L’Azienda Sanitaria Locale della città di Torino sta affrontando da diversi giorni un’emergenza informatica legata ad un attacco subito dalla propria infrastruttura.
Con gravi disagi ai cittadini che per esempio a causa del blocco non riescono in questi giorni a fare l’esame medico per la patente.
Sanità, attacco informatico al Fatebenefratelli Sacco di Milano: i dati sono online
Nel comunicato stampa diramato ieri (23 agosto), si conferma che l’attacco abbia avuto inizio venerdì scorso e che il “necessario ricorso a procedure manuali potrebbe determinare rallentamenti nell’erogazione delle prestazioni e creare disagi all’utenza“.
Indice degli argomenti
Asl Torino, bloccati i computer degli ospedali Giovanni Bosco, Maria Vittoria, Martini e Oftalmico
Potrebbe trattarsi di un attacco di tipo ransomware, come ipotizzato dal responsabile dell’informatica all’Asl Città di Torino, Francesco Pensalfini. Al momento tuttavia non ci sono rivendicazioni sul gruppo criminale che avrebbe sferrato l’attacco contro la struttura sanitaria italiana.
Dalla notte del 18 agosto invece è diventato tangibile il disservizio che questo incidente ha generato sui 4 plessi ospedalieri colpiti (Giovanni Bosco, Maria Vittoria, Martini e Oftalmico).
Conseguenze: attività ambulatoriali con modalità di refertazione manuale, visite mediche per patente sospese e rinviate, inibito il pagamento ticket attraverso appositi totem (punti rossi).
Restano attivi tutti i servizi essenziali, attività ospedaliere e di pronto soccorso, garantito il mantenimento degli interventi chirurgici.
Classico scenario da carta e penna al quale, dall’inizio della pandemia COVID19 e all’intensificarsi degli attacchi informatici, siamo ormai tristemente abituati.
Asl Torino, forse un ransomware, c’è una richiesta di riscatto
L’ipotesi della tipologia di incidente afferente alla famiglia dei ransomware, oltre che dalla descrizione degli eventi e degli impatti subiti, viene avvalorata anche dalla comparsa di una nota di riscatto che, sembra, sia stata inviata via e-mail all’ente.
Nello scenario cyber non è apparsa alcuna rivendicazione dai vari gruppi ransomware noti e costantemente monitorati, neppure la Asl di Torino fa sapere a quale gruppo poter attribuire l’attacco. Ma la presenza di una nota di riscatto, sotto forma di cifra milionaria, difficilmente può far pensare a tipologie di attacco differenti dal ransomware.
Rimane quindi per il momento sconosciuta l’attribuzione della responsabilità su questo incidente informatico. Possiamo solo ricordare che gruppi come Hive e Vice Society, si sono già occupati largamente, nei mesi appena trascorsi, di sanità pubblica italiana.
La risposta all’attacco
Come detto i disservizi hanno riguardato l’attività di medici e personale sanitario dell’ente colpito, trasferendosi direttamente al cittadino, riguardando una cerchia precisa di servizi erogati. Gran parte dei problemi è dato proprio dal fatto che l’infrastruttura informatica è fuori uso.
Inoltre a lavoro, oltre le indagini della polizia postale, ci sono i tecnici dell’ente, riuniti in apposita task force nominata in occasione di questo incidente, della quale fanno parte anche esperti di CSIRT, il Computer Security Incident Response Team italiano. afferente all’Agenzia per la Cyber sicurezza Nazionale.
“Come da linee guida sugli attacchi informatici, si è provveduto a bloccare tutti i sistemi informatici aziendali, per effettuare le verifiche e i monitoraggi indispensabili per mettere in sicurezza i dati e ripristinare gli applicativi aziendali cautelativamente bloccati” – si legge nel comunicato dell’ente.
Questo è il motivo principale dello stop alla tecnologica interna all’Asl e le indagini della Polizia sono ancora in corso. In questo caso, come già accaduto anche in passato per altre vittime di attacco informatico, si ricorda l’importanza della corretta segmentazione della rete di un’organizzazione.
La segmentazione infatti rende più facile l’individuazione del problema e l’isolamento in risposta ad un attacco, fino al momento del totale ripristino della funzionalità, senza dover pregiudicare l’intera infrastruttura.
La vicenda è in costante evoluzione e sarà cura di CyberSecurity360 aggiornare questo articolo non appena ci saranno importanti novità sull’incidente in merito all’attribuzione dell’attacco o eventuali rivendicazioni criminali.