La privacy by design è uno dei principi fondamentali del GDPR e una sua violazione può costare caro: è questa la lezione che impariamo dal provvedimento n. 426 del 28 settembre 2023 con cui il Garante privacy ha sanzionato per 30.000 euro l’ASL Napoli 3 Sud per non aver protetto adeguatamente da attacchi hacker i dati personali e i dati sanitari di 842.000 tra assistiti e dipendenti.
Indice degli argomenti
Analizziamo quanto accaduto
La Asl Napoli 3 Sud (di seguito “ASL”) ha notificato al Garante della privacy (di seguito, “Garante”), ai sensi dell’art. 33 del Regolamento UE 679/2016 (cd. “GDPR”), un data breach. Questo episodio è stato causato da un attacco informatico perpetrato attraverso un malware di tipo ransomware, che ha colpito i sistemi informativi dell’ente sanitario.
L’ASL ha dichiarato che si sono verificati malfunzionamenti dei sistemi sanitari sottesi all’erogazione dei servizi ospedalieri e di laboratorio.
Si è appurato che l’intera infrastruttura del datacenter (server, domain controller, proxy, VPN) è stato oggetto di attacco hacker di tipo cryptolocker con attività di encryption dei dati aziendali e dei volumi virtuali che consentono il funzionamento di tutti gli applicativi aziendali e sono stati compromessi gli elenchi degli utenti di dominio con profilo di amministratore rendendo impossibili gli accessi ai sistemisti aziendali.
Inoltre, è stata riscontrata su tutte le diverse postazioni la presenza di un file denominato DECRYPTION.txt con il quale viene comunicata la natura dell’attacco, il gruppo criminale “54BB47H” (Sabbath) che ha effettuato il medesimo attacco e le modalità con le quali entrare in contatto al fine di riscattare i codici per il decrypting dei file compromessi.
Nello specifico, sono stati coinvolti tutti i software e dati relativi alle piattaforme applicative installate sui server virtuali del data center principale e data center disaster recovery. Inoltre, sono coinvolti i data center delocalizzati installati presso i quali sono installati i software applicativi del Pronto Soccorso, ADT e diagnostica per immagini.
Il blocco dei data center aziendali causa il fermo di tutti gli applicativi aziendali di ordine sanitario e amministrativo contabile; restano funzionanti le applicazioni su piattaforme esterne (Regionale, SORESA, ministeriale) quali CUPR, vaccinazioni, anagrafe assistibili, 118, vaccinazioni e tamponi Covid-19.
Nel corso delle attività ispettive, l’ASL ha confermato la timeline e riferito che le analisi forensi hanno ricostruito la violazione a partire dai primi accessi abusivi, da IP estero, tramite VPN, con le credenziali di personale non tecnico della ASL, disponibili nel dark web. Tali credenziali sono state, poi, utilizzate per ottenere privilegi di administrator.
Le valutazioni del Garante privacy: cosa impariamo
In seguito alla sua istruttoria, il Garante privacy ha quindi sanzionato l’ASL con una sanzione amministrativa pecuniaria pari a 30.000 euro per l’omissione di adeguate misure di sicurezza per rilevare tempestivamente le violazioni dei dati personali e garantire la sicurezza delle reti, contravvenendo al principio della privacy by design.
Ad esempio, l’accesso alla rete tramite VPN era possibile unicamente mediante un processo di autenticazione basato sull’uso di username e password. In aggiunta, la mancanza di una segmentazione efficace delle reti ha portato alla diffusione del virus nell’intera infrastruttura informatica.
Aggravante del caso di specie, è il coinvolgimento di dati relativi alla salute.
Dall’esame delle informazioni e degli elementi acquisiti nonché della documentazione fornita dall’ASL è emerso che il trattamento è stato effettuato in violazione degli artt. 5, par. 1, lett. f), 25 e 32 del GDPR, in relazione ai seguenti profili:
- mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali e particolari (dati relativi alla salute);
- mancata adozione di misure adeguate a garantire la sicurezza delle reti.
Per tali ragioni, sono state confermate le valutazioni preliminari dell’Ufficio rilevando l’illiceità del trattamento di dati personali effettuato dall’ASL Napoli 3 Sud, in violazione:
- del principio di “integrità e riservatezza”, di cui all’art. 5, par. 1, lett. f), del GDPR;
- del principio della “protezione dei dati fin dalla progettazione” di cui all’art. 25, par. 1, del GDPR;
- degli obblighi in materia di sicurezza di cui all’art. 32 del GDPR.
La violazione delle già menzionate disposizioni ha reso applicabile, ai sensi dell’art. 58, par. 2, lett. i) del GDPR la sanzione amministrativa prevista dall’art. 83, parr. 4 e 5 del GDPR, nella misura di 30.000 euro.
