È stato “un attacco hacker vile e criminale”

TL;DR Un attacco ransomware ai sistemi informatici di una struttura ospedaliera ha un impatto molto forte nell’immaginario collettivo, che vede minacciato il proprio diritto alle cure e alla salute. Al di là dell’innegabile condanna del gesto, cerchiamo anche d’imparare dagli errori e a chiedere che siano messe in atto adeguate misure di prevenzione e protezione anche a tutela dei nostri dati sanitari.

“Credo in chi sa riconoscere i propri sbagli, chi commette errori
e sa chiedere scusa. In chi, di fronte alle difficoltà, resta”

Un attacco hacker vile e criminale” recita il post pubblicato ieri, 11 dicembre 2021, sulla pagina Facebook della Ulss 6 “Euganea”, colpita dal gruppo ransomware HiveLeaks.

Come sapete, tra i vari danni di un attacco informatico c’è anche quello “reputazionale” e le conseguenze, certe volte, possono essere anche peggiori dei danni effettivi alla Rete e ai sistemi ICT colpiti.

Soprattutto nelle fasi successive all’attacco, quando i sistemi sono compromessi e l’impatto colpisce la business continuity, entra in gioco la capacità degli uffici stampa nel saper consigliare chi di dovere nel modo migliore di affrontare le esigenze comunicative in merito, soprattutto per informare adeguatamente gli utenti (la cosiddetta “gestione della crisi”).

Sono momenti in cui le parole sono importanti e la scelta dei termini deve essere attentamente ponderata, nell’ottica ovviamente d’indirizzare “correttamente” eventuali responsabilità.

Anche in questo caso, ad esempio, troviamo l’uso della parola “hacker” con la (errata) connotazione negativa che i media mainstream si ostinano, ancora oggi, a usare: siamo davanti a vere e proprie organizzazioni criminali, non smanettoni col cappuccio in qualche buia cameretta di periferia. Subito dopo le parole, forti, “vile e criminale“: siamo davanti a un atto criminoso compiuto nei confronti di una istituzione importante per la salute dei cittadini.

La comunicazione sul portale della gang ransomware di HiveLeaks

L’opinione pubblica resta sempre particolarmente colpita da questi eventi, soprattutto quando il bersaglio sono strutture sensibili come gli ospedali, per le quali è opinione comune pensare (sbagliando) che non possano essere bersaglio dei criminali. Ci sono delle ransomware gang che, un po’ come Arsenio Lupin, per loro scelta NON colpiscono ospedali e scuole (ad esempio, Clop). Ma nel mondo delle cyber-estorsioni, rappresentano più l’eccezione che la regola: gran parte delle gang non si fanno particolari scrupoli a colpire anche obiettivi sensibili, tanto che –come abbiamo già scritto in passato– abbiamo già avuto (non in Italia, al momento) le prime vittime “reali” di attacchi ransomware.

La condanna del gesto, quindi, è unanime: perché mai si dovrebbe colpire un ospedale, mettendo a rischio l’incolumità dei cittadini?

Per soldi, ovviamente. E anche perché le strutture sanitarie trattano e conservano dati personali e sanitari dei cittadini (considerando 35 del Regolamento UE 2016/679), potenzialmente con “rischio elevato per i diritti e le libertà delle persone fisiche” (art. 34 Regolamento UE 2016/679): non posso non immaginare quali conseguenze per migliaia di cittadini italiani se i dati dei loro referti medici, cartelle cliniche, prescrizioni… dovessero essere diffusi pubblicamente!

Ecco perché, pur condividendo la condanna nei confronti dei cybercriminali, mi sento anche di dover sottolineare come sia necessario che le strutture pubbliche, a iniziare da quelle sanitarie, implementino adeguati sistemi, strumenti e pratiche per proteggere i dati trattati.

Per questo, pur concordando che l’attacco sia stato “vile e criminale“, credo che non possiamo ignorare le potenziali responsabilità del Titolare del trattamento di quei dati che, ai sensi dell’art. 32 dal Regolamento UE 2016/679, avrebbe dovuto mettere “in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio“.

La necessità di proteggere i dati sanitari è ben nota, come ricordato nell’intervista al Dott. Agostino Ghiglia, Componente del Garante per la protezione dei dati personali, del 9 Novembre scorso, proprio in merito all’escalation di data breach nella sanità:

Senza dubbio il settore sanitario, messo a dura prova dalla pandemia, è stato nel corso del 2020 il bersaglio preferito di mirati attacchi informatici che, in termini numerici, sono stati 20.777 tramite malware e 2.063 attraverso ransomware, secondo l’ultimo report di Trend Micro. L’Italia, lo scorso aprile, risultava al terzo posto a livello globale per attacchi malware, dopo Stati Uniti e Giappone.


Intervista ad Agostino Ghiglia, Data breach: “La sanità la più colpita. Proteggere reti e dati sensibili”.

La fortissima spinta alla digitalizzazione, con una brusca accelerata proprio a causa della pandemia CoVID, ha colto tantissime strutture –sia pubbliche che privateimpreparate ad affrontare le nuove dinamiche organizzative del lavoro. Talvolta, per garantire il servizio, è stata sacrificata la sicurezza, già non sempre adeguata sia per budget spesso inadeguati che per carenza di formazione dell’anello debole della cyber kill chain: l’utente. Moltissimo personale ha dovuto fare i conti con piattaforme digitali senza aver ricevuto adeguata formazione in termini di sicurezza, a cui si unisce spesso l’assenza di procedure e policy adeguate: molti attacchi iniziano, banalmente, con un click nel posto sbagliato.

È curioso come la normativa vigente sulla “sicurezza sul lavoro” definisca con precisione millimetrica l’altezza delle sedie per i videoterminalisti, così come l’inclinazione del monitor e la posizione dello stesso rispetto alle fonti d’illuminazione, per poi dimenticarsi completamente di tutti gli aspetti relativi alla sicurezza cyber, iniziando dalle più banali come “non scrivere le password di accesso sul foglietto attaccato al monitor“.

Per finire, penso che in tutto questo entri anche una dimensione culturale tipicamente italiana, dettata da una scarsa memoria collettiva e dalla strumentalizzazione propagandistica di qualunque evento, anche avverso. “La prevenzione costa e non genera consenso” -mi disse una volta una persona di grande esperienza politica- “spesso è meglio lasciar accadere il problema e poi vantarsi, pubblicamente, di averlo risolto“. Come potergli dar torto?

Questo articolo è stato visto 54 volte (Oggi 1 visite)

Hai imparato qualcosa di nuovo?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.