Gli attacchi ransomware hanno mietuto l’ennesima vittima: questa volta si tratta dell’Ospedale Sacra Famiglia di Erba, in provincia di Como, struttura afferente all’Ordine Ospedaliero di San Giovanni di Dio – Fatebenefratelli.

Un ransomware è un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in inglese) da pagare per rimuovere la limitazione. Ad esempio alcune forme di ransomware bloccano il sistema e intimano l’utente a pagare per sbloccare il sistema, altri invece cifrano i file dell’utente chiedendo di pagare per riportare i file cifrati in chiaro.

Questo è proprio quello che è accaduto all’ospedale di Erba: l’attacco ha criptato un enorme quantitativo di file, tra cui ben 35 mila radiografie risalenti agli ultimi 12 mesi. L’ospedale ha deciso di non rispondere nemmeno alla mail dei pirati per conoscere l’entità del “riscatto“ richiesto per riacquistare l’accesso ai file. Ciò ha causato nei giorni successivi all’attacco una diminuzione dei servizi soprattutto per quanto ha riguardato le attività del pronto soccorso e della diagnostica per immagini (TAC, RM); ma questa non è che la punta dell’iceberg in quanto non possiamo immaginare a quanti e quali scapiti dovranno andare incontro i pazienti a cui si riferiveno le 35000 radiografie andate perdute, visto che anche le operazioni di backup hanno avuto notevoli problemi come afferma lo stesso ospedale nella sua nota:

“con riferimento alle attività di ripristino dei dati compromessi, è emersa l’impossibilità di recuperare le immagini relative ad alcune prestazioni erogate negli ultimi 12 mesi (non i referti, che sono stati totalmente recuperati).”

Tutta la questione è già sul tavolo dell’Autorità Garante, che dovrà accertare le eventuali responsabilità riguardo alle misure minime di protezione dei dati. Sicuramente ci sono stati problemi su almeno tre aspetti:

  • • Sicurezza informatica: è un dato preoccupante che in una struttura ospedaliera si possa arrivare ai server che custodiscono i dati sensibili dei pazienti così facilmente sfruttando una semplice mail pervenuta sul client di un dipendente senza trovare, durante il percorso, una protezione efficace: protezione che, oltre ad essere assolutamente auspicabile come misura minima in una struttura come quella di Erba, rientra negli obblighi imposti dal Regolamento Europeo sulla protezione dei dati personali al titolare del trattamento (articolo 25 GDPR)
  • Formazione: La formazione e la prevenzione dovrebbero essere le armi principali con le quali le aziende contrastano e combattono i pericoli della rete; purtroppo sempre più frequentemente entrambe vengono prese in scarsa considerazione o portate avanti in maniera sommaria e poco incisiva.
  • Ripristino: Per i backup è importante che questi siano segregati e che dalla rete dei client, spesso target diretto dei ransomware, sia impossibile accedere alle copie di backup generate dai server aventi questo scopo

Le indagini per risalire agli autori di questo attacco sono coordinate dalla Divisione Distrettuale di Milano, nello specifico dalla sezione specifica che si occupa di reati informatici.
L’augurio è che si arrivi presto alla scoperta dei responsabili, ma la valutazione più importante deve essere fatta a livello più elevato, ove titolari, responsabili e RPG/DPO dovrebbero da un lato avere chiare le proprie responsabilità e dall’altro non ci si improvvisi in figure professionali che hanno una notevole delicatezza di compiti.

In ultimo, auspichiamo che l’Autorità Garante usi i suoi strumenti per sanzionare in maniera adeguata chi non ha svolto correttamente le proprie mansioni. Solo così si può arrivare ad un aumento di consapevolezza nei riguardi di una tematica tanto importante, però si sa, nel nostro Paese non è l’etica a spingere verso l’osservanza delle norme,ma il timore delle sanzioni.