stampa

Cyber-sicurezza. Garante privacy sanziona una Asl che aveva subito un attacco ransomware per non aver protetto adeguatamente i dati degli assistiti

Sanzione di 30.000 euro ad una Asl napoletana con 842.000 tra assistiti e dipendenti. La struttura sanitaria aveva subito un attacco ransomware che attraverso un virus aveva limitato l'accesso al data base della struttura sanitaria e richiesto un riscatto per ripristinare il funzionamento dei sistemi. IL DOCUMENTO

Sanzione del Garante privacy di 30.000 euro ad una Asl napoletana per non aver protetto adeguatamente da attacchi hacker i dati personali e i dati sanitari di 842.000 tra assistiti e dipendenti. La struttura sanitaria aveva subito un attacco ransomware che attraverso un virus aveva limitato l'accesso al data base della struttura sanitaria e richiesto un riscatto per ripristinare il funzionamento dei sistemi, si legge nella newsletter del Garante della privacy.

Come previsto dalla normativa in materia protezione di dati personali, l’Asl aveva provveduto a comunicare il data breach al Garante che ha immediatamente aperto un’istruttoria sull’accaduto per verificare le misure tecniche e organizzative adottate dalla Asl sia prima che dopo l’attacco subito. Diverse le importanti criticità rilevate dal Garante a seguito dell’attività ispettiva, come la mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali e a garantire la sicurezza delle reti, anche in violazione del principio della protezione dei dati fin dalla progettazione (privacy by design). L’accesso alla rete tramite vpn avveniva infatti mediante una procedura di autenticazione basata solo sull’utilizzo di username e password. Inoltre, la carenza di segmentazione delle reti aveva causato la propagazione del virus all’intera infrastruttura informatica.

Nel sanzionare l’illecito il Garante ha tenuto conto del fatto che il data breach ha riguardato dati idonei a rilevare informazioni sulla salute di un numero molto rilevante di interessati, ma anche dell’atteggiamento non intenzionale e collaborativo della Asl. Dopo l’accaduto, l’azienda ha adottato una serie di misure volte non solo ad attenuare il danno subito dagli interessati, ma anche a ridurre la replicabilità dell’evento stesso, tra le quali l’attivazione di una procedura di accesso alla rete tramite vpn con doppio fattore di autenticazione.

Allegati:

Il documento

Aborto. La Corte Suprema Usa si pronuncerà su quando i medici possono intervenire in emergenza negli Stati in cui vige il divieto

Influenza aviaria. Rilevate tracce virus nel latte vaccino. Autorità Usa: “Al momento nessun problema di sicurezza”

Vaccini Covid. Consulta: “Legittimo obbligo anche per amministrativi che lavorano nel Ssn in smart working”

La Fondazione Consulcesi vince l’asta per “Barbie Bebe”: i proventi all’Art4Sport della campionessa paralimpica

Osteoporosi. Le fratture da fragilità colpiscono in Italia 1 donna su 3 e 1 uomo su 5 tra gli over 50

Autismo. Angsa: “Sos Sportelli Scuole, mancano leggi e soldi”