Privacy violata per i pazienti di Synlab Italia: online sul darkweb migliaia di documenti e dati sensibili.
Gli hacker hanno pubblicato nel darkweb documenti e dati personali di clienti e dipendenti a seguito dell’attacco informatico alla rete di Synlab Italia, uno dei principali fornitori di servizi di diagnosi medica con sede centrale a Monza, i cui centri italiani di diagnostica medica sono distribuiti in nove regioni italiane (Qui tutti i dettagli sulla società).
Lo ha reso noto la stessa azienda con un comunicato di ieri pomeriggio: “Synlab Italia ha rilevato nel pomeriggio del 13 maggio 2024 che l’organizzazione cybercriminale indentificata da fonti aperte di matrice russa, “Black Basta”, responsabile dell’attacco informatico del 18 aprile 2024, ha pubblicato in aree del dark web in cui operano organizzazioni cybercriminali, informazioni sottratte illecitamente a Synlab Italia, compresi documenti e dati personali”.
A causa dell’aggressione cibernetica, Synlab si è vista costretta a sospendere a livello nazionale tutte le attività presso i punti prelievo (prelievi e consegna campioni), incluso il download e il ritiro dei referti. Il 20 aprile la società ha comunicato che i servizi stavano riprendendo progressivamente a meno di 24 ore dall’attacco cybercriminale.
Ma oltre ai disagi per i pazienti all’indomani dell’attacco hacker, ora arriva anche la privacy lesa.
La violazione dei dati riguarda infatti documenti come carte d’identità e passaporti ma anche analisi e referti medici. Il volume dei dati rubati ammonterebbe a 1,5 terabyte (equivalenti a 1.500 gigabyte).
La società ha aggiunto che “Synlab Ialia è in stretto contatto con le Autorità competenti ed è già al lavoro per analizzare i dati pubblicati, impegnandosi ad informare opportunamente i soggetti coinvolti in conformità alla legge”.
Tutti i dettagli.
COSA È SUCCESSO A SYNLAB
Synlab Italia “informa tutti i pazienti e i clienti di aver subito un attacco hacker ai propri sistemi informatici su tutto il territorio nazionale – spiegava il 19 aprile la società sul suo sito web – In via precauzionale, appena identificato l’attacco e secondo le procedure aziendali di sicurezza informatica, tutti i sistemi informatici aziendali in Italia sono stati immediatamente disattivati”.
“In seguito all’attacco hacker subito ai propri sistemi informatici — proseguiva Synlab nel comunicato — restano sospese a livello nazionale tutte le attività presso i punti prelievo fino a nuova comunicazione (prelievi e consegna campioni), incluso il download e il ritiro dei referti”.
Appena identificato l’attacco, “tutti i sistemi informatici aziendali in Italia sono stati immediatamente disattivati. Nelle ore successive Synlab ha provveduto alla messa in sicurezza secondo le normative vigenti dei campioni biologici già prelevati e riattivato progressivamente e in sicurezza alcune prestazioni come le visite specialistiche ambulatoriali e la fisioterapia” ha aggiunto.
ISTITUITA UNA TASK FORCE
“L’azienda ha prontamente istituito una task force, costituita da professionisti interni ed esterni, ed è al lavoro per mitigare gli impatti e ripristinare quanto prima i propri sistemi, in collaborazione con le autorità competenti – ha aggiunto – Purtroppo, a causa dell’attuale situazione, informiamo i nostri clienti e pazienti che restano sospese, fino a nuova comunicazione, tutte le attività presso i punti prelievo, i medical center e i laboratori in Italia, incluso il download e il ritiro dei referti”. Synlab si è scusata “per i disagi che stanno derivando dalla situazione” e sottolinea che “non è in grado attualmente di stabilire quando l’operatività potrà essere ripristinata”.
La task force di esperti sta analizzando “ogni singola porzione dell’infrastruttura informatica, compresi i sistemi di backup”, al fine di ripristinare quanto prima i propri sistemi in sicurezza.
DENUNCIA ALLA POLIZIA POSTALE E NOTIFICA AL GARANTE PRIVACY
L’azienda, inoltre, ha sporto denuncia alla Polizia Postale e avviato la procedura di notifica preliminare al Garante Privacy, come la normativa vigente prescrive in questi casi.
ATTACCO RIVENDICATO DA BLACK BASTA
Come riportava Cybersecitalia il 9 maggio, “i ricercatori della piattaforma Ransomfeed.it hanno rivelato che il collettivo di criminaliBlack Basta – ransomware as a Service (RaaS) emerso per la prima volta nell’aprile 2022, anche se probabilmente la fase di sviluppo era cominciata già e febbraio – ha rivendicato la responsabilità dell’attacco informatico contro Synlab, ammettendo di aver sottratto 1,5 terabyte di dati, compresi dati aziendali, documenti personali dei dipendenti, dati personali dei clienti e analisi mediche.”
ACCERTATO IL DATA BREACH E LA VIOLAZIONE DEI DATI PERSONALI A SEGUITO ATTACCO HACKER A RETE SYNLAB
Tanto che il 5 maggio l’azienda rendeva noto che “Synlab ha rilevato che l’organizzazione cybercriminale, responsabile dell’attacco informatico del 18 aprile 2024 nei confronti di Synlab Italia, sostiene di aver sottratto, facendone copia, una quantità significativa di dati, compresi quelli dei pazienti e dei clienti, con conseguente aumento del rischio della loro diffusione in futuro. Synlab informerà opportunamente tutti i soggetti interessati in conformità alla legge.
Inoltre, “la Società ha rilevato che l’organizzazione cybercriminale ha pubblicato una quantità limitata di informazioni, compresi i dati personali di alcuni individui, in aree del web in cui operano organizzazioni cybercriminali. Synlab Italia informerà queste persone interessate nella giornata di domani” concludeva il 5 maggio l’azienda sanitaria.
CHIESTO UN RISCATTO
Pertanto, i criminali informatici hanno chiesto un riscatto minacciando di pubblicare migliaia di documenti e dati sensibili di lavoratori e dei pazienti di Synlab in caso di mancato pagamento.
NON PAGATO DA SYNLAB
“Nel rispetto delle indicazioni delle Autorità, degli esperti di cybersicurezza e dei principi etici che da sempre contraddistinguono il nostro operato, Synlab conferma di non aver intrapreso alcun tipo di negoziazione, né tantomeno di aver pagato un riscatto all’organizzazione cybercriminale responsabile dell’attacco” ha informato la società il 13 maggio precisando che “Synlab rigetta fermamente l’idea di finanziare ulteriori futuri attacchi cybercriminali e criminali che minacciano le infrastrutture critiche, la privacy dei pazienti e la sicurezza nazionale”.
LA POSIZIONE DELLA SOCIETÀ
Infine Synlab ha comunicato che “continuerà ad indagare sull’attacco in collaborazione con le Autorità competenti come parte del nostro costante impegno a proteggere i nostri sistemi nel modo più efficace possibile.”
LE SCUSE
“Ci rammarichiamo del disagio che questo attacco cybercriminale ha causato ed esprimiamo il nostro più sentito ringraziamento per la pazienza e il supporto dimostrati dai nostri pazienti, clienti, fornitori e dipendenti in questo periodo” ha proseguito Synlab Italia ricordando che “chiunque entri in possesso di, o scarichi i dati illegittimamente pubblicati da terzi e/o li utilizzi per propri scopi e/o li diffonda on-line, sui social network o in altro modo – oltre ai rischi di natura informatica connessi allo scaricamento medesimo – incorre in condotte illecite che possono, nei casi previsti dalla legge, costituire reato. Per la vostra stessa protezione vi invitiamo pertanto a non scaricare e non condividere con terzi dati e/o informazioni potenzialmente riconducibili all’attacco informatico di cui sopra.”
RISCHIO MULTA PER DATA BREACH
L’attacco hacker a Synlab Italia arriva a nemmeno un mese dalla notizia che il Garante Privacy italiano ha comminato le multe a seguito dei procedimenti aperti dopo l’attacco informatico al sistema sanitario regionale del Lazio avvenuto nella notte tra il 31 luglio e il 1° agosto del 2021. Dovranno pagare rispettivamente 271mila, 120mila e 10mila euro LAZIOcrea (la società che gestisce i sistemi informativi regionali), la Regione Lazio e la ASL Roma 3. Dopo le indagini e gli accertamenti del caso, sono scattate infatti le sanzioni pecuniarie nei confronti dei tre soggetti responsabili come previsto dal Regolamento (UE) 2016/679.
Secondo la normativa sulle violazioni di dati personali (data breach), sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.