Il Garante ha sanzionato una ASL napoletana in seguito ad un attacco ransomware: non ha protetto adeguatamente i dati personali.
L’ASL Napoli 3 Sud subisce un attacco ransomware
Nel Gennaio 2022 l’ASL Napoli 3 Sud ha subito un attacco ransomware ad opera del gruppo di attaccanti Sabbath. Gli attaccanti hanno rivendicato l’attacco sul proprio leak site, pubblicando anche una parte dei dati rubati.
Questa la rivendicazione
Il 07-01-2022 è stata violata con successo la rete informatica dell’Azienda sanitaria regionale ASL Napoli 3 Sud (https://www.aslnapoli3sud.it, sito inattivo). Durante l’hacking, abbiamo rubato tutti i dati personali, i database, i documenti finanziari e altri dati importanti.
L’ASL Napoli 3 Sud ha, come da previsioni GDPR, comunicato il data breach al Garante Privacy.
Per saperne di più > Ransomware e data breach: cosa succede quando un attacco informatico “buca” un’organizzazione
Per saperne di più > Ransomware: +34% di attacchi contro l’Italia.
Il Garante chiede informazioni sull’attacco subito
Ricevuta la comunicazione di data breach, il Garante ha richiesto informazioni sull’attacco dato l’alto numero di interessati convolti e la natura sensibile dei dati sottratti. In particolare il Garante ha voluto ricostruire le misure tecniche e organizzative che l’ASL Napoli 3 Sud aveva messo in campo per la protezione dei dati e le procedure di autenticazione informatica per l’accesso in VPN e alle postazioni di lavoro.
Il Garante ha così potuto ricostruire e documentare una serie di carenze nella protezione dei dati: da una scarsa sicurezza della rete all’assenza di adeguate misure per individuare e segnalare le violazioni dei dati personali.
Ad esempio l’accesso alla rete via VPN avveniva solo con l’inserimento di username e password, senza ulteriori meccanismi di sicurezza. La mancata segmentazione della rete ha invece reso estremamente facile al ransomware la diffusione all’intera infrastruttura.
Il Garante sanziona l’ASL nonostante l’attacco informatico
Il Garante ha ritenuto molto grave il data breach subito dall’ASL Napoli 3 Sud in seguito all’attacco ransomware sia per il numero di interessati colpiti (842.000) che per la tipologia di dati rubati. Ha rilevato anche che le misure tecniche e organizzative poste a protezione dei dati non sono risultate sufficienti.
D’altro canto, nel valutare l’ammontare della sanzione, ha tenuto di conto:
- dell’atteggiamento collaborativo e non intenzionale dell’ASL 3 Napoli Sud;
- dell’adozione da parte dell’ASL, dopo l’attacco, di una serie di misure volte a minimizzare il danno subito dagli interessati e di ulteriori misure di sicurezza.
Ha quindi ritenuto idonea una sanzione dell’ammontare di 30.000. Qui è disponibile il provvedimento completo.
Per approfondire > Hacktivisti pubblicano dati sanitari online: il Garante sanziona la casa di cura
Hai subito una violazione dei dati personali, ma non sai come comunicarla al Garante? Oppure non sai se, per il tipo di violazione subita, la comunicazione al Garante sia obbligatoria? Chiedilo a noi, ti aiuteremo passo passo!