Con una sanzione di 25mila euro il Garante privacy ha definito il procedimento aperto nei confronti di un’Azienda ospedaliero -universitaria che aveva subito un attacco hacker ai sistemi informativi nel dicembre 2022. Il data breach – causato da un malware di tipo ransomware introdotto nei sistemi attraverso l’accesso a un PC aziendale con VPN aperta – aveva comportato la perdita di riservatezza, integrità e disponibilità dei dati personali di un numero elevato di interessati. Tra questi dipendenti, consulenti e pazienti. La violazione non aveva però determinato il blocco dei servizi sanitari.
L’Autorità si era attivata a seguito di una notifica dell’Azienda. Dalla documentazione trasmessa dall’ispezione effettuata dal Garante sono emerse alcune carenze relative agli obblighi di sicurezza previsti dal Regolamento europeo, dovute all’adozione di sistemi non aggiornati e a misure inadeguate a rilevare tempestivamente le violazioni di dati e a garantire la sicurezza delle reti informatiche. In particolare, l’utilizzo di software obsoleti, per i quali non erano più previsti aggiornamenti di sicurezza e di alert non a copertura h24, hanno favorito il verificarsi dell’attacco hacker.
Nel corso dell’istruttoria, il Garante ha inoltre accertato ulteriori omissioni riguardanti le misure di sicurezza, tra cui la mancanza di una procedura di autenticazione informatica a più fattori per l’accesso da remoto alla VPN, che invece avveniva solo attraverso l’utilizzo di username e password; e l’assenza di un sistema per segmentare e segregare le reti delle postazioni dei dipendenti, nonché i server per i trattamenti, per evitare una propagazione di virus.