Sanzione del Garante Privacy a un’azienda ospedaliera

Il Garante Privacy ha concluso un procedimento aperto nei confronti di un’Azienda ospedaliero-universitaria che aveva subito un attacco hacker ai sistemi informativi nel dicembre 2022, comminando una sanzione di 25mila euro.

Il data breach era stato determinato da un malware di tipo ransomware introdotto nei sistemi attraverso l’accesso a un PC aziendale con VPN aperta – aveva comportato la perdita di riservatezza, integrità e disponibilità dei dati personali di un grande numero di persone, tra cui dipendenti, consulenti e pazienti.

La violazione non aveva però avuto come conseguenza il blocco dei servizi sanitari: l’Autorità si era attivata a seguito di una notifica dell’Azienda. La documentazione trasmessa e l’ispezione svolta dal Garante avevano evidenziato carenze relative agli obblighi di sicurezza previsti dal Regolamento europeo, dovute all’adozione di sistemi non aggiornati e a misure inadeguate a rilevare tempestivamente le violazioni di dati e a garantire la sicurezza delle reti informatiche. In particolare, l’utilizzo di software obsoleti, per i quali non erano più previsti aggiornamenti di sicurezza e di alert non a copertura h24, hanno favorito il verificarsi dell’attacco hacker.

Nel corso dell’istruttoria, il Garante ha inoltre accertato ulteriori omissioni relative a misure di sicurezza, tra cui la mancanza di una procedura di autenticazione informatica a più fattori per l’accesso da remoto alla VPN, che invece avveniva solo attraverso l’utilizzo di username e password; e l’assenza di un sistema per segmentare e segregare le reti delle postazioni dei dipendenti, nonché i server per i trattamenti, per evitare una propagazione di virus.