Il 21 aprile 2022 l’Azienda Sanitaria Provinciale di Messina ha subito un data breach da parte del collettivo LockBit 2.0. Anche in questo caso, come in molti altri, i dati trafugati sono estremamente delicati.
Cosa è successo
Come scritto in precedenza, l’attacco si è svolto intorno al 21 aprile 2022 e i dati sono stati pubblicati dal collettivo LockBit 2.0 il giorno 29 aprile 2022. Il contenuto dei file varia da circolari a documenti personali, terminando tristemente con dati di natura sanitaria.
All’interno del portale ufficiale, non è stata trovata alcuna comunicazione del data breach nella sezione notizie, né tantomeno sull’home page. Il sito internet è basato su piattaforma WordPress in versione 5.8.4 (rilasciata il 31 marzo 2022) anche se la versione ultima attuale del CMS è la 5.9.3 (rilasciata il 5 aprile 2022).
Dati esfiltrati
Dati personali
Partiamo prima dai dati “personali”: all’interno del database esposto dagli hacker si trovano documenti identificativi come, ad esempio, la tessera sanitaria o la patente di guida di alcuni soggetti.
Dati di sistema
All’interno di un comune file di testo, senza alcuna protezione, si trovano le credenziali di accesso per una certa numerosità di caselle di posta elettronica. Ovviamente un malintenzionato potrebbe carpire ulteriori informazioni provando ad accedere a queste caselle illecitamente.
Dati clinici
Purtroppo tra i file trafugati compare, in testo semplice, un’intera cartella clinica che descrive l’invalidità grave o permanente di un paziente in sospetta correlazione con il vaccino per il COVID-19. Il titolo del file, opportunamente censurato, contiene il nome ed il cognome del paziente.
Fa specie che informazioni come queste siano contenute in un semplice file di testo, senza alcuna protezione. Purtroppo non è l’unico file di questa natura vi è un caso analogo a quello sopra riportato, memorizzato sempre in testo semplice.
Sfogliando invece i file, ci si imbatte facilmente in documenti che sembrerebbero riguardare l’assegnazione di medicinali a pazienti. Il file è nominato “pazienti fc messina.xlsx” ma contiene al suo interno informazioni provenienti anche da altre strutture.
Lo scenario peggiora quando ci si imbatte in documentazione circa lo stato di salute dei pazienti e la loro vaccinazione. Quello che segue, opportunamente censurato, è un certificato di attestazione della vaccinazione effettuata presso il Dipartimento Militare di Medicina Legale.
La procedura per i data breach
La struttura ha pubblicato il 23 ottobre 2018, una procedura per la gestione dei data breach (è opportuno notare che è un caso raro trovarla pubblicata). Il documento è possibile scaricarlo cliccando il tasto riportato di seguito.
A pagina 7 della suddetta si legge chiaramente:
La stessa comunicazione può essere fatta solo se sono disponibili le informazioni necessarie, aspetto possibile solo se precedentemente è stato strutturato un sistema di report dell’incidente, è stata fatta una ricognizione adeguata dell’organizzazione del titolare, sono state condotte le Valutazioni di impatto sui dati personali (DPIA).
Conclusioni
La copertura dell’ASP è di 645mila cittadini su 108 comuni siciliani; non è accettabile che una struttura provinciale detenga dati così delicati e particolari su formati documentali non appropriati. Questo, tra l’altro, in piena violazione con le linee guida AgID per la formazione, gestione e archiviazione del documento informatico. La gravità dell’episodio dell ASP di Messina, si aggiunge tristemente alla lista degli obiettivi sanitari colpiti in Italia, dimostrando ancora una volta la completa inadeguatezza dei sistemi di gestione dei dati dei pazienti e della struttura.
