Sicurezza Informatica
Asl napoletana multata per data breach dopo attacco ransomware
Una Asl di Napoli è stata multata dal Garante privacy per non aver protetto adeguatamente i dati personali e sanitari di oltre 842.000 persone da un attacco ransomware.
Il Garante privacy ha inflitto una sanzione di 30.000 euro a una Asl di Napoli per non aver adeguatamente protetto i dati personali e sanitari di oltre 842.000 individui da attacchi hacker.
Dettagli dell’attacco
La struttura sanitaria è stata vittima di un attacco ransomware. Un virus ha limitato l’accesso al database della struttura e ha richiesto un riscatto per ripristinare il funzionamento dei sistemi. Conformemente alla normativa sulla protezione dei dati personali, l’Asl ha segnalato il data breach al Garante, che ha avviato un’indagine per esaminare le misure tecniche e organizzative implementate dalla struttura sia prima che dopo l’attacco.
Criticità riscontrate
L’indagine del Garante ha rivelato diverse gravi carenze. Tra queste, l’assenza di misure adeguate per identificare tempestivamente le violazioni dei dati personali e per garantire la sicurezza delle reti. Questo ha violato il principio della “privacy by design”. L’accesso alla rete tramite VPN avveniva solo attraverso un processo di autenticazione basato su username e password. Inoltre, la mancanza di segmentazione delle reti ha permesso al virus di diffondersi in tutta l’infrastruttura informatica.
Decisione del Garante
Nel determinare la sanzione, il Garante ha considerato la gravità del data breach, che ha coinvolto dati sensibili relativi alla salute di un vasto numero di persone. Tuttavia, è stato anche preso in considerazione l’approccio non intenzionale e collaborativo dell’Asl. Dopo l’incidente, l’Asl ha implementato diverse misure per mitigare il danno e ridurre la probabilità di futuri attacchi. Queste misure includono l’introduzione di un accesso VPN con autenticazione a doppio fattore.