Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Attacchi informatici in aumento: il Data Breach dell’ospedale di Erba

Il costante sviluppo tecnologico può rivelarsi in molte occasioni un’arma a doppio taglio. Se da una parte, infatti, assistiamo a un progresso favorevole, dall’altra occorre essere consapevoli dei rischi e dei pericoli che ci circondano.

L’anno 2019 ha registrato un vertiginoso aumento dei crimini informatici e le previsioni per il 2020 non sono certo le più confortanti.

In continuo aumento è la diffusione dei ransomware, cioè virus informatici che limitano l’accesso al dispositivo infettato richiedendo poi un riscatto (da qui il termine inglese ransom) da pagare per rimuovere la limitazione, in grado di disattivare alcuni sistemi di controllo delle strutture e di cifrare una grande quantità di dati archiviati sui server.

L’insidia maggiore deriva dal fatto che la rete non conosce limiti spazio-temporali. Gli hacker quindi non escludono nessuno e mietono sempre più vittime sia nella Pubblica Amministrazione (in particolare i Comuni), sia nel settore privato. In particolare, nel mirino finiscono realtà e strutture di grandi dimensioni, o meglio, enti o aziende che detengono una corposa mole di dati personali e dispongono di un ingente patrimonio.

L’ultimo caso italiano ha visto protagonista, agli inizi di novembre, l’Ospedale “Sacra Famiglia” di Erba, struttura afferente al gruppo sanitario “San Giovanni di Dio – Fatebenefratelli” della Provincia Lombardo-Veneta.

Alla data attuale, è ancora presente sul sito dell’ospedale (www.fatebenefratelli.it/strutture/ospedale-sacra-famiglia) un comunicato agli utenti che recita “l’Ospedale è stato vittima di un attacco informatico di tipo ransomware che ha cifrato alcuni dati, anche di natura sanitaria, custoditi nei propri sistemi informatici” e che, nonostante alcuni tentativi di ripristino, “è emersa l’impossibilità di recuperare le immagini relative ad alcune prestazioni erogate negli ultimi dodici mesi”. La struttura sanitaria, dopo aver sottolineato che fossero esclusi i referti clinici, ha avvisato gli utenti di aver “già provveduto a notificare la violazione all’Autorità Garante per la Protezione dei Dati Personali e a esporre denuncia all’Autorità giudiziaria”.

A parere di chi scrive, la preoccupazione dell’ospedale non è mai stata la tutela dei dati personali e delle informazioni sanitarie di natura sensibile dei pazienti, bensì rimediare ai disservizi causati da tale evento e garantire l’efficienza clinica e terapeutica.

Al di là delle considerazioni personali, occorre comprendere in che cosa consista una violazione di dati personali e per quale motivo l’ospedale in questione abbia dovuto segnalare l’accaduto al Garante per la protezione dei dati personali.

La norma di riferimento è il Regolamento UE 2016/679, c.d. “GDPR”, applicabile in tutto il territorio europeo dal 25 maggio 2018. Tale norma, in primis, definisce il concetto di “dato personale” e soprattutto, all’articolo 9, delinea “il dato sanitario” (o relativo allo stato di salute) come un dato appartenente a categorie particolari (per intenderci, un dato sensibile).

Inoltre, visto che la violazione ha ad oggetto le immagini radiografiche relative a circa 35mila persone, occorre considerare la nozione di “dato biometrico”, ovvero un dato ottenuto “da un trattamento tecnico specifico relativo alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca”.

Altrettanto importante è la descrizione di che cosa il Regolamento consideri come una violazione (c.d. data breach), ossia una “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. È importante sapere che una violazione può compromettere la riservatezza, l’integrità o la disponibilità dei dati personali.

Alcuni esempi frequenti sono l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati, il furto o la perdita di dispositivi informatici contenenti dati personali, la deliberata alterazione di dati personali, l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni (virus, malware, ransomware, ecc.), la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità.

A tal proposito, risulta utile mettere a disposizione del personale del Titolare una procedura sulla gestione di un data breach. Difficilmente, infatti, si saprà individuare e arginare una violazione se non si è informati a riguardo.

Una volta riconosciuto che sia in atto una violazione, è fondamentale essere a conoscenza delle attività da effettuare.

Il primo passo in questa direzione è sicuramente avvertire una funzione interna all’azienda o all’ente che si occupi delle tematiche privacy; se adeguatamente formato, la persona referente saprà che dovrà rivolgersi al consulente privacy o al DPO/RPD (Responsabile della Protezione dei dati, se la nomina è prevista) e a un tecnico informatico o all’Amministratore di Sistema (se tale figura è presente).

I successivi adempimenti riguardano la notifica di tale violazione all’Autorità Garante e, se necessario, ai soggetti interessati. Le statistiche ci raccontano che dal periodo di applicazione del Regolamento fino al 30 giugno 2019 sono state effettuate 1254 segnalazioni.

L’articolo 33 del GDPR statuisce che il Titolare del trattamento (l’azienda, l’ente o il professionista) notifichi la violazione all’Autorità di controllo competente (in Italia, il Garante per la protezione dei dati personali) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora il termine temporale sia scaduto, la notifica deve essere corredata dei motivi del ritardo.

Nei mesi scorsi, l’Autorità italiana ha reso disponibile sul proprio sito internet un modello unico di segnalazione.

Qualora non fosse necessaria una segnalazione al Garante, è bene ricordare che il Titolare deve in ogni caso documentare tutte le violazioni, ad esempio predisponendo un apposito registro; tale documento consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.

Il successivo articolo 34 regolamenta la notifica ai soggetti interessati, prevedendo che “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo”.

Occorre ricordare che devono essere notificate solamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali. Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.

In seguito all’accertamento della violazione, il Garante può prescrivere misure correttive, anche relative all’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione, oltre a comminare sanzioni pecuniarie che possono arrivare fino a 10 milioni di euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.

Il caso dell’Ospedale “Sacra Famiglia” di Erba è uno dei sempre più ricorrenti esempi di violazioni dei dati personali, insieme all’ospedale francese di Rouen, agli attacchi ai Comuni italiani, alle finte PEC di fatturazione elettronica, al ransomwareSnatch” e numerosi altri.

Tra le adeguate misure tecniche e organizzative che il Titolare deve garantire per il rispetto del Regolamento rientra di certo la formazione del personale, in quanto l’errore umano è sempre il primo fattore di rischio; inoltre, sul versante informatico, è consigliabile aggiornare sempre sia l’antivirus sia il sistema operativo ed eseguire periodicamente un backup dei dati, cioè una copia dei propri file da ripristinare in caso di attacco; risultano inoltre utili alcune semplici regole, come non aprire mai allegati di provenienza sospetta e prestare attenzione ai dispositivi esterni (chiavette usb su tutti). Nei casi più complessi, ad esempio in caso di attacco, è sconsigliato pagare la somma richiesta, prediligendo invece la consulenza a un’azienda specializzata nel settore.