L’ennesimo data breach ad una struttura sanitaria ha mostrato la vulnerabilità del tessuto informatico di molte aziende sparse sul territorio; la ASL 1 di Avezzano, Sulmona e L’Aquila non è stata certamente la prima e con tutta probabilità non sarà nemmeno l’ultima.
Per l’ennesima volta sono stati trafugati e pubblicati dati sanitari di malati, di minori, in totale spregio della dignità e del decoro; queste però sono le “regole” imposte dagli hacker e sono note da anni. Non dobbiamo, infatti, dimenticare tutti quei data breach più o meno ignorati, passati sotto silenzio, o meno clamorosi ma ugualmente gravi tra cui, a mero titolo di esempio:
ULSS6 Euganea – Regione Veneto
ASL 3 Napoli: attacco ransomware
Attacco all’Ospedale Macedonio Melloni
Data breach all’Azienda Sanitaria Provinciale di Messina
Ospedale San Giovanni Addolorata: data breach
A chi si domanda se il problema sia l’assenza di regole che mettano al sicuro dati e infrastrutture si può rispondere: no, le regole ci sono ma non vengono osservate. Si potrebbe citare (come sempre) la tanto vituperata Circolare 2/2017 di AgID sulle misure minime di sicurezza ICT per le pubbliche amministrazioni. Si potrebbero citare le altrettanto note linee guida sulla formazione, gestione e conservazione del documento informatico, sempre di AgID. Si potrebbero citare, infine, i numerosi standard internazionali da adottare per mantenere al sicuro le informazioni.
La norma non basta
Non basta, tuttavia, che venga scritta una regola, una circolare, una legge, una linea guida, perchè i dati siano al sicuro. Nè l’adozione bovina della stessa può difendere i nostri dati: questi documenti vanno “capiti” e richiedono uno sforzo cosa che, in molti casi, si preferisce non fare. Costi elevati, responsabilità eccessive, incapacità tecnica, queste sono solo alcune delle motivazioni che si sentono quando si prova a “smuovere” la situazione ed il motivo alla base è uno solo: nessuno risponde degli errori fatti. I pazienti affidano alle strutture sanitarie e alle pubbliche amministrazioni i loro dati che in molti casi, tra l’altro, sono protetti da segreto professionale.
La sanzione economica comminata alla pubblica amministrazione, andrebbe poi a carico dei cittadini che, attraverso le tasse, andrebbero a scontarla. Tuttavia, ci sono molti modi per mantenere il rispetto della dignità dei pazienti (perchè in fondo di questo si tratta); i responsabili che per anni hanno trattato con incuria i sistemi e i dati dovrebbero lasciare il posto a personale più competente e responsabile. Lo stato dei sistemi informativi, gli errori di gestione nel trattamento dei dati, si possono individuare con relativa semplicità e affidabilità da un’analisi del comparto IT. Non basta quindi il testo normativo: serve una professionalità che ne consenta l’applicazione adeguata. In un articolo molto ben fatto de Il Post, c’è un passaggio che spiega in che modo la Regione Abruzzo sta reagendo.
Nonostante il furto e la pubblicazione dei dati siano un danno enorme per moltissime persone, in questi giorni la Regione Abruzzo non sta dando molte informazioni in merito all’attacco: l’azienda sanitaria si è limitata a dire che i tecnici sono al lavoro per risolvere il problema a cui ancora non è stata trovata una soluzione, mentre il presidente della Regione Marco Marsilio ha detto che non sarebbe stato pagato alcun riscatto e ha invitato a non scaricare i dati diffusi illegalmente.
Fonte: “Sono stati pubblicati tutti i dati di migliaia di pazienti rubati a un’azienda sanitaria in Abruzzo”, Il Post (LINK)
Si fa riferimento ad un messaggio che campeggia sul sito della ASL1, aggiornato alla data 16 maggio 2023 che riporta:
[16.05.2023] AGGIORNAMENTO PER I CITTADINI
Chiunque acquisisce dati dal dark web e li diffonde on-line o sui social network si rende autore di reato per acquisizione fraudolenta e diffusione illecita di dati personali, penalmente perseguibile. Pertanto, si invitano gli utenti a non scaricare dal dark web e non condividere con terzi gli archivi di dati resi disponibili dal gruppo di hacker “Monti” potenzialmente riconducibili alla Asl1 Abruzzo. Si segnala inoltre che tali dati presenti sul dark web potrebbero essi stessi contenere virus/ransomware molto dannosi se memorizzati sui computer degli utenti. Ricordiamo che sono ancora in corso le indagini della Polizia postale e dell’Agenzia per la cybersicurezza nazionale. Per eventuali ulteriori informazioni è possibile scrivere direttamente alla pec [email protected] oppure alla email [email protected].
Fonte: ASL1 Avezzano Sulmona L’Aquila
Un messaggio che non fornisce indicazioni reali sullo stato di ripristino dei dati, sugli sviluppi di una possibile indagine interna in merito alle cause del data breach, sugli eventuali problemi di configurazione, su tutte quelle informazioni e responsabilità che i cittadini si aspettano di leggere. No, gli annunci finora pubblicati sul sito della ASL1 non affrontano queste tematiche.
Non chiariscono le modalità con cui il virus è stato inoculato, nè dimensionano la problematica che è nota dal 3 maggio (ossia da oltre 2 settimane), tempo sufficiente per avere tutte le informazioni.
Per interruzione del sistema informatico, non dovuto a problemi interni, non è possibile al momento effettuare la prenotazione di prestazioni presso sportelli CUP, call center e servizio online. Tuttavia saranno garantite le prestazioni sanitarie già prenotate con le seguenti modalità. Chi ha una prenotazione può presentarsi allo sportello CUP per pagamento e registrazione del ticket nel giorno fissato per la prestazione con foglio di prenotazione ed impegnativa. Chi invece deve prenotare una prestazione urgente ovvero laddove sull’impegnativa sia presente la classe di priorità U può recarsi allo sportello CUP di un ospedale che contatterà il reparto interessato ai fini della erogazione della prestazione. Saranno inoltre garantiti gli esami ematochimici in emergenza/urgenza (es. emocromo, PT, PTT, PCR). Ci scusiamo per il disagio.
Comunicato della Direzione Sanitaria della ASL1 Abruzzo
La cultura del dato che manca
Non ci si può stancare di ripetere che questo non è un problema tecnico; no, non lo è. Gli aspetti tecnici sono secondari: prima vi è un problema culturale sulla protezione dei dati e questo problema culturale incide di rimando sulla configurazione dei sistemi, delle reti e dei dati. Una frase che in molti avranno sentito pronunciare in merito ai data breach e alla sicurezza informatica è: “la cybersercurity è un problema culturale” ma pochi sanno cosa significa veramente.
Chiedere ad un studente delle elementari, delle medie e del liceo di scrivere un tema, porterà a tre risultati differenti: la persona è la stessa, l’argomento è lo stesso ma i contenuti sono profondamente diversi. La conoscenza e la maturità fanno la differenza. Ci sono molti modi per gestire i dati di un’organizzazione, alcuni più seri e responsabili di altri, alcuni più complessi ma sicuri di altri. Questo dovrebbe far nascere una serie di domande di cui la prima è: c’è la maturità da parte del personale tecnico per prendere in carico strutture che trattano dati così delicati? Le competenze si possono verificare, valutare, accrescere ma non possono mai essere ignorate.
