L’Usl 6 Euganea ha tempo fino alle 16.44 del 15 gennaio 2022 per pagare il riscatto. Poi i criminali informatici pubblicheranno tutti i documenti rubati ad un mese esatto dall’attacco informatico che ha mandato in tilt il sistema informatico dell’azienda ospedaliera veneta.
Il tempo stringe ma le alte cariche dell’azienda sanitaria locale non hanno intenzione di pagare nulla. L’Usl 6 di Padova ha tempo fino alle 16.44 del 15 gennaio 2022 per pagare il riscatto, poi i criminali informatici pubblicheranno tutti i documenti rubati ad un mese esatto dall’attacco informatico che ha mandato in tilt il sistema informatico dell’azienda ospedaliera veneta.
L’attacco informatico del 2 dicembre. Zaia: “Non pagheremo nulla”
Tutto ha avuto inizio nella notte tra il 2 e il 3 dicembre, quando la gang di cybercriminali è riuscita a penetrare nei server dell’Usl 6 Euganea grazie ad un attacco ransomware. Sin dai primi istanti immediatamente successivi all’attacco hacker, infatti, l’Usl 6 ha messo in campo oltre 60 tecnici informatici che hanno lavorato giorno e notte – e lo stanno tuttora facendo, visto che il problema non è ancora stato completamente risolto.
Il dirigente generale dell’Usl aveva dichiarato che “dalle prime analisi il nostro database appare integro, e quindi sembra che non siano stati rubati o persi dati sensibili”, ma il cyber-countdown apparso su Lockbit 2.0 sembra però raccontare una diversa verità. Il conto alla rovescia, apparso sul web, scade il 15 gennaio alle 16.44.
“Siamo usciti con le ossa rotte dall’attacco hacker di Padova, ma non ci vengano a chiedere riscatti: non diamo nulla a nessuno, con noi perdono solo tempo”, aveva commentato una settimana dopo l’attacco il Governatore del Veneto Luca Zaia. Una mossa corretta che rischia la pubblicazione del database con le informazioni sensibili di cittadini.
Il Garante apre l’istruttoria
Nel frattempo il Garante Privacy ha aperto un istruttoria sul data breach dell’Usl 6 Euganea. Un procedimento – di cui è ovviamente impossibile determinare adesso l’esito – che mira a verificare se i dati in possesso dell’Usl erano adeguatamente protetti e se si è fatto tutto il possibile per evitare che fossero “sequestrati” ed eventualmente diffusi dagli hacker. Tra l’azienda sanitaria padovana e il Garante è in corso una interlocuzione, con la richiesta di chiarimenti e documentazione da parte dell’authority. L’istruttoria, tra l’altro, potrebbe prendere una piega molto diversa se effettivamente i cyber criminali (com’è altamente probabile) dovessero mettere in pratica il loro proposito e pubblicheranno i dati. Finora infatti le informazioni sensibili su migliaia di padovani sono state solo sottratte dai server dell’Usl ma non ci è stata nessuna “fuoriuscita” pubblica.
Il settore sanitario resta il più colpito
“Senza dubbio il settore sanitario, messo a dura prova dalla pandemia, è stato nel corso del 2020 il bersaglio preferito di mirati attacchi informatici che, in termini numerici, sono stati 20.777 tramite malware e 2.063 attraverso ransomware“, aveva spiegato Agostino Ghiglia, uno dei componenti dell’Authority. “È evidente che il comparto sanitario risulta essere quello più bersagliato a causa della quantità e qualità dei dati custoditi e che, ovviamente, hanno un notevole valore economico. È fondamentale per questo motivo che le strutture sanitarie prevedano un piano operativo d’azione che racchiuda sia una difesa in ambito tecnologico che un piano formativo del personale dal momento che il più delle volte gli attacchi vengono veicolati con precise comunicazioni e-mail”.
C’è anche un provvedimento specifico, emanato il 22 luglio 2021, nei confronti di una struttura sanitaria privata vittima di un attacco ransomware che ha portato alla perdita di circa 30 dati personali, anche relativi alla salute, di 29 pazienti della clinica. In questo caso la società se l’è cavata con un ammonimento, giustificato dall’esiguità dei dati sfuggiti e dalla mancanza di reclami o segnalazioni da parte dei pazienti. Ma il Garante ha voluto ricordare perentoriamente come “i dati personali devono essere trattati in maniera da garantirne un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate”.