ASL di Napoli subisce attacco ransomware: multa dal Garante Privacy per sicurezza inadeguata

L’Autorità Garante per la Protezione dei Dati Personali ha adottato un provvedimento sanzionatorio nei confronti di una ASL (Azienda Sanitaria Locale) di Napoli, che secondo l’Autorità non ha protetto adeguatamente i dati di assistiti e dipendenti in seguito a un attacco informatico subito in precedenza.

Lo ha reso noto lo stesso Garante della Privacy nella giornata di ieri, 23 Ottobre 2023, riportando i dettagli relativi al provvedimento del 28 Settembre 2023 (ecco il documento completo), attraverso il quale l’Autorità ha comminato alla struttura sanitaria del napoletano una multa di 30.000 euro, per misure di sicurezza ritenute inadeguate.

L’ASL in questione, ha spiegato il Garante, era stata per l’appunto interessata da un attacco hacker determinato da un malware di tipo ransomware, che aveva limitato l’accesso alla banca dati della struttura, chiedendo un riscatto per ripristinare il funzionamento dei sistemi informativi. L’attacco, a detta dell’Autorità, ha compromesso i dati personali e sanitari di un totale di 842.000 persone, tra assistiti e dipendenti.

L’azienda, come previsto dalla normativa in materia protezione di dati personali, ha provveduto a comunicare il data breach al Garante della Privacy, che ha aperto un’istruttoria sull’accaduto con l’obiettivo di verificare le misure adottate dalla ASL, sia prima che dopo aver subito l’attacco.

A seguito dell’attività ispettiva, dunque, l’Autorità ha rilevato diverse criticità nel comparto di sicurezza informatica dell’ASL napoletana, tra cui la mancata adozione di misure utili a rilevare in tempo la violazione dei dati personali nonché a garantire la sicurezza delle reti, non rispettando il principio della cosiddetta “Privacy by Design“, ossia della protezione dei dati fin dalla progettazione.

Il Garante per la Protezione dei Dati Personali, come già detto, ha quindi provveduto ad irrogare alla struttura sanitaria una sanzione di 30.000 euro. Un ammontare, ha precisato l’Autorità, stabilito tenendo conto del fatto che la violazione dei dati ha riguardato informazioni sulla salute di un numero particolarmente rilevante di interessati, ma anche della natura non intenzionale dell’accaduto e dell’atteggiamento collaborativo dimostrato dall’ASL.

Secondo quanto riportato dal Garante, dopo l’attacco informatico l’azienda ha infatti adottato una serie di misure volte ad attenuare il danno subito dalle persone coinvolte, oltre che a ridurre la replicabilità dell’evento, tra le quali l’attivazione di una procedura di accesso alla rete della struttura tramite VPN (Virtual Private Network), con autenticazione a due fattori (2FA, Two Factor Authentication).

In precedenza, in particolare, l’accesso alla rete della ASL multata dal Garante della Privacy avveniva, pur sempre tramite VPN, mediante una procedura di autenticazione basata solamente sull’utilizzo di nome utente e password.

Da quanto emerso dal provvedimento, inoltre, l’Autorità ha anche rilevato una carenza di segmentazione delle reti, segnalata come la causa della propagazione del ransomware all’intera infrastruttura informatica dell’azienda sanitaria.

Per rimanere sempre aggiornati sui nuovi post di TelefoniaTech è possibile unirsi gratis ai canali ufficiali di Telegram e Whatsapp.

Se questo post vi è piaciuto, condividetelo sui vostri social e seguite TelefoniaTech anche su Google News, Facebook, X e Instagram.

Questo post può contenere link di affiliazione, attraverso i quali ogni acquisto o ordine effettuato permette a questo sito di guadagnare una commissione. In qualità di affiliati Amazon e di altri store terzi, otteniamo una commissione sugli acquisti idonei, senza alcun costo aggiuntivo per l'utente.