Il Garante privacy ha sanzionato con 30mila euro l’ASL Napoli 3 Sud per non aver protetto adeguatamente da attacchi hacker i dati personali e i dati sanitari di 842.000 tra assistiti e dipendenti. La struttura sanitaria aveva subito un attacco ransomware che attraverso un virus aveva limitato l’accesso al data base della struttura sanitaria e richiesto un riscatto per ripristinare il funzionamento dei sistemi.

Come previsto dalla normativa in materia protezione di dati personali, l’Asl aveva provveduto a comunicare il data breach al Garante che ha immediatamente aperto un’istruttoria sull’accaduto per verificare le misure tecniche e organizzative adottate dalla Asl sia prima che dopo l’attacco subito. Diverse le importanti criticità rilevate dal Garante a seguito dell’attività ispettiva, come la mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali e a garantire la sicurezza delle reti, anche in violazione del principio della protezione dei dati fin dalla progettazione (privacy by design).

L’accesso alla rete tramite Vpn avveniva infatti mediante una procedura di autenticazione basata solo sull’utilizzo di username e password. Inoltre, la carenza di segmentazione delle reti aveva causato la propagazione del virus all’intera infrastruttura informatica.

g7-garante-privacy (1)

Autenticazione a più fattori

In particolare, nel corso delle attività ispettive, l’Azienda ha chiarito che “gli utenti che si avvalevano della Vpn erano circa 1200, che non era prevista una procedura di autenticazione a più fattori e che l’autenticazione veniva effettuata mediante le credenziali di dominio […]”, che “le credenziali riconducibili ai medici di medicina generale erano censite in Active Directory in uno specifico gruppo per cui era impedito interactive logon consentendo solo l’utilizzo di uno specifico applicativo dedicato ai medesimi Mmg esposto in Vpn”, che “all’epoca dell’incidente era prevista una diversa password policy per le utenze dei sistemisti administrator dei server”, che “all’epoca dell’incidente , non era attivo il meccanismo di password history per impedire il riutilizzo delle password”.

Per quanto riguarda le misure tecniche e organizzative adottate per garantire la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, nonché il ripristino tempestivo della disponibilità e dell’accesso dei dati personali in caso di incidente, l’Azienda ha dichiarato che “non c’è una procedura formalizzata e che il backup dei dati e dei sistemi aziendali è effettuato “full” una volta a settimana e “incrementale” gli altri giorni” e che “l’Azienda al momento della violazione non disponeva di un piano di rispristino dei diversi servizi con particolare riguardo a quelli definiti “critici” e che, a seguito dell’incidente, ha predisposto una proposta di piano di ripristino che la direzione aziendale ha approvato”.

Nel sanzionare l’illecito il Garante ha tenuto conto del fatto che il data breach ha riguardato dati idonei a rilevare informazioni sulla salute di un numero molto rilevante di interessati, ma anche dell’atteggiamento non intenzionale e collaborativo della Asl. Dopo l’accaduto, l’azienda ha adottato una serie di misure volte non solo ad attenuare il danno subito dagli interessati, ma anche a ridurre la replicabilità dell’evento stesso, tra le quali l’attivazione di una procedura di accesso alla rete tramite Vpn con doppio fattore di autenticazione.