Il Garante Privacy ha recentemente inflitto una sanzione di 25.000 euro all’Azienda Ospedaliero-Universitaria SS. Antonio e Biagio e Cesare Arrigo di Alessandria, in seguito a una violazione dei dati personali verificatasi a dicembre 2022.
L’incidente, causato da un attacco informatico di tipo ransomware denominato “Ragnar Locker”, ha coinvolto numerosi soggetti tra dipendenti, consulenti e pazienti. Nonostante il grave rischio per la riservatezza dei dati, l’attacco non ha causato disservizi nei servizi sanitari erogati dall’ospedale.
L’Azienda ha notificato tempestivamente l’incidente al Garante, come previsto dal GDPR, fornendo i dettagli sull’attacco. I criminali hanno esfiltrato dati da un server interno, minacciando di vendere le informazioni se non fosse stato stabilito un contatto tramite un canale TOR entro tre giorni.
Fortunatamente, i sistemi sanitari critici, come quelli legati all’erogazione delle prestazioni, non sono stati compromessi, evitando che l’attacco si traducesse in un blocco dei servizi sanitari. Tuttavia, la violazione ha coinvolto una vasta quantità di dati, tra cui informazioni relative alla salute di pazienti.
L’ispezione condotta dal Garante ha evidenziato carenze nelle misure di sicurezza, che potrebbero aver favorito l’attacco. In particolare, l’azienda ha ammesso di non aver mantenuto adeguatamente aggiornati i propri software e di non aver implementato sistemi di sicurezza adeguati per rilevare tempestivamente le violazioni dei dati.
Inoltre, non erano presenti misure di autenticazione avanzata per l’accesso remoto tramite VPN, né sistemi per segmentare e proteggere adeguatamente le reti interne. Queste lacune hanno contribuito alla riuscita dell’attacco informatico e mette in luce le fragilità del sistema sanitario italiano nella gestione della sicurezza informatica.
Un settore, quello sanitario, per sua natura, estremamente sensibile e dipendente dalla gestione dei dati personali, specialmente quelli sanitari.
Indice degli argomenti
Le attività preliminari all’attacco: scoperta e lateral movement
Grazie all’intervento dello CSIRT e all’analisi dei log del firewall, è stato possibile tracciare i primi tentativi di accesso risalenti a settembre-ottobre 2022. In questa fase, i malintenzionati hanno condotto attività di discovering e lateral movement, esplorando la rete aziendale e tentando di ottenere privilegi più elevati per accedere a risorse sensibili. L’attacco vero e proprio è stato probabilmente avviato nei primi giorni di dicembre 2022.
La causa dell’attacco sembra essere stata una vulnerabilità nel firewall aziendale, attraverso cui gli attaccanti hanno acquisito credenziali di dominio. Successivamente, hanno eseguito movimenti laterali sulla rete tramite una connessione VPN “any to any”, riuscendo ad accedere a un PC aziendale con VPN aperta. Da lì, hanno effettuato una privilege escalation, ottenendo privilegi amministrativi e scaricando le credenziali memorizzate nel servizio LSASS.
L’attacco ha avuto come esito l’esfiltrazione massiva di dati dal file server e la loro trasmissione a uno storage in Olanda. Inoltre, è stata installata una backdoor SSH per mantenere l’accesso remoto ai sistemi compromessi. Nonostante la presenza della ransom note, i dati non sono stati cifrati, ma la minaccia di perdita dei dati era concreta.
Data Blindness: carenze nel monitoraggio e nella protezione dei dati
L’incidente ha messo in luce una serie di errori che hanno favorito l’esito dell’attacco. L’Azienda non aveva adottato misure di protezione adeguate per rilevare tempestivamente le violazioni dei dati. In particolare, l’assenza di sistemi di monitoraggio avanzato come un SIEM (Security Information and Event Management) e di un servizio SOC (Security Operations Center) attivo 24/7 ha impedito la rilevazione tempestiva dell’incidente.
La carenza di un sistema di log management ha aggravato la situazione, impedendo di tracciare in tempo reale le attività sospette che avrebbero potuto prevenire l’attacco.
Inoltre, la gestione delle postazioni di lavoro (PdL) si è rivelata insufficiente. L’uso di software antivirus non configurato correttamente per i vari sistemi operativi e la presenza di un 30% di postazioni con sistemi operativi obsoleti hanno reso vulnerabili i dispositivi, aumentando il rischio di infiltrazioni.
Non solo la rete, ma anche i sistemi di backup erano inadeguati. La gestione delle copie di sicurezza non rispettava politiche di retention adeguate, mettendo in pericolo la disponibilità dei dati in caso di emergenza.
A queste criticità si aggiunge la mancanza di segmentazione della rete interna, che ha permesso agli attaccanti di muoversi liberamente attraverso l’infrastruttura. La rete “flat”, senza una separazione logica o fisica tra le diverse aree critiche, ha aumentando il rischio che una violazione di uno dei dispositivi potesse compromettere l’intera infrastruttura.
Un ulteriore fattore di rischio emerso riguarda l’accesso remoto alle risorse aziendali. L’autenticazione informatica, basata esclusivamente su username e password, risultava insufficiente a garantire un adeguato livello di sicurezza, in particolare per le VPN utilizzate dai dipendenti in modalità remota.
L’assenza di un sistema di autenticazione multi-fattore (MFA) ha costituito un ulteriore punto di vulnerabilità, permettendo potenzialmente agli attaccanti di eludere le misure di protezione mediante tecniche di credential stuffing o altre forme di attacco mirato.
L’analisi ha anche rivelato che le credenziali di accesso, soprattutto quelle per gli utenti con privilegi amministrativi, erano gestite in modo non conforme alle best practice di sicurezza. Le utenze generiche, con privilegi elevati e senza una rigorosa policy per le password, venivano spesso condivise tra più amministratori, aumentando ulteriormente i rischi legati alla gestione delle credenziali.
A seguito dell’incidente, l’Azienda ha preso provvedimenti, tra cui l’introduzione della MFA, la certificazione della VPN e la nominalizzazione delle utenze in conformità con il principio del “minimo privilegio”.
Sebbene tali interventi siano stati un passo importante, la loro implementazione post-incidente evidenzia le carenze strutturali che hanno preceduto la violazione.
Inoltre, l’istruttoria ha rilevato che l’infrastruttura di rete era vulnerabile a causa dell’uso di software obsoleti, in particolare la versione del sistema operativo del firewall perimetrale, che non era stata aggiornata con le ultime patch di sicurezza.
La presenza di protocolli di comunicazione obsoleti e vulnerabili ha ulteriormente esposto l’Azienda ai rischi derivanti da attacchi informatici mirati.
Sicurezza della sanità digitale: tra necessità e complessità
Il caso dell’Azienda Ospedaliero-Universitaria di Alessandria non è un episodio isolato. Gli attacchi ransomware sono in aumento in tutti i settori, e il settore sanitario, con il suo patrimonio di dati, rappresenta uno degli obiettivi principali per i criminali informatici.
È quindi fondamentale che le strutture sanitarie adottino politiche di sicurezza adeguate, aggiornando regolarmente le proprie infrastrutture IT e formando il personale sulla gestione sicura dei dati e sulle tecniche per prevenire gli attacchi, considerando la crescente digitalizzazione delle strutture sanitarie complesse e la centralità delle informazioni trattate.
Tuttavia, la realizzazione di misure di sicurezza efficaci risulta essere un’impresa complessa, che implica non solo l’adozione di tecnologie avanzate ma anche la gestione di numerosi fattori organizzativi ed economici.
Le carenze osservate, come nel caso dell’Azienda Ospedaliero-Universitaria di Alessandria, non devono essere sempre attribuite alla negligenza o al disinteresse. Al contrario, le difficoltà pratiche nell’implementazione di soluzioni adeguate sono molteplici.
L’aggiornamento continuo dei sistemi operativi, la gestione delle credenziali d’accesso e l’introduzione di soluzioni di monitoraggio avanzato richiedono risorse economiche, formazione specializzata e una pianificazione accurata. In contesti come quello ospedaliero, dove il budget e i tempi sono limitati, questo processo diventa particolarmente arduo.
Un esempio concreto si trova nel piano di sostituzione delle postazioni di lavoro obsolescenti in corso presso l’Azienda Ospedaliero-Universitaria di Alessandria. Sebbene il piano sia stato concepito con l’intento di migliorare la sicurezza, le sfide legate alla gestione dei costi e alla tempistica di attuazione evidenziano la complessità di portare a termine un intervento su larga scala.
Non basta dotare le strutture di nuove tecnologie; è fondamentale che esse siano costantemente aggiornate e adeguatamente protette contro le minacce emergenti. Inoltre, la protezione dei dati — sia clinici che amministrativi — richiede competenze specifiche che non sempre sono facilmente reperibili, soprattutto nelle strutture pubbliche.
In molti casi, la gestione della sicurezza informatica è affidata a pochi professionisti, il che rende difficile garantire un controllo efficace e continuo. La sicurezza dei dati, infatti, non può essere considerata solo come una responsabilità di un team dedicato, ma deve coinvolgere ogni livello dell’organizzazione.
Ogni dipendente, dall’infermiere all’amministratore di sistema, deve essere formato sulla corretta gestione dei dati e sulle best practice di sicurezza.
In definitiva, sebbene la protezione dei dati e la sicurezza informatica siano tematiche cruciali, la loro realizzazione pratica è tutt’altro che semplice. La combinazione di difficoltà tecniche, economiche e organizzative rende l’implementazione di misure di sicurezza una sfida complessa.
Tuttavia, è indispensabile che le istituzioni sanitarie affrontino queste difficoltà con determinazione, consapevoli che solo attraverso un impegno costante e una visione a lungo termine sarà possibile garantire la protezione dei dati e la continuità dei servizi sanitari, a beneficio della sicurezza e della fiducia dei cittadini.
Ed il management deve essere il motore principale di questa trasformazione. Senza una volontà chiara e continua da parte delle figure dirigenziali di impegnarsi a fondo in questo settore, rischiamo di assistere a una continua esposizione a minacce informatiche, che potrebbero avere effetti devastanti non solo a livello economico, ma anche sulla fiducia dei cittadini nei confronti del sistema sanitario.
La protezione dei dati non può essere un obiettivo secondario; deve diventare una priorità assoluta per ogni ospedale e ogni struttura sanitaria, se non vogliamo trovarci a dover fronteggiare disastri irreparabili in futuro, essendo in gioco la continuità dei servizi sanitari.
