L’azienda sanitaria adesso rischia una maxi-multa fino a 10 milioni di euro per non aver protetto adeguatamente i dati sensibili dei cittadini.
Esiti di tamponi, cedolini, buste paga, linee guida, esiti di esami e protocolli di cura. Sono questi i dati sensibili della Usl 6 Euganea finiti online dopo l’attacco della gang di hacker LockBit 2.0 avvenuto lo scorso 3 dicembre. L’ultimatum dei pirati del web scadeva sabato scorso ed era stato prorogato fino a oggi.
Sia l’Azienda Sanitaria che la regione, tramite il presidente Luca Zaia, avevano dichiarato da subito totale indisponibilità a qualsiasi tipo di pagamento e di conseguenza, in mancanza di un sufficiente e tempestivo intervento informatico risolutivo, i criminal hacker hanno pubblicato senza remore i dati sensibili.
Secondo quanto riporta il quotidiano Il Mattino i criminal hacker avrebbero fatto un’ultima offerta a ribasso di 200mila dollari in criptovalute per non pubblicare i dati rubati. Ma dall’azienda sanitaria hanno avuto sempre un secco no.
9.346 file pubblicati su LockBit
I primi file hanno cominciato a circolare già nel weekend prima sul dark web e poi direttamente sul portale di LockBit: 9.346 documenti, suddivisi in 51 cartelle che contengono un po’ di tutto. Referti di decine di pazienti (con i loro codici fiscali e i numeri di telefonino), l’elenco dei ricoverati, le buste paga di alcuni operatori socio-sanitari, e gli esiti di quasi novecento tamponi per il Covid eseguiti da altrettanti cittadini.
Secondo l’Usl 6 al momento pare che siano stati diffusi esclusivamente i dati relativi all’ospedale di Schiavonia, ma il sospetto è che i 9 mila documenti pubblicati siano soltanto una parte di quelli rubati: l’ipotesi – alla quale lavorano anche gli investigatori della polizia postale – è che i cyber-criminali possano tentare di venderne molti altri al miglior offerente. Truffatori e persone senza scrupoli potrebbero tentare di utilizzarli per mettere a segno nuovi raggiri. E non è l’unico rischio: nei prossimi giorni potrebbero decidere di «liberare» altre migliaia di informazioni relative ai pazienti padovani.
L‘Usl 6 Euganea rischia 10 milioni di euro di multa
Il Garante Privacy ha aperto un istruttoria sul data breach dell’Usl 6 Euganea. Un procedimento che mira a verificare se i dati in possesso dell’Usl erano adeguatamente protetti e se si è fatto tutto il possibile per evitare che fossero “sequestrati” ed eventualmente diffusi dai criminali. Tra l’azienda sanitaria padovana e il Garante è in corso una interlocuzione, con la richiesta di chiarimenti e documentazione da parte dell’authority. Adesso però, con la pubblicazione dei dati da parte di LockBit, si complica parecchio la posizione dell’azienda sanitaria veneta.
L’Usl rischia sanzioni che possono arrivare fino a 10 milioni di euro nel caso che dalle indagini dell’Authority “sia rilevata una violazione delle disposizioni (…) anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione”. Tradotto: il garante dovrà stabilire se fosse stato fatto tutto il possibile per impedire un attacco informatico di quella gravità. E in caso contrario scatterà la maxi-multa.