Periodicamente qualche evento ricorda a tutti l’importanza della cybersecurity nella Sanità. Un attacco ha mandato infatti in tilt i sistemi informatici degli ospedali Fatebenefratelli e Sacco di Milano, impattando su tutte le sedi aziendali che comprendono anche gli ospedali Buzzi e Melloni, oltre a 33 sedi territoriali. Non raggiungibile anche il sito dell’Asst 

I sistemi sono stati bloccati dalle 3 di domenica 1 maggio e improvvisamente si è dovuti tornare a registrare sul cartaceo i dati dei pazienti. “La soluzione del problema non ha al momento tempi definibili” riferiscono dagli ospedali che hanno allertato i servizi di sicurezza informatici regionale e la Polizia Postale che hanno inviato sul posto i propri specialisti per supportare le attività dei tecnici. Intanto il personale non può accedere alle cartelle cliniche archiviate nel sistema, visto che tutti i dati sono stati criptati. 

L’attacco, probabilmente proveniente dall’estero, sarebbe di tipo ransomware con una richiesta di riscatto di 1,8 milioni, secondo indiscrezioni raccolte da Repubblica. Il presidente della Regione Lombardia Attilio Fontana, ha dichiarato che “Pare che la polizia abbia aperto una mail e dentro ci fosse una richiesta di riscatto”, ma “Noi non abbiamo pagato e non abbiamo nessuna intenzione di pagare alcunché”. 

Nessuna sottrazione di dati personali

Secondo una nota della Direzione Welafare della Regione Lombardia “il personale sanitario del Pronto Soccorso ha riscontrato un malfunzionamento sui sistemi informatici e ha attivato il servizio di reperibilità dei Sistemi Informativi dell’Asst. Si è quindi deciso di intervenire direttamente sul posto dove erano state riscontrate le anomalie sull’infrastruttura applicativa dell’Asst, interrompendo i servizi a protezione dell’intera infrastruttura e dei dati, considerato anche l’orario notturno.  Il disservizio è stato causato da un attacco informatico di tipo ransomware, con inutilizzabilità parziale dell’infrastruttura tecnologica”. 

I Sistemi Informativi, continua la nota, hanno avviato immediatamente le attività tecniche di analisi per determinare con certezza il perimetro dell’attacco e i sistemi che sono stati resi indisponibili allo scopo di definire una strategia per il ripristino nel minor tempo possibile. Dalle attività di analisi è emerso che l’attacco ha riguardato l’infrastruttura applicativa che ha reso indisponibili i sistemi agli utilizzatori ma non si è estesa alle principali banche dati aziendali. “Al momento non si ha alcuna evidenza dell’avventa sottrazione di dati personali”. 

Questa è una preoccupazione molto forte per le vittime delle ultime ondate di ransomware caratterizzate dalla cosiddetta “doppia minaccia”: oltre a quella della perdita dei dati, i criminali minacciano anche di vendere o diffondere in pubblico i dati sottratti, creando un danno per la proprietà intellettuale, l’immagine e persino sanzioni per infrazioni relative al GDPR. 

“Individuata la tipologia e vastità dell’attacco è stata avviata la procedura di progressivo ripristino dei servizi. Le procedure di ripristino hanno comportato la reinstallazione completa degli ambienti di gestione applicativa e il progressivo recupero dei servizi dalle copie di backup che l’Azienda teneva su supporti dedicati e non intaccati dall’attacco. L’infrastruttura applicativa è stata rispristinata il giorno dell’attacco e gli ambienti applicativi specifici sono attualmente in fase di progressivo ripristino mettendo in atto ogni verifica necessaria ad assicurare la assoluta integrità e sicurezza dei sistemi. Tale attività è particolarmente delicata e richiede molta attenzione per mettere in condizione il personale di disporre dei servizi nel minor tempo possibile assicurandone la sicurezza. I primi servizi applicativi saranno ripristinati ed attivati progressivamente nel corso della corrente giornata”.

Sempre secondo la Regione i danni dell’attacco sono stati mitigati dalle azioni che l’Asst ha messo in atto nei mesi scorsi per innalzare il livello di sicurezza dei servizi attraverso l’implementazione di tecnologie specifiche e di procedure di backup adeguate.  

Misure che, se permetteranno probabilmente di recuperare i dati, non sono riuscite però a impedire l’attacco in modo preventivo.