Un altro data breach ai danni della sanità pubblica ha colpito il territorio lombardo, questa volta è il turno dell’ASST Rhodense, cerchiamo di capire cosa è successo.
⚠️ Questo post è in aggiornamento, il contenuto potrebbe variare con il tempo. Si consiglia di visitare più volte l’articolo per rimanere aggiornati sulle notizie.
Cosa è successo
Il data breach causato dal collettivo Cicada3301 è stato notato già dalla serata del 5 giugno 2024, stando a quello che ha dichiarato il direttore generale dell’Asst Marco Bosio al Corriere della Sera edizione Milano. Ad essere colpiti sono stati, per la precisione:
- L’ospedale di Garbagnate
- L’ospedale di Bollate
- L’ospedale di Rho
- I presidi di Passirana
- Le case di comunità
- Iconsultori collegati agli ospedali
- La Rsa Pertini
Si tratta di un territorio vasto e denso di popolazione residente alle porte di Milano e quindi la mole di dati trafugata potrebbe essere davvero ingente. Per comprendere bene la posizione delle località principali oggetto di data breach si riporta una mappa.
A partire dalla sera di mercoledì 5 giugno 2024 si sono cominciati a riscontrare problemi sul sistema informativo che, secondo quanto dichiarato in prima istanza dal Direttore dell’ASST, hanno provocato una riorganizzazione delle attività delle strutture. Alla data attuale (07/06/2024 ore 14:21) il portale web dell’ASST non risulta funzionante (https://www.asst-rhodense.it/). Dall’intervista fatta al Direttore Generale si apprende che “i sistemi informativi non sono disponibili, sono bloccati” e questo lascia supporre che vi sia un attacco ransomware dietro il malfunzionamento anche se al momento non è ancora stato chiarito.
I disservizi che al momento sono stati causati dal data breach sono riassumibili nei seguenti punti:
- Le ambulanze sono state dirottate presso altri presidi con conseguente riduzione dell’afflusso al pronto soccorso.
- Le procedure informatiche sono state sostituite da quelle cartacee con conseguente rallentamento nell’elaborazione delle procedure.
- Interventi chirurgici non urgenti sospesi.
- Attività ambulatoriale ridotta a quella effettivamente eseguibile.
- Esami MOC non garantite
- Esami TAC non garantite.
- Laboratorio di analisi non funzionante.
- Risonanze non garantite.
- Mammografie non garantite.
- Radiografie non garantite.
- Sospese le prenotazione presso i Cup.
- Sospeso il ricovero programmato.
- Sospesa l’attività dei punti prelievo.
Molte delle attività diagnostiche richiedono sistemi informatici collegati in rete e quindi potenzialmente esposti all’incidente.
Chi è ARIA S.p.A.
Come si legge sul sito ufficiale dell’azienda “Aria S.p.A. nasce dalla fusione delle 4 società di Regione Lombardia a totale partecipazione pubblica“. La storia può essere ricostruita sinteticamente così:
- 1981 – Nasce Lombardia Informatica
- 2003 – Nasce Infrastrutture Lombarde (ILSpA)
- 2014 – Nasce Arca Lombardia
- 2019 – Nasce ARIA S.p.A. (dalla fusione di Arca e ILSpA)
- 2022 – Explora viene incorporata in Aria S.p.A.
In ambito sanitario ARIA S.p.A. svolge una serie di attività molto importanti che il sito riassume efficacemente come segue:
ARIA è responsabile per conto di Regione Lombardia della realizzazione di nuove strutture ospedaliere o del riassetto di strutture ospedaliere esistenti, distribuite sull’intero territorio regionale che, nel loro complesso, mettono a disposizione dei cittadini lombardi migliaia di posti letto, nuovi ambulatori e sale operatorie.
È quindi naturale che subito dopo l’incidente informatico, la Regione Lombardia si sia rivolta ad ARIA S.p.A. per avere garanzie sul ripristino dei sistemi e dei servizi.
Cronologia eventi
- 05/06/2024: inizio dei problemi all’interno del sistema informativo.
- 07/06/2024: proseguono i disservizi, parziale ripristino dei telefoni, sito web non funzionante.
- 09/06/2024: proseguono i disservizi, sito web non funzionante.
- 12/06/2024: il portale web appare nuovamente benchè in una forma provvisoria.
- 20/06/2024: gli hacker del collettivo cicada3301 rilasciano i dati sottratti all’ASST
In attesa degli sviluppi principali sulla vicenda, resta interessante quanto dichiarato dallo stesso Direttore Generale “non è possibile stimare i tempi di ripristino“, cosa che non dovrebbe accadere stando a quanto prescritto da AgID in tema di livelli di servizio.
Il 24 giugno 2024 l’editoriale Red Hot Cyber ha pubblicato un’intervista con il collettivo Cicada3301 in cui gli hacker hanno affermato che il dwell-time (tempo di permanenza) nei sistemi dell’ASST Rhodense è stato di circa un anno.
Aggiornamenti
07/06/2024 – 23:04 – Disservizi e ripristino parziale dei telefoni
In giornata sono state ripristinate parzialmente le linee telefoniche ma continua ad essere indisponibile il portale web dell’ASST che non è stato nemmeno rimpiazzato da una pagina provvisoria per avvisare gli utenti. Al momento non sono chiare le cause dell’incidente: non vi è stata ancora alcun richiesta di riscatto tipica degli attacchi ransomware.
Milano Today, in un articolo del 07 giugno 2024 18:33 intitolato “Attacco hacker Asst Rhodense, tornano a funzionare i telefoni” ha riportato una dichiarazione della Regione Lombardia:
Sono stati ripristinati i servizi informatici delle strutture sanitarie che usufruiscono del Data Center di Aria, interrotti questa notte a causa di un disservizio che ha riguardato l’infrastruttura tecnologica regionale. Le attività ospedaliere sono proseguite regolarmente senza alcuna sospensione
Fonte: Milano Today (Link)
08/06/2024 – 08:00 – Sito web ancora non ripristinato
Il portale dell’ASST non risulta ancora raggiungibile, né al suo posto è stato messo un messaggio informativo di alcun tipo.
09/06/2024 -10:00 – Sito web ancora non ripristinato
Il portale dell’ASST non risulta ancora raggiungibile, e continua a non comparire alcun messaggio informativo al suo posto. La realizzazione di una pagina web non rappresenta una difficoltà tecnica ed è inaccettabile in un contesto delicato come quello di un incidente ai dati sanitari.
12/06/2024-18:05-Sito web in ripristino
Il portale della ASST Rhodense appare nuovamente online intorno alle ore 18:05 del 12/06/2024, benché in una forma decisamente provvisoria.
13/06/2024- Avviso all’utenza
Un avviso scritto dall’ASST è stato pubblicato il giorno 13/06/2024 all’interno della sezione comunicazioni.
13/06/2024
AGGIORNAMENTO RELATIVO ALL'ATTACCO ALLA RETE INFORMATICA AZIENDALE
Si informa che attualmente la rete telefonica aziendale è stata quasi interamente ripristinata ed è attivo e operativo il centralino aziendale che può essere contattato al numero 02.994301.
Viene garantita l’erogazione delle prestazioni ambulatoriali già programmate, comprese quelle di medicina nucleare e, parzialmente, quelle di radiologia. Si stanno riattivando progressivamente anche gli interventi chirurgici programmati. I Pronto Soccorso restano attivi e accolgono i pazienti che si auto presentano e alcune tipologie di urgenze inviate da AREU tramite ambulanza.
Sono ancora sospese le prestazioni di laboratorio analisi, l’attività di prenotazione presso i CUP aziendali e quella dei Punti Prelievo (i pazienti TAO possono rivolgersi all’accoglienza dei Presidi Ospedalieri di Bollate, Garbagnate e Rho per avere informazioni sulle modalità di esecuzione degli esami necessari per la gestione della terapia).
I tecnici stanno lavorando per garantire la ripresa di tutte le attività, ma purtroppo non è ancora possibile definire i tempi di ripristino dell’intera infrastruttura informatica.
La Direzione ringrazia tutti coloro che stanno collaborando alla gestione della problematica e i cittadini e i pazienti per la comprensione della complessità della situazione.
Non vengono fornite indicazioni in merito alla natura dell’attacco e tutti gli avvisi iniziano proprio dal giorno 13/06/2024. Non risultano comunicazioni precedenti pubblicate nella sezione.
18/06/2024-Aggiornamento comunicazioni
Un ulteriore aggiornamento dell’area temporanea delle comunicazioni è stato pubblicato nella giornata odierna.
20/06/2024 – Il collettivo cicada3301 rivendica l’attacco all’ASST Rhodense
Come segnalato dalla celebre piattaforma Ransomfeed, in data 19/06/2024, il collettivo cicada3301 ha rivendicato l’attacco all’ASST Rhodense. Gli hacker hanno pubblicato 15 pacchetti contenenti i dati sottratti all’ASST, il cui contenuto è divenuto quindi di dominio pubblico. Vale la pena notare come tale collettivo abbia solo 4 attacchi al suo attivo, di cui l’unico italiano al momento è quello della ASST Rhodense.
Tra i dati sottrati e mostrati negli esempi ci sono moduli di trattamento dei dati personali, copie di documenti d’identità, verbali d’idoneità al lavoro, bolle di consegna dei farmaci e anche uno screenshot del file system deputato (ancora una volta) a tenere i dati sanitari. Tale sistema, come ormai spiegato in più occasioni, non è idoneo alla detenzione ed elaborazione dei dati sanitari. Anche l’ASST Rhodense si dimostra non all’altezza della gestione dei dati personali dei suoi assistiti.
20/06/2024 – L’ASST pubblica un avviso sul proprio portale
Per affrontare i problemi causati dall’attacco alla rete informatica aziendale, avvenuto il 6 giugno 2024, l’Azienda ha fin da subito lavorato e sta continuando a lavorare incessantemente per ricostruire l’intera infrastruttura e per poter riattivare prima possibile tutti i servizi rivolti ai cittadini, che ringraziamo per aver compreso la complessità della situazione. Si informa che da venerdì 21 giugno p.v. riprenderà l’attività di prenotazione presso le strutture aziendali e che, a decorrere da lunedì 24 giugno, riprenderanno le attività dei Punti Prelievo Ospedalieri (Bollate, Garbagnate, Passirana e Rho). Verranno comunicate appena possibile le informazioni relative alla progressiva riattivazione dei Punti Prelievo Territoriali, programmata per la prossima settimana. Si conferma che l’ASST sta garantendo l’erogazione di tutte le prestazioni ambulatoriali già programmate, comprese quelle di medicina nucleare e di radiologia e gli interventi chirurgici programmati. I Pronto Soccorso di Garbagnate e Rho sono attivi. Le prestazioni ambulatoriali e i ricoveri sospesi a causa dell’attacco alla rete informatica aziendale verranno riprogrammati: i cittadini verranno contattati dal personale di ASST, che fornirà ogni indicazione. I referti delle prestazioni effettuate fino al 6 giugno 2024 possono essere ritirati presso i servizi “Ritiro referti” attivi presso le strutture aziendali, presentando la documentazione cartacea rilasciata dall’ASST Rhodense al momento dell’esecuzione dell’esame. Per richieste di informazioni è possibile contattare l’Ufficio Relazioni con il Pubblico (URP) dell’ASST Rhodense al numero 02.994301814.
Di seguito lo screenshot ufficiale.
27/06/2024 – L’ASST pubblica un ulteriore aggiornamento delle notizie
30/06/2024 – Ancora nessuna novità
Il portale dell’ASST Rhodense continua ad apparire nella sua veste “provvisoria” nonostante siano passati 25 giorni dall’attacco. La completa inosservanza delle tempistiche previste da AgID negli SLA dovrebbe far riflettere sull’effettiva consapevolezza dei dati e dei sistemi detenuti, gestiti ed elaborati dall’ASST. Detto ciò è opportuno segnalare che la sezione “Comunicazioni” viene regolarmente aggiornata con avvisi utili all’utenza.
13/07/2024 – Mancato ripristino dei servizi web
Dal 6 giugno ad oggi sono passati 37 giorni e il portale web della ASST Rhodense appare ancora nella sua veste temporanea come mostrato di seguito, dall’ultimo avviso che è del giorno 08/07/2024. Continuiamo a monitorare la situazione.
23/07/2024 – Mancato ripristino dei servizi web
La ASST Rhodense resta con il portale temporaneo che continua ad essere aggiornato, allungando così i tempi di ripristino dei servizi (RTO) ben oltre i periodi previsti dagli SLA AgID.
