Michele PinassiTL;DR La ransomware gang Monti dichiara di aver colpito la ASL 1 Abruzzo, esfiltrando oltre 500 gigabyte di dati, con conseguenze importanti sia all’operatività dell’infrastruttura informatica che alla riservatezza dei dati personali e particolari coinvolti.
“ASL 1 – Avezzano Sulmona L’Aquila” sotto la scritta bianca a sfondo giallo “Wall of Shame“, il “muro della vergogna“, sul DLS –Data leak Site– del gruppo Monti, accessibile via TOR, insieme a tutte le altre vittime della ransomware gang.
La gang asserisce di aver sottratto, dai sistemi informatici della ASL1 abruzzese, 522 Gigabyte di dati, tra cui i dati personali dei pazienti risultati positivi all’HIV (“Multiple vulnerabilities allowed the download of data on HIV-positive patients.”).
A testimonianza dell’attacco, pubblicano sul clearweb lo screenshot di un referto clinico relativo a una eocgrafia ginecologica, con tanto di dati personali della paziente.
Sono rimasto sinceramente molto dispiaciuto nel vedere un referto medico contenente informazioni riservate e decisamente molto personali (parliamo di “dati particolari”, ex-sensibili, ai sensi GDPR) relative a un paziente. Penso che sia una violazione molto grave della propria privacy e intimità, che potrebbe portare a conseguenze lesive per i propri diritti e libertà.
Colpa dei criminali? Sicuramente. Nessuno qui sta giustificando l’operato criminoso delle ransomware gang, che colpiscono realtà critiche come le Aziende Ospedaliere. Dall’altro canto, però, le ASL, come tutte le altre strutture pubbliche e private che trattano dati personali, hanno l’obbligo di proteggere al meglio questi dati, attraverso procedure “tecniche o organizzative adeguate” (considerando 39 e articolo 5, paragrafo 1, lettera f, GDPR).
La pubblicazione della notizia sul DSL è datata 4 Maggio 2023 ma già dal giorno precedente sul sito ufficiale della ASL1 è stata pubblicata una news in merito a problemi sul sistema informatico aziendale.
Molto probabilmente l’attacco era in corso e fa sorridere leggere “non dovuto a problemi interni”: scarsa consapevolezza di quanto stava accadendo?
In ogni caso, la vicenda non è passata inosservata ed è iniziata a uscire la notizia anche sulla stampa.Nell’articolo “ATTACCO HACKER, ASL L’AQUILA: “DATI SENSIBILI AL SICURO, SI LAVORA PER RIPRISTINARE SISTEMA”” su AbruzzoWeb l’Azienda dichiara che:
La domanda penso nasca spontanea: se “nessun dato sanitario o sensibile è stato trafugato o perduto“, da dove la ransomware gang Monti ha tirato fuori quel referto medico su una ecografia ginecologica?
La medesima domanda sembra se la sia fatta anche il consigliere regionale Fedele, che in un comunicato stampa sempre su AbruzzoWeb, “ASL L’AQUILA: SERVER HACKERATI, FURTO DATI, E’ PARALISI, RIUNIONE DI EMERGENZA TASK FORCE” datato 5 maggio, si interroga su come sia possibile che il referto medico sia finito in Rete e chiede di verificarne l’autenticità.
Aggiornamento 15.05.2023
All data published. Tutti i dati esfiltrati durante l’attacco sono stati pubblicati
e la nota di accompagnamento sottolinea come, da parte della gang Monti, non ci sia mai stata alcuna cifra per il riscatto e che “the media invented the amount“.
Quale che siano le verità e le falsità in tutta questa faccenda, di una cosa ne ho certezza: le vittime sono tutti quei cittadini che si ritrovano i loro dati più preziosi e intimi, ovvero quelli sanitari, alla mercé di chiunque sul web.
Aggiornamento 13.05.2023
La ransomware gang Monti incalza e rilancia, pubblicando sia una quarta trance di dati che evidenziando una vulnerabilità di tipo sql injection trovata sui sistemi, in questo caso sulla piattaforma dell’almbo pretorio, della ASL1 Abruzzo.
Tra i dati sembra comparire, stando ai nome dei file pubblicati, materiale proveniente da Archiflow, una piattaforma commerciale di gestione documentale. Parliamo di oltre 106 gigabyte compressi, che farebbero stimare almeno un 2-300 gigabyte di dati provenienti presumibilmente dai sistemi della ASL1 Abruzzo.
A quanto si apprende da alcune fonti stampa, il riscatto richiesto ammonterebbe a circa 2 milioni di euro, ovviamente da pagare in bitcoin. Che chiaramente l’ASL1 non intende affatto pagare, come dichiarato dallo stesso presidente della Regione Abruzzo, Marco Marsilio. Tra le altre dichiarazioni, il dott. Marsilio ci tiene a sottolineare che
la divulgazione dei dati trafugati costituisce un reato e chiunque scarichi file dal dark web commette un reato, quindi invitiamo tutti a non aprire documenti rilasciati illegalmente in rete
Marco Marsilio, Presidente Regione Abruzzo, a Fanpage
Precisazione condivisibile, ovviamente, nell’attesa però di avere anche risposte in merito a come è stato possibile che una struttura pubblica come un Ospedale abbia permesso la fuga di una mole così ingente di dati personali che riguardano migliaia di pazienti abruzzesi.
Aggiornamento 11.05.2023
Pubblicato sul DLS della ransomware gang Monti un nuovo messaggio destinato ai residenti della Regione Abruzzo, insieme a un elenco di presunti nonimativi di cui sono stati pubblicati i dati.
Aggiornamento 10.05.2023
Mercoledì 10 Maggio 2023 sul sito DLS della gang Monti è stato pubblicato il secondo link alla seconda tranche di dati messi a disposizione pubblicamente. Nel mentre, la gang ha pubblicato una sorta di lettera aperta indirizzata a Marco Marsilio, presidente della Regione Abruzzo, e Ferdinando Romano, Direttore Generale ASL1 Abruzzo, per invitarli a intraprendere le trattative:
La lettera, che contiene critiche molto dure nei confronti dell’amministrazione vittima dell’attacco, sottolinea come “You’re talking about months of recovery, which costs a lot of money. We will restore your database in no more than 8 hours.” (“Stai parlando di mesi per il recupero, che costa molto denaro. Noi ripristineremo il tuo database in non più di 8 ore.”).
Nel frattempo la vicenda sta assumendo una certa rilevanza non solo regionale, tanto da indurre la ASL1 a diramare una diffida “dal diffondere ulteriormente ed in qualsiasi modo materiale provento dell’attacco informatico di cui questa Azienda è stata vittima, come è noto, in questi giorni”. Richiamo che trovo condivisibile, ovviamente, ma che spero non venga utilizzato come difesa nei confronti di una diffusione sempre più incontrollata dei dati sottratti dai sistemi informatici della ASL1 abruzzese.
Per finire, sul sito web della ASL1 Abruzzo è stata pubblicata una pagina dedicata all’attacco.
Aggiornamento 09.05.2023
La ransomware gang Monti ha pubblicato sul suo DLS il link con i primi 10 GByte di dati esfiltrati dai sistemi informatici dell’ASL1 Abruzzo, minacciando di procedere alla pubblicazione del resto nel caso non siano soddisfatte le rischieste del riscatto.
AGGIORNAMENTO 06.05.2023
Sul DLS del ransomware group Monti è stato pubblicato un messaggio di aggiornamento:
“Let me remind you that we own mode than 500 GB of your organization’s data.”
Vedremo come evolverà la questione, mentre in Europa si inizia anche a discutere sui risarcimenti che potrebbero essere chiesti per danni non materiali derivanti dal furto e conseguente pubblicazione di dati personali, anche in seguito ad esfiltrazione da attacco ransomware (come indicato anche nell’art. 82 del GDPR). Dovrà essere il Titolare dei trattamenti a dimostrare, per evitare di dover risarcire le vittime (anche se la questione è più complessa e dipende anche dalle normative nazionali), di aver intrapreso tutte le misure tecniche e organizzative adeguate.
The risk of fraudulent use of personal data was real, irrespective of the cases of fraud, in so far as the data of many persons were made accessible to unauthorised third parties. The absence of proven damage to the data subjects does not affect the existence of the security defect, which constitutes the breach of Article 32 of the GDPR.
French Data Protection CNIL
Insomma, le conseguenze degli attacchi ransomware rischiano di diventare sempre più pesanti, sia sotto gli aspetti di business continuity che reputazionali, passando dalle potenziali conseguenze post-attacco per gli eventuali risarcimenti.
Hai trovato utile questo articolo?
