Sanità, multa di 25mila euro per un’azienda ospedaliera: sistemi informatici vulnerabili favoriscono attacco hacker secondo un rencente procedimento aperto dal Garante della Privacy.
Un’azienda ospedaliero-universitaria italiana è stata multata dal Garante per la protezione dei dati personali per gravi carenze nella sicurezza informatica.
Garante Privacy multa azienda ospedaliera
L’ammenda, pari a 25mila euro, conclude un procedimento avviato a seguito di un cyberattacco avvenuto nel dicembre 2022. L’incidente, causato da un ransomware introdotto tramite un computer aziendale con connessione VPN aperta, ha compromesso la riservatezza, l’integrità e la disponibilità dei dati personali di numerosi soggetti, tra cui dipendenti, consulenti e pazienti. Nonostante la gravità della violazione, i servizi sanitari non sono stati interrotti.
Un attacco facilitato da sistemi informatici obsoleti
L’indagine è partita dopo che l’azienda stessa aveva notificato il data breach al Garante. Le verifiche hanno evidenziato falle significative nella gestione della sicurezza informatica, in violazione del Regolamento generale sulla protezione dei dati (GDPR). I sistemi informatici risultavano obsoleti, privi degli aggiornamenti necessari per garantirne la sicurezza, e le misure di allerta non erano operative 24 ore su 24. Questi fattori hanno permesso ai criminali informatici di infiltrarsi nei sistemi aziendali, causando danni estesi.
Mancanze nelle misure di protezione
L’istruttoria del Garante ha rivelato ulteriori problematiche legate alla sicurezza. L’accesso remoto ai sistemi aziendali avveniva esclusivamente mediante username e password, senza l’implementazione di autenticazioni multifattoriali, considerate uno standard essenziale per proteggere le reti aziendali. Inoltre, l’assenza di una segmentazione delle reti interne ha esposto le postazioni di lavoro e i server a un rischio maggiore, permettendo al malware di diffondersi senza ostacoli.
Le implicazioni della sanzione
La multa comminata dal Garante sottolinea la necessità per le strutture sanitarie di adottare soluzioni tecnologiche adeguate e di rafforzare le procedure di sicurezza informatica. La tutela dei dati personali, specialmente in un settore sensibile come quello sanitario, richiede investimenti costanti in infrastrutture moderne e protocolli avanzati per prevenire attacchi informatici sempre più sofisticati.
Questo episodio rappresenta un monito per tutte le organizzazioni pubbliche e private che gestiscono dati sensibili: non adeguarsi agli standard di sicurezza europei può esporre non solo a gravi violazioni, ma anche a pesanti sanzioni economiche.
