Il collettivo hacker Vice Society ha pubblicato i dati trafugati al Sistema Socio Sanitario della Regione Lombardia ed in particolare all’Ospedale Macedonio Melloni.
Che cosa è l’ospedale Macedonio Melloni
L’ospedale Macedonio Melloni è uno dei poli ospedalieri del sistema socio sanitario della Regione Lombardia di cui fanno parte:
- Ospedale dei Bambini “Vittore Buzzi”
- Ospedale Fatebenefratelli e Oftalmico
- Ospedale Luigi Sacco – Polo Universitario
- Ospedale Macedonio Melloni
Il 1 maggio 2022 l’ASST Fatebenefratelli Sacco era stata colpita da un ransomware e l’attacco aveva procurato pesanti disservizi. Il giorno 5 maggio 2022 l’ASST aveva pubblicato sul sito un comunicato in cui era scritto:
Il giorno 01/05/2022 è stato portato un attacco ai sistemi informativi aziendali, rivolto alle infrastrutture dei siti Fatebenefratelli e Sacco che ha impattato sul funzionamento di tutti i sistemi presso tutte le altre sedi aziendali (Buzzi, M.Melloni e 33 sedi Territoriali). L’azione, ha paralizzato tutti i sistemi aziendali, ha attaccato i servizi di base dell’infrastruttura, stante l’entità, la portata e l’estensione, la piena operatività dei sistemi non ha al momento tempi definibili. L’Azienda è dispiaciuta per la ricaduta sull’utenza. Stiamo lavorando per rendere operativi tutti i sistemi aziendali.
Come è possibile notare non si è fatto riferimento alcuno all’eventualità che i dati possano essere stati esfiltrati.
Cosa è stato pubblicato
Vice Society ha pubblicato una serie di documenti che riguardano tanto la struttura sanitaria quanto i pazienti ma ciò che spicca sopra ogni cosa è che i fascicoli dei singoli pazienti venivano tenuti in formato Microsoft Word, dentro normali cartelle nominate alfabeticamente. I documenti contengono numerosi dati di pazienti anche minori affetti da una molteplicità di patologie.
![](https://www.edoardolimone.com/wp-content/uploads/2022/06/image-26.png)
![](https://www.edoardolimone.com/wp-content/uploads/2022/06/image-27.png)
All’interno di questi spiccano informazioni la cui esfiltrazione è di assoluta gravità: si passa dalle relazioni dei medici alla valutazione degli apprendimenti calcolate mediante alcuni test. Ci sono attestati di ogni tipo, purtroppo, anche quelli che riguardano potenziali condotte suicidare di minori e test psico-clinici.
Conclusioni
Si ripropone il problema già evidenziato in altre circostanze: la corretta gestione del documento informatico. Per rispetto agli utenti si evita di pubblicare ulteriori screenshot che, seppur censurati, risultano di cattivo gusto. È imbarazzante notare come informazioni così particolari siano detenute senza alcun problema in documenti Word, talvolta persino in un formato che AgID non raccomanda: il formato .doc non è raccomandato dalle Linee Guida per la Formazione, Gestione e Archiviazione del Documento Informatico. In particolare si fa riferimento all’allegato 02 pagina 27 in cui AgID chiaramente lo sconsiglia per la scrittura di documenti perché ritenuto non robusto.
![](https://www.edoardolimone.com/wp-content/uploads/2022/06/image-29-1024x761.png)
![](https://www.edoardolimone.com/wp-content/uploads/2022/06/OspedaleMelloni-Directory_02-1024x697.jpg)
![](https://www.edoardolimone.com/wp-content/uploads/2022/06/OspedaleMelloni-Directory_03.jpg)
La stessa AgID tra l’altro scrive:
Per questa mancanza di robustezza (soprattutto in caso di documenti di dimensioni molto grandi a causa di contenuti multimediali allegati), l’azienda proprietaria del formato decide di cambiare strategia, adottando un nuovo formato per tutti i documenti della suite applicativa Office,® a partire dalla versione 2007, anche se il “formato .doc“ è pienamente supportato dalle nuove versioni. In caso di produzione di nuovi documenti impaginati tramite Word® si raccomanda l’uso del nuovo, sopra descritto formato basato su Open Office XML.
AgID “Linee Guida per la Formazione, Gestione e Archiviazione del Documento Informatico”, Allegato 2, Pag.27
Informazioni di questa natura andrebbero gestite diversamente, ad esempio andrebbero detenute all’interno di un sistema documentale, con database protetto da cifratura e ad accesso fortemente limitato. Ora “qualcuno” dovrebbe avvertire i genitori di questi minori in merito al fatto che le informazioni sulla salute psicofisica dei loro figli sono a disposizione di tutti coloro che vogliono scaricale. Chissà se anche l’Ospedale Macedonio Melloni è conforme alla Circolare 2/2017 sulle misure minime di sicurezza ICT per le Pubbliche Amministrazioni.