Come comunicato a inizio settimana da Aoui, fin da subito “l’Azienda ha lavorato, coordinandosi con le Autorità preposte, per aggiornare gli utenti sull’evoluzione della situazione, sulle azioni messe in atto per contrastare la violazione dei dati e per implementare misure tecniche al fine di accrescere la sicurezza dei dati”.
L’Aoui non ha ceduto al ricatto degli aggressori che hanno di rimando pubblicato i dati rubati nel dark web.
Ed ecco che ora l’Azienda Ospedaliera Universitaria Integrata di Verona ha iniziato a mandare un sms ad alcuni dei pazienti coinvolti nel data breach. Nel caso in cui la violazione presenti un rischio per i diritti e le libertà delle persone, la normativa privacy prevede infatti l’obbligo di comunicazione del data breach all’interessato senza ingiustificato ritardo. Come aveva ricordato il Garante della Privacy riguardo il caso della Asl 1 abruzzese dopo che centinaia di giga di dati sanitari dei cittadini di tutta la provincia dell’Aquila sono stati pubblicati in seguito ad attacco hacker.
Tutti i dettagli.
L’ATTACCO HACKER AI DANNI DELL’AZIENDA OSPEDALIERA DI VERONA
L’attacco hacker all’Aoui ha comportato la violazione, la copia e la pubblicazione nel dark web di dati riferiti a un bacino delimitato di utenti e collaboratori (dipendenti e non) dell’azienda ospedaliera di Verona, sia di natura sanitaria che amministrativa, fa sapere l’azienda.
Inoltre, prosegue l’azienda ospedaliera veronese, “si è adoperata nell’immediato per il ripristino dei sistemi informatici, avvenuto il 24/10/2023, per cui sostanzialmente la disponibilità dei dati è sempre stata garantita grazie ai backup effettuati dall’Azienda e non si è verificata alcuna perdita di dati personali”.
Si tratta di informazioni parziali e incomplete che la task force di Aoui, costituita da competenze sanitarie, informatiche, amministrative e giuridiche, ha ricostruito grazie a un lavoro di analisi compiuta nel corso degli ultimi due mesi congiuntamente ai gruppi aziendali incaricati, aggiunge il comunicato dell’azienda ospedaliera universitaria di Verona.
LE AZIONI INTRAPRESE
Dopo aver denunciato alla Polizia Postale e al Garante per la protezione dei dati personali l’attacco hacker subito, l’azienda ospedaliera informa di aver “attivato la task force per analizzare la tipologia di dati violati al fine di informare adeguatamente i soggetti interessati coinvolti, a seconda del livello di rischio”.
LA PORTATA DEL DATA BREACH
Secondo l’analisi condotta, risulta esfiltrato poco più del 2% dell’archivio dei dati aziendali di Aoui, senza il coinvolgimento di dossier sanitario, fascicolo sanitario e cartelle cliniche elettroniche dei pazienti.
NESSUN RISCATTO PAGATO
Come spiega Aoui, l’azienda “non ha preso in considerazione la richiesta di riscatto, come peraltro accaduto in casi analoghi ai danni dei sistemi informatici di altre Aziende Sanitarie e altri Enti (appartenenti alla PA e non), del territorio italiano, e ciò ha determinato la messa in atto da parte dei criminali della minaccia di pubblicare i dati esfiltrati nel dark web”.
I DATI ESFILTRATI NELL’ATTACCO INFORMATICO ALL’AZIENDA OSPEDALIERA DI VERONA
Per quanto riguarda i dati dei pazienti alla mercé nel dark web, l’azienda precisa che “Si tratta in ogni caso di informazioni parziali e incomplete, spesso raggruppate in data base riferiti a un elevato numero di persone, il più delle volte identificate in maniera incompleta o comunque difficilmente ricostruibile in assenza di ulteriori elementi conoscitivi, che Aoui ha ricostruito grazie a un lavoro di analisi incessante e profuso”.
Nello specifico, le categorie di dati personali violati sono le seguenti: dati anagrafici; dati di contatto; dati di pagamento; dati relativi a condanne penali e reati (casellari giudiziali); dati relativi a documenti di identificazione e riconoscimento; dati relativi alla salute e dati genetici.
“In ogni caso, i contenuti esfiltrati sono perlopiù frammentari, destrutturati e non indicizzati e, pertanto, le ricerche risulterebbero comunque piuttosto complesse” puntualizza ancora la nota dell’Aoui.
Comunque, l’Aoui ha provveduto nei mesi successivi all’aggressione informatica “ad informare l’utenza secondo il Piano Strategico di Comunicazione rivolto agli interessati, sia a livello interno con newsletter indirizzate ai dipendenti che all’esterno con lettere, Faq, spazi appositi acquistati sui giornali, canali social e il portale aziendale” spiegano dalla direzione a Borgo Trento a L’Arena.
Da qui è partito anche l’invio degli sms agli utenti i cui “dati di natura sanitaria [cosiddetti rossi], caratterizzati da un alto grado di sensibilità, sono stati copiati dal gruppo hacker”, precisa Aoui sul sito. Inoltre, chi tra i pazienti «rossi» ne sentisse la necessità, Aoui ha messo a disposizione anche ilsupporto psicologico.
IL DIKTAT DEL GARANTE
Infine, l’azienda ospedaliera di Verona ricorda che, “come precisato anche dal Garante per la protezione dei dati personali in un comunicato reso a maggio dello scorso anno in occasione di un attacco simile che ha riguardato altra Azienda sanitaria italiana [la Asl 1 abruzzese già menzionata sopra], chiunque entri in possesso o scarichi i dati pubblicati nel dark web da organizzazioni criminali – e li utilizzi per propri scopi o li diffonda on-line, sui social network o in altro modo – incorre in condotte illecite che possono, nei casi previsti dalla legge, costituire reato”.
Articoli correlati
Ok di Francia e Germania alla prima fase del carro armato del futuro (Mgcs)
Sanchez in Spagna abbraccia Telefonica per arginare i sauditi
Ecco come Bruxelles accerchia la cinese Shein
Saras da Moratti a Vitol? Il governo dice ok
