Lo scorso 28 novembre 2023 l’Azienda USL di Modena, l’Azienda Ospedaliero-Universitaria di Modena e l’Ospedale di Sassuolo Spa sono stati vittima di un attacco ai sistemi informatici ad opera di un gruppo di hacker, denominato “Hunters international”.
Tale modalità si configura come una vera e propria azione criminale ed è analoga a quanto avvenuto presso altre aziende sanitarie; come accaduto in quei contesti, non è stata presa in considerazione alcuna richiesta di riscatto da parte del gruppo hacker. Tanti soggetti, in tutta Italia e nel resto del mondo, vengono colpiti da questo tipo di attacchi (vedi sotto). Situazioni di questo tipo non sono mai completamente prevenibili, come dimostrano le numerose notizie nazionali e internazionali.
E’ un attacco ai sistemi informatici da parte di gruppi criminali che si introducono nei sistemi di enti, aziende e privati con lo scopo di creare danno e disagi. Le Aziende sanitarie modenesi hanno subito un attacco di tipo “ransomware” da parte di un gruppo, gli “Hunters international”, che ha esfiltrato dati, cioè li ha copiati, minacciando di divulgarli nel dark web in caso di mancato pagamento di un riscatto. I dati copiati sono comunque rimasti in possesso dell’Azienda grazie al funzionamento di sistemi di backup e continuità.
Il dark web è una parte di internet nascosta, non liberamente accessibile dai comuni motori di ricerca. L’accesso al dark web, di fatto, richiede l’utilizzo di software appositi e specifiche competenze, le informazioni non sono indicizzate e, dunque, le ricerche sono limitate al solo nome del file, senza poter essere estese al contenuto.
La pubblicazione di dati sul dark web non implica in maniera automatica la pubblicazione e diffusione degli stessi dati sul “clear web”, cioè in quella parte della rete internet accessibile a tutti e navigabile tramite i classici motori di ricerca.
I dati pubblicati sul dark web non sono immediatamente accessibili dai cittadini tramite le normali ricerche.
È importante ricordare inoltre che chiunque, senza averne diritto, visualizzi, entri in possesso o scarichi i dati personali altrui o li utilizzi per propri scopi o li diffonda on-line, sui social network o in altro modo, incorre in condotte illecite anche penalmente perseguibili.
In primo luogo l’Azienda USL di Modena ha condannato in maniera ferma l’azione criminale compiuta e si è rifiutata di pagare il riscatto. Le Aziende sanitarie modenesi sono esse stesse vittime a fianco dei cittadini di un vero e proprio attacco alla sanità pubblica.
L’Ausl ha immediatamente denunciato l’attacco hacker alla Polizia Postale ed effettuato le comunicazioni previste al Garante della Privacy e ha attivato una task force multidisciplinare di esperti per gestire e rispondere all’accaduto con il supporto della stessa Polizia postale e dell’Agenzia per la cybersicurezza nazionale, coinvolgendo persone e professionalità che si erano già occupate di attacchi simili ad altre aziende sanitarie.
Dopo l’iniziale blocco, necessario per proteggere tutti i dati delle Aziende, i sistemi sono stati ripristinati con tutti i protocolli di sicurezza necessari. Nessun dato custodito negli archivi aziendali è andato perso, ma è stata pubblicata la copia di alcuni. Gli esperti hanno rilevato che alcune informazioni relative ad assistiti, dipendenti e utenti sono state divulgate dagli hacker sul dark web, una parte di internet non accessibile con i normali motori di ricerca.
L’Ausl ha integrato la denuncia alla Polizia postale, notificato la violazione all’Autorità Garante per la protezione dei dati e ha avviato i percorsi informativi necessari.
Sin da subito l’Ausl ha creato una pagina web dedicata al costante aggiornamento sulla ripartenza dei servizi e una pagina relativa alle informazioni in merito ai dati personali ai sensi dell’art. 34 del GDPR.
È in corso la fase tecnica di scarico in sicurezza dei file, affidata ad un’azienda altamente specializzata. Si tratta di una operazione particolarmente delicata che richiede l’utilizzo di software realizzati ad hoc, al fine di assicurare all’Ausl la garanzia, per ogni file, che non sia esso stesso portatore di virus e che sia effettivamente riconducibile all’Ausl stessa.
Inoltre, sono stati avviati dei percorsi di coinvolgimento sia a livello nazionale che locale:
● subito dopo l’attacco l’Ausl ha contattato le altre aziende sanitarie vittime di attacchi simili e i soggetti che mettono in rete le aziende sanitarie, con l’obiettivo di portare il tema all’attenzione dell’intera comunità sanitaria e mantenere aperto un confronto e, nell’immediato, individuare i migliori specialisti e selezionare le migliori pratiche da applicare sul contesto modenese.
● sul versante locale, si è tenuto il 19 dicembre il primo di una serie di incontri con i rappresentanti delle associazioni che su tutta la provincia collaborano con l’Azienda sanitaria – i Comitati consultivi misti – e con le associazioni di consumatori, con l’obiettivo di avviare percorsi informativi adeguati sul territorio.
● non rispondere a chiamate in arrivo da prefissi internazionali se non conosciuti o registrati in rubrica sul proprio dispositivo;
● in caso di contatto telefonico con richieste estorsive o di altra natura illecita, contattare/segnalare il fatto alle Autorità competenti;
● modificare le credenziali di accesso a tutti i servizi in uso (email / pec / accessi servizi bancari / accessi servizi di acquisti on-line etc.) utilizzando password forti e diverse per ogni servizio attivato;
● non fornire a terzi sconosciuti le proprie credenziali di posta elettronica né informazioni relative a servizi ad uso e consumo personale;
● non comunicare mai le proprie password via telefono anche se il chiamante dichiara di essere ad esempio un responsabile della propria banca, della propria assicurazione o di un’Autorità giudiziaria;
● non cliccare sui link presenti nelle email, non scaricare né eseguire i file allegati, anche se fossero “apparentemente” dei semplici documenti word, excel o pdf, se non si è certi al 100% dell’autenticità del messaggio. Utilizzare ad esempio un canale di comunicazione differente per contattare il mittente e sincerarsi dell’autenticità del messaggio ricevuto.
E’ anche importante prestare la massima attenzione a:
● richieste di contatto telefonico aventi carattere invasivo della propria sfera di riservatezza;
● richieste di contatto telefonico per offrire prodotti e/o prestazioni sanitarie e/o servizi diversi collegabili a prestazioni sanitarie;
● truffe telefoniche attraverso le quali un malintenzionato tenta di indurli a fornire informazioni personali;
● e-mail o telefonate che sottendono comportamenti illegali riferiti a dati personali.
Se si dovesse verificare uno dei casi sopra descritti, invitiamo a darne segnalazione o sporgere denuncia alle Autorità competenti (Ufficio di Polizia di stato – Stazione dei Carabinieri).
Il Responsabile Protezione Dati (DPO) dell’Ausl di Modena è contattabile all’indirizzo e-mail dpo@ausl.mo.it
Le informazioni utili in merito alla violazione dei dati personali sono disponibili alla pagina dedicata
Tutte e tre le Aziende sanitarie pubbliche di Modena sono state coinvolte dall’attacco, i sistemi sanitari della provincia di Modena sono infatti strutturati per poter colloquiare e collaborare nella logica di gestione della rete sanitaria locale.
Inoltre, altre aziende sanitarie ed enti locali sono stati colpiti nell’ultimo periodo, come ad esempio: Regione Lazio (30 luglio 2021), Ulss Euganea di Padova (3 dicembre 2021), Asl Napoli 3 (8 gennaio 2022), Clinica San Giuseppe di Milano e l’Irccs Multimedica di Sesto San Giovanni (21 aprile 2023), Azienda sanitaria locale 1 Avezzano, Sulmona, L’Aquila (3 maggio 2023), Azienda Ospedaliera Universitaria Integrata di Verona (23 ottobre 2023).
L’8 dicembre 2023 si è verificato un attacco informatico al fornitore di servizi cloud Westpole ha impattato sul sistema PA Digitale, uno dei suoi clienti, che gestisce servizi amministrativi di 1300 Pubbliche amministrazioni di cui 540 Comuni in tutta Italia.
La Polizia Postale, l’Autorità Giudiziaria, l’Agenzia per la Cybersicurezza Nazionale con uno speciale nucleo denominato Computer Security Incident Response Team, l’Autorità Garante per la protezione dei dati personali.
Lo scarico dei dati ha evidenziato uno scenario di elevatissima complessità, sia per i volumi (quantitativo dei dati) sia per gli aspetti tecnici emersi durante lo scarico stesso (formati diversi dei file, discrepanza tra nomi dei file e loro contenuto); non è quindi possibile avere conoscenza di quanti cittadini siano coinvolti. Per questo motivo tutti sono invitati a prestare attenzione e mettere in atto i comportamenti precauzionali indicati.
Sono stati copiati dati aziendali, riferiti sia ad utenti che a dipendenti, di natura sia sanitaria che amministrativa. Per questo motivo tutti sono invitati a prestare attenzione e mettere in atto i comportamenti precauzionali indicati.
Il blocco è stato necessario per la immediata protezione di tutti i sistemi e la progressiva verifica e riattivazione. Subito dopo l’attacco sono entrate in funzione le procedure per garantire la sicurezza e la continuità operativa, che hanno consentito, seppure con rallentamenti, il mantenimento di molte attività cliniche.
Da subito è stato infatti possibile continuare a garantire interamente l’attività chirurgica e i ricoveri in tutti gli Ospedali della Provincia e la maggior parte delle prestazioni sanitarie, oltre a tutti i servizi di emergenza e all’assistenza domiciliare ai pazienti fragili, che si è immediatamente riorganizzata mettendosi in contatto con i Medici di medicina generale. Il piano provinciale per il sovraffollamento dovuto alle infezioni stagionali era già attivo e pienamente in funzione senza criticità in termini di accoglienza nelle diverse sedi sanitarie.
Contemporaneamente sono state poste in essere ulteriori azioni organizzative per la cura dell’utenza, dai pazienti ricoverati, alle urgenze, alle consulenze ed esami diagnostici.
Rispetto ai blocchi attuati sono stati seguiti i protocolli operativi, le tempistiche e i prodotti informatici indicati dal Computer Security Incident Response Team (CSIRT) dell’Agenzia per la cybersicurezza nazionale (ACN) per garantire la massima sicurezza di tutte le operazioni di ripristino.