Nella notte del 13 settembre 2021 l’Ospedale San Giovanni di Roma ha subito un data breach mediante ransomware ai danni di numerosi sistemi informatici. Vediamo di capirne di più.
Cronologia eventi
- 13/09/2021: i sistemi dell’ospedale San Giovanni Addolorata subiscono un attacco ransomware.
- 14/09/2021: il portale web dell’ospedale torna temporaneamente online ma per poco tempo.
- 17/09/2021: il portale web dell’ospedale torna online, inizialmente con qualche problema di afferente i certificati di sicurezza poi risolti.
- 19/09/2021: la home page del portale web subisce un brusco cambiamento e appare un messaggio con informazioni errate riguardanti i contatti del DPO. Successivamente la situazione cambia nuovamente e l’home page viene sostituita con un avviso.
- 24/09/2021: il portale web dell’ospedale viene ripristinato.
Cosa è successo
Come è stato scritto, nella notte del tra il 12 e il 13 settembre 2021, i sistemi dell’Ospedale San Giovanni Addolorata hanno subito un attacco ransomware. L’episodio avrebbe coinvolto anche:
- Presidio S.Maria e presidio Britannico,
- La sede amministrativa.
L’attacco ha reso inaccessibili i sistemi contenenti cartelle cliniche, dati sanitari e anche la gestione della telefonia, compromettendo severamente l’attività di assistenza sanitaria e lo svolgimento delle funzioni principali dell’ospedale.
Lo staff medico, che sta reagendo spostando il lavoro sulla carta, è impegnato in un’attività delicata nel tentativo di evitare danni ai pazienti dovuti dal blocco dei sistemi. L’episodio richiama alla memoria il caso tedesco nel quale, purtroppo, perse la vita una signora.
Fortunatamente al momento la situazione sembrerebbe essere sotto controllo
Sono in corso da questa mattina accertamenti tecnici a seguito di un attacco informatico di tipo ransomware. I tecnici della sicurezza informatica sono a lavoro, è subito intervenuta la polizia postale e sono state fatte le dovute segnalazioni a tutte le autorità nazionali competenti. Sono proseguite le attività di ricovero, ambulatoriali, assistenza e emergenza del pronto soccorso. Le prestazioni di emodinamica, radiologia interventistica e l’attività operatoria si sono svolte regolarmente. Stiamo lavorando alacremente per ripristinare tutte le funzioni nel più breve tempo possibile, garantendo la continuità dell’assistenza ospedaliera
La Repubblica
Chiaramente il sito internet dell’ospedale (https://www.hsangiovanni.roma.it) non risponde. L’azienda ha rilasciato un tweet qualche ora fa nel quale fornisce ufficialmente l’annuncio e di cui si riporta un’immagine.
Non è ancora noto se vi sia stata o meno esfiltrazione dei dati sottoposti a cifratura da parte del ransomware. Sui portali dei principali gruppi non è ancora stata pubblicata alcuna dichiarazione di riscatto ma potrebbe essere ancora presto.
Ricordiamo che gli ospedali pubblici sono parte della Pubblica Amministrazione e come tale dovrebbero essere assoggettate alla circola 2/2017 di AgID che prevede molti controlli per le misure minime di sicurezza tra cui il backup in offline.
CURIOSITÀ: L’ospedale San Giovanni Addolorata di Roma, fu vittima di un data breach lanciato da Anonymous Italia e LulzSec_ITA il giorno 24 dicembre 2018
Aggiornamento del 24/09/2021 – 15:18
Il portale web dell’ospedale San Giovanni Addolorata di Roma risulta nuovamente attivo dopo 11 giorni di inoperatività.
Aggiornamento del 20/09/2021 – 19:51
Il portale web dell’ospedale non è ancora tornato online si nota che l’avviso è stato posto su un server differente dal primo:
Da 93.63.141.111 a 35.214.166.135
Aggiornamento del 19/09/2021 – 11:32
L’home page dell’ospedale cambia ulteriormente riportando solo un messaggio di avviso sull’attacco hacker. Questa volta l’indirizzo PEC del DPO è stato opportunamente corretto. Sembra, inoltre che sia sparita l’intera versione di WordPress a favore di una normale pagina web.
Aggiornamento del 19/09/2021 – 11:10
Il portale dell’ospedale San Giovanni Addolorata cambia nuovamente volto. Un’home page accoglie il visitatore proponendo contenuti alternati da un messaggio che allerta in merito all’attacco hacker. Purtroppo nel testo compare un messaggio poco chiaro, l’indirizzo di PEC risulta essere: [email protected]. Si riportano gli screenshot eseguiti sul portale.
Aggiornamento del 17/09/2021 – 21:30
Il portale web presenta un certificato ora valido come dimostrato allo screenshot riportato di seguito.
Aggiornamento del 17/09/2021 – 18:53
Il portale web dell’ospedale sembra risponder nuovamente ma ci sono problemi (si suppone temporanei) con il certificato di sicurezza come mostrato dalle immagini catturate.
Al di là della mancanza del certificato il sito appare come una singola pagina con un avviso di cui si riporta la fotografia.
Il testo riportato, come previsto dal GDPR dice:
In data 13/09/2021 un attacco informatico al data center che ospita alcuni dei sistemi informatici della nostra Azienda ha compromesso l’utilizzo di alcuni dei servizi e delle applicazioni a disposizione del cittadino. Stiamo provvedendo a fare tutto il necessario per porre rimedio all’accaduto e bloccare questo attacco per evitare ulteriori conseguenze sulla privacy e la sicurezza dei dati personali dei cittadini in possesso della Azienda. E’ stato tempestivamente attivato, in collaborazione con le Autorità competenti e le forze dell’ordine, un Team tecnico dedicato alla gestione dell’evento e sono state messe in campo le misure necessarie a porre rimedio a possibili violazioni dei dati personali. Nel frattempo, per consentirci la migliore gestione dell’accaduto, i sistemi interessati sono stati disattivati e isolati dalla rete. Queste misure pur comportando la sospensione di alcuni servizi si rendono necessarie per evitare di acuire le conseguenze dell’attacco. Per ulteriori informazioni o chiarimenti è possibile contattare il DPO aziendale Avv. Gennaro Maria Amoruso all’indirizzo PEC: [email protected] Ci scusiamo per l’accaduto, provvederemo a comunicare eventuali aggiornamenti non appena saranno disponibili ulteriori evidenze a seguito delle analisi in corso. La presente comunicazione è resa anche ai sensi e per gli effetti di quanto disposto dall’art. 34 del reg. EU 2016/679 (GDPR).
Al momento è anche esposta la pagina di login del portale web, basato su tecnologia WordPress.
Si rileva che al momento della scrittura del presente articolo, le informazioni sugli utenti registrati nel CMS sono visibili esponendo ad un rischio anche l’attuale piattaforma web. Sarebbe consigliabile provvedere all’occultamento delle informazioni su server, versioni software e nomi utenti.
Aggiornamento del 17/09/2021 – 12:00
Alcuni quotidiani (ad es.: Il Tempo e Repubblica) hanno giustamente fatto sapere che il ransomware che ha infettato l’ospedale San Giovanni Addolorata ha richiesto un riscatto che, oltre a non esser stato pagato, ha visto il coinvolgimento dell’Europol oltre che della Polizia Postale. Questo era, chiaramente, caldamente sconsigliato dalle istruzioni degli hacker. Sui gruppi hacker più famosi al momento non è stato pubblicato alcun avviso riguardante il data-breach.
Il portale continua a non essere disponibile.
Aggiornamento del 16/09/2021 – 23:16
Il portale dell’ospedale San Giovanni Addolorata è ancora non disponibile. Da un articolo di Arturo Di Corinto su “Il Manifesto” si apprende che:
Sono stati 300 i server e 1.500 i Pc bloccati da un attacco ransomware all’ospedale San Giovanni Addolorata
Arturo Di Corinto
Aggiornamento del 15/09/2021 – 07:40
Nonostante ieri pomeriggio la home page del portale del San Giovanni fosse visibile benché a navigazione limitata, dalla serata è stata resa nuovamente indisponibile e continua ad esserlo anche al momento del controllo attuale.
Aggiornamento del 14/09/2021 – 16:37
Il portale dell’azienda sanitaria San Giovanni Addolorata è tornato online come appare dalla schermata riportata di seguito.
È opportuno far notare che al momento della prova effettuata, alcune sezioni del portale non sembrano funzionare. L’archivio notizie non si apre e non sembra essere stata pubblicata in home page alcuna notizia in merito a quanto accaduto a seguito dell’attacco.
Aggiornamento del 13/09/2021 – 23:41
Il sito web non è ancora raggiungibile.
