni sensibili di pazienti, dipendenti e consulenti, sebbene i servizi sanitari essenziali non siano stati compromessi. I criminali informatici, dopo aver esfiltrato i dati, hanno minacciato di venderli qualora non fosse stato stabilito un contatto entro tre giorni attraverso canali TOR.
L’attacco ransomware e la sicurezza inesistente
L’indagine successiva ha portato alla luce significative lacune nella sicurezza informatica dell’azienda. I sistemi software non erano aggiornati, mancavano strumenti avanzati per il monitoraggio delle reti, come i sistemi SIEM, e la segmentazione della rete risultava inefficace. Anche le VPN utilizzate per il lavoro da remoto erano prive di autenticazione multi-fattore, una misura essenziale per proteggere l’accesso ai sistemi. Inoltre, la gestione delle credenziali di accesso è stata giudicata inadeguata, contribuendo a facilitare l’attacco.
L’attacco è stato condotto sfruttando una vulnerabilità nel firewall aziendale, permettendo agli aggressori di acquisire credenziali di accesso e muoversi lateralmente all’interno della rete. Utilizzando connessioni VPN non protette, sono riusciti a ottenere privilegi amministrativi e a scaricare ulteriori credenziali memorizzate, trasferendo infine una grande quantità di dati verso uno storage esterno. Sebbene non siano stati cifrati, i dati esfiltrati rappresentavano una minaccia concreta, come indicato dalla nota di riscatto lasciata dagli aggressori.
Solo dopo l’incidente, l’azienda ha adottato contromisure, tra cui l’introduzione dell’autenticazione multi-fattore, l’aggiornamento delle VPN e una migliore segmentazione della rete. Tuttavia, queste azioni tardive evidenziano l’urgenza di migliorare la sicurezza informatica nel sistema sanitario italiano, spesso penalizzato dalla complessità tecnologica e dalla carenza di risorse adeguate.
Questo caso ribadisce la necessità di investimenti strutturali nella protezione dei dati sensibili e nella formazione del personale. La tutela della privacy e la sicurezza dei pazienti devono essere centrali per garantire la fiducia nel sistema sanitario e prevenire ulteriori episodi simili.
