Il Garante Privacy sanziona un’azienda ospedaliera dopo l’attacco ransomware: favorito dai software obsoleti

Al momento stai visualizzando Il Garante Privacy sanziona un’azienda ospedaliera dopo l’attacco ransomware: favorito dai software obsoleti

Il Garante ha sanzionato un’azienda ospedaliera a seguito di un attacco informatico di tipo ransomware: i sistemi non erano stati aggiornati adeguatamente ed erano presenti molte vulnerabilità.

La vicenda

Nel dicembre 2022, un’azienda ospedaliera ha subito un attacco informatico di tipo ransomware. L’attacco, portato dal gruppo ransomware chiamato “Ragnar Locker” ha esposto molti dati sensibili e personali. Ricordiamo che un attacco ransomware prevede, ormai, due fasi:

  • l’esfiltrazione dei dati presenti nei sistemi attaccati (furto dei dati);
  • la criptazione dei dati, così da renderli illeggibili al legittimo proprietario.

Gli attaccanti chiedono poi due riscatti: uno per non pubblicare i dati rubati, l’altro per riportare in chiaro i file. Per questi motivi, ogni attacco ransomware è da considerarsi anche un data breach. Di conseguenza, ogni azienda che subisce un attacco ransomware ha l’obbligo di comunicarlo al Garante entro le 72h dalla scoperta dell’incidente.

L’azienda ospedaliera ha correttamente comunicato al Garante Privacy la violazione dei dati personali. L’ospedale, fortunatamente, non ha subito disservizi o blocchi dei servizi sanitari.

Per saperne di più > Ransomware e data breach: cosa succede quando un attacco informatico “buca” un’organizzazione

L’istruttoria del Garante Privacy

Ricevuta la segnalazione di data breach, il Garante ha ritenuto necessario approfondire la vicenda con apposita istruttoria dato l’alto numero di interessati coinvolti. Il punto di origine dell’attacco sembra essere lo sfruttamento di una vulnerabilità nel firewall aziendale. Sembra, sottolineiamo, perché il Garante ha accertato già una prima mancanza nell’assetto di sicurezza informatica dell’azienda ospedaliera, ovvero la mancata implementazione di un sistema di log management.

Dallo sfruttamento di questa falla, gli attaccanti hanno recuperato alcune credenziali di dominio e operato movimenti laterali lungo la rete aziendale. Sono così riusciti ad accedere ad un PC aziendale con VPN aperta ed eseguito l’escalation dei privilegi ad amministratore. Hanno proceduto quindi al furto delle credenziali memorizzate nel servizio LSASS (che si occupa proprio di gestire le autenticazioni a computer e server Windows) e al download di tutti i dati presenti nel file server su storage sito in Olanda. In ultimo hanno installato una backdoor, ovvero un accesso abusivo ai sistemi attivabile a distanza e in qualsiasi momento. Una volta disattivato l’antivirus aziendale, gli attaccanti hanno potuto facilmente diffondere il ransomware.

Il Garante ha potuto verificare, inoltre, come tutte le cartelle del file server fossero accessibili da qualsiasi postazione di lavoro dell’ospedale.

Le falle nei sistemi che hanno portato l’azienda ospedaliera a subire l’attacco ransomware

L’azienda aveva già dichiarato di non aver dovuto affrontare interruzioni dei servizi, se non piccole problematiche interne che non hanno bloccato l’attività ospedaliera. Ha dichiarato anche, però, di non essere in condizione di stimare il numero di interessati coinvolti. Tra i dati esposti figurano comunque nomi e cognomi, nonché dati santari.

Ma ciò su cui più l’autorità garante ha voluto concentrarsi è stato il tema delle misure di sicurezza implementate. E qui le carenze riscontrate nei sistemi sono state molteplici.

  • l’assenza di un sistema di log management;
  • nessuna misura di sicurezza per limitare l’accesso a LSASS;
  • assenza di procedure di autenticazione a più fattori;
  • password condivise tra più utenti;
  • assenza di misure come la segmentazione di rete;
  • utilizzo di protocolli di comunicazione obsoleti;
  • molteplici utenti con privilegi massimi di amministrazione sui database;
  • l’uso di software obsoleti e per i quali non erano più previsti aggiornamenti di sicurezza.

Ricordiamo come, invece, il GDPR sottolinei l’importanza di tali misure come elementi fondamentali per garantire un livello adeguato di protezione dei dati personali. Essere in grado di individuare, gestire e segnalare prontamente una violazione rappresenta, infatti, l’unico modo per assicurare la tutela dei dati.

Il Garante Privacy sanziona l’azienda ospedaliera nonostante l’attacco ransomware

L’episodio testimonia che subire un attacco ransomware non esime dalle responsabilità di protezione dati, dal momento che anche l’azienda ospedaliera che ha subito l’attacco ha avuto delle responsabilità nella vicenda. Nonostante il carattere non intenzionale della violazione, infatti, il Garante ha ritenuto che l’azienda avrebbe dovuto verificare maggiormente il livello di sicurezza posto a protezione dei dati personali.

Inoltre, i dati coinvolti sono stati classificati come dati sensibili e di conseguenza prevedono tutele aggiuntive. Per questo Il Garante ha definito la violazione come grave.

D’altro canto, nel valutare l’ammontare della sanzione, ha tenuto di conto dell’atteggiamento collaborativo da parte dell’azienda, che, al fine di evitare la ripetizione dell’evento occorso, si è impegnata nell’introduzione di misure volte a ridurre la replicabilità dell’evento. Per citarne alcune, ha limitato l’accesso ad utenze esterne alla rete aziendale ed ha implementato un sistema di autenticazione a due fattori su ogni servizio accessibile dall’esterno.

Ha quindi ritenuta idonea una sanzione dell’ammontare di 25 mila euro

Il provvedimento completo è disponibile qui.

Per approfondire> Subire un attacco informatico non esime dal rispetto del GDPR: il Garante sanziona una ASL dopo l’attacco ransomware


Il tema della sicurezza informatica è complesso e richiede conoscenze tecniche e legali specifiche. Non improvvisare!