Skip to content Skip to footer

I dati sanitari di migliaia di italiani sono ormai online

Ospedale di Sassuolo

Immagine in evidenza: Ospedale di Sassuolo – ospedalesassuolo.it

Fragili dal punto di vista sia tecnico sia organizzativo. Si presentano così le aziende sanitarie italiane di fronte agli attacchi informatici, per lo più di tipo ransomware (cioè diretti al pagamento di un riscatto), dei gruppi criminali internazionali che, ormai da anni, le prendono di mira. La conseguenza è la pubblicazione di informazioni estremamente sensibili riguardanti migliaia di cittadini. 

Secondo quanto è stato possibile ricostruire da Guerre di Rete, attraverso le informazioni rilasciate sui siti ufficiali delle cyber gang, solo negli ultimi due mesi del 2023 sono stati diffusi oltre 1,5 terabyte di dati sanitari (circa due milioni di file) sottratti a diverse strutture del nostro Paese. Dati che includono cartelle cliniche, fotografie di pazienti affetti da tumori cutanei, referti di abusi sessuali, esami per le malattie ereditarie, e liste dei vaccinati al Covid-19. Stando alle nostre fonti, alcuni file contengono persino nome, cognome e data di nascita di persone che sono state assistite dai centri di salute mentale, o dai servizi per le dipendenze patologiche. Un patrimonio enorme pubblicato sul dark web, la parte della Rete a cui si può accedere tramite specifici software, e che è alla portata di tutti.

Modena e Verona: cyber-gang diverse, stesso copione 

Le ultime a cadere, almeno per quanto emerso sui media o segnalato dalle stesse realtà, sono state tre aziende sanitarie modenesi (azienda Usl di Modena, azienda ospedaliero-universitaria di Modena e ospedale di Sassuolo Spa), e l’azienda ospedaliera universitaria integrata di Verona. Tutte le realtà sono state bersaglio di ransomware: malware (software malevoli) che rendono inaccessibili i dati dei computer infettati e richiedono il pagamento di un riscatto, in inglese ransom, per ripristinarli e non diffonderli. La matrice, però, cambia. 

Nel caso di Modena, l’autore dell’attacco è Hunters international: un gruppo che i ricercatori della società di sicurezza informatica BitDefender hanno definito “opportunista”, senza uno specifico focus su una particolare area geografica o un determinato settore, ma concentrato più sulla sottrazione dei dati che sulla loro cifratura. Ha debuttato sulla scena delle minacce informatiche negli ultimi mesi del 2023 e diversi analisti hanno notato la somiglianza del codice usato con quello prima sfruttato da Hive, uno dei principali gruppi ransomware fino all’estate del 2022: data di inizio di un’operazione delle forze dell’ordine Usa, durata mesi, che ne ha minato l’operatività. Ma, nell’unica comunicazione ufficiale fatta fino ad oggi, Hunters international ha smentito di essere l’erede di Hive e ha affermato di averne semplicemente acquistato il codice, messo in vendita dopo lo smantellamento della gang.

Hunters international - dati sottratti all’Azienda Usl di Modena
Sul blog ufficiale di Hunters international, raggiungibile tramite Tor, i dati sottratti all’Azienda Usl di Modena

Di recente formazione sembra essere anche il collettivo che ha preso di mira la sanità veronese. Chiamato Rhysida, il gruppo ha iniziato a rivendicare attacchi a importanti istituzioni governative, come l’esercito cileno, a partire dal maggio del 2023, per poi puntare su strutture sanitarie. A inizio dicembre, la cyber gang ha annunciato di aver compromesso anche il King Edward VII, un importante ospedale del Regno Unito, e di aver venduto i dati sanitari della famiglia reale britannica, oltre che del personale dell’azienda e di altri suoi pazienti.

cyber-gang Rhysida - azienda ospedaliera universitaria integrata di Verona
I dati dell’azienda ospedaliera universitaria integrata di Verona sul blog ufficiale della cyber-gang Rhysida

Sia a Modena sia a Verona, gli attacchi hanno causato temporanei disservizi: call center per prenotazioni e informazioni in tilt, rallentamenti nella radioterapia, sospensione delle mammografie e dei prelievi. Infine, come vendetta per non aver ricevuto il pagamento del riscatto richiesto, che entrambe le aziende hanno rifiutato di versare, la pubblicazione delle informazioni dei pazienti. “La pubblicazione è stata effettuata a fronte della ferma opposizione al riscatto”, ha sottolineato in una nota l’Ausl di Modena aggiungendo di condannare “in maniera ferma l’azione criminale compiuta” e di essere vittima “a fianco dei cittadini, di un vero e proprio attacco alla sanità pubblica”. Poi, però, ha minimizzato, dichiarando che i file copiati, per un totale di oltre 0,9 terabyte (954.7 gigabyte) “rappresentano solo lo 0,5 per cento di quelli immagazzinati”. Di una “minima parte” di dati ha parlato anche l’azienda ospedaliera universitaria integrata di Verona: i terabyte sottratti sono 0,6 a fronte dei 29 totali custoditi dai server della struttura. 

Perché i dati sanitari fanno gola ai cybercriminali

Il  problema per gli utenti rimane. E in questi casi si tratta di un problema non quantificabile ma reale, e permanente, sottolineano l’avvocato Bruno Saetta, esperto di diritti digitali, e l’avvocato Jacopo Giunta, dello studio legale Ambrosio e Commodo: queste informazioni potrebbero essere sfruttate per le truffe assicurative, i rimborsi medici, l’acquisto di medicinali sotto prescrizione, o i furti di identità digitale. Ma anche da un potenziale datore di lavoro che potrebbe rifiutare il posto a un candidato dopo aver scoperto che ha una patologia cronica, o un disturbo mentale. 

La sanità è nel mirino dei criminali informatici ormai da anni. A livello globale, nel secondo trimestre del 2023, è stato il settore più attaccato (dati Cisco Talos Incident Response). In Italia, pur non rappresentando il settore in assoluto maggiormente colpito – ad esempio, pubblica amministrazione e trasporti lo sono di più – gli attacchi alle aziende sanitarie sono in crescita, come nel resto del mondo. Da quando è operativa, nel gennaio 2022, l’Agenzia per la cybersicurezza nazionale (Acn) si è occupata di 58 eventi cibernetici a strutture sanitarie pubbliche, con un impatto critico nella maggior parte dei casi. Questo interesse ha precise ragioni, spiega a Guerre di Rete Gianluca Galasso, capo del servizio operazioni dell’Acn: “I cybercriminali – precisa – fanno leva in primis sull’urgenza di riattivare i servizi erogati dalle strutture sanitarie, particolarmente critici. Una loro interruzione, anche solo per brevissimo tempo, causa impatti gravissimi sulla salute dei cittadini”. Poi, “puntano sul grave danno, non solo reputazionale, che deriverebbe dalla pubblicazione dei dati che trattano, tra i più delicati in assoluto”. 

E se va male con il ricatto, monetizzano con la vendita dei dati sanitari sottratti. “Sono quelli che si prestano più a essere trafficati”, dice a Guerre di Rete Riccardo Croce, direttore del Centro nazionale anticrimine informatico delle infrastrutture critiche (Cnaipic) della Polizia postale. Un mercato nero che, assicura Croce, riguarda anche le informazioni dei cittadini italiani: “Anche se non siamo ancora in grado di dire chi acquista questo tipo di dati e con quali fini, sappiamo per certo che vengono venduti. Il prezzo varia dalle centinaia alle migliaia di euro. Un costo accessibile”. 

Ma, per Galasso, c’è anche “un’altra minaccia che non va sottovalutata: la penetrazione nelle reti per sottrarre materiale relativo alla ricerca. Un fenomeno più residuale ma non meno pericoloso per il Paese. Durante le prime fasi della pandemia, si trattava di una minaccia tutt’altro che remota per i laboratori di ricerca al lavoro sulla produzione del vaccino”.

Infrastrutture informatiche fragili, sotto scacco della burocrazia

“Siamo deboli, preoccupati, e sempre in allerta. Quello che è accaduto a Modena, o a Verona, poteva succedere anche da noi”, ammette Giuseppe Roncolato, oggi responsabile dell’ufficio relazioni con il pubblico dell’azienda Ulss Berica, ma con alle spalle una lunga esperienza nei sistemi informativi delle aziende sanitarie vicentine. Roncolato parla di una “guerra”: “Anche se negli ultimi anni la cybersicurezza ha guadagnato maggiore attenzione, dobbiamo scontare i ritardi accumulati nel tempo”, assicura. “La digitalizzazione dei servizi e l’unificazione dei sistemi informatici delle Asl, che sono state tra loro accorpate, non sono andati di pari passo con l’implementazione di strumenti e prassi adeguate a contrastare gli attacchi informatici. Ora ci stiamo muovendo, con risorse limitate, su progetti di lungo periodo, consci dei rischi che corriamo”.

Dario Ricci, direttore dei sistemi informativi e dell’innovazione tecnologica dell’azienda ospedaliera di Alessandria, ha dovuto fare i conti con questa arretratezza  nella notte tra il 19 e il 20 dicembre 2022, quando su molti pc aziendali è comparso il messaggio che notificava un attacco informatico da parte del gruppo ransomware Ragnar Locker, poi messo ko da un’operazione delle forze dell’ordine e delle autorità giudiziarie di 11 Paesi, tra cui l’Italia. “Nel messaggio dichiaravano di aver scaricato quasi un terabyte di dati dalle cartelle condivise all’interno della rete dei computer aziendali”, racconta Ricci. “Cartelle, a disposizione dei dipendenti, in cui in teoria dovrebbero esserci solo documenti utili alla produttività individuale, ma che in pratica sono spesso usate dai reparti anche per immagazzinare referti, esami, e immagini diagnostiche”.

Di conseguenza, anche i dati sanitari contenuti in quelle cartelle sono finiti nelle mani dei criminali informatici. Un incidente che Ricci considera emblematico per la sicurezza dei sistemi della pubblica amministrazione: “Non potremo mai sapere cosa sia successo con esattezza perché fino al momento dell’attacco non avevamo un sistema di analisi dei log dei firewall, cioè dei file di testo che contengono tutte le informazioni utili sul dispositivo per la sicurezza della rete”.
L’ipotesi è che i criminali informatici abbiano sfruttato una vulnerabilità presente su un determinato device, per risolvere la quale esisteva un aggiornamento, che però non era stato notificato e, quindi, eseguito. “Un altro problema erano le troppe utenze con privilegi di amministratore”, prosegue il dirigente. “Questo ha permesso ai cybercriminali di entrare con privilegi di amministratore senza violare di fatto quasi nulla dell’infrastruttura di rete aziendale”. L’utilizzo di utenze privilegiate può consentire  a un malintenzionato di estendere la portata e l’impatto di un attacco; pertanto è buona prassi mantenere un numero limitato di utenze amministrative.

“Nel corso degli interventi che i nostri esperti eseguono in occasione di incidenti, purtroppo assistiamo ad un copione che si ripete”, ammette Galasso. “Gli attaccanti sfruttano le fragilità dei sistemi per eseguire attacchi che si sviluppano in tempi anche piuttosto rapidi. Ciò accade perché le infrastrutture informatiche del settore sanitario presentano diffuse criticità di natura sia tecnica sia organizzativa, che le rendono intrinsecamente deboli. Tra queste, emergono un frequente utilizzo di password deboli, la mancata applicazione delle procedure di gestione delle credenziali di amministrazione dei sistemi, l’esposizione esterna immotivata di servizi a uso interno, la mancata segmentazione interna delle reti per proteggere i servizi più critici (in gergo tecnico si parla di “reti piatte”), o il mancato utilizzo del doppio fattore di autenticazione per le connessioni da remoto. A queste mancanze di natura tecnico-procedurale si affiancano, spesso, lacune di tipo organizzativo che impediscono lo sviluppo di un percorso finalizzato al continuo innalzamento della protezione dei sistemi. Mi riferisco, in particolare, a una carenza nella governance, che ponga la dovuta attenzione alla sicurezza dei sistemi, a una eccessiva frammentazione nell’utilizzo di tecnologie e fornitori di servizi di sicurezza, che spesso genera aree di sovrapposizione lasciandone altre scoperte, e a una cronica carenza di personale specializzato esperto”. 

Secondo un esperto coinvolto nella risoluzione di questo genere di incidenti, che parla a Guerre di Rete sotto garanzia di anonimato, il problema non è la mancanza di soldi: “Tutte le aziende sanitarie, piccole o grandi che siano, al pari di ogni altra pubblica amministrazione, hanno lo stesso problema: spesso non hanno personale adeguato, né una strategia di cybersicurezza, ma sono sotto scacco di appalti e fondi che vengono obbligati a spendere in un certo modo, senza un pensiero né una guida dietro. La maggior parte delle violazioni di cui mi sono occupato era stata causata da vulnerabilità banali, come un firewall non aggiornato da anni”.

Mentre Ricci tocca un altro punto: “I concorsi pubblici non sono molto appetibili per gli esperti di cybersicurezza che nel settore privato possono guadagnare il doppio se non il triplo. Inoltre, richiedono un titolo di studio che, in questo campo, non è indice di bravura né di esperienza”.

Furto di dati: poche tutele e poca sensibilità

A farne le spese è la privacy dei cittadini. “Nel momento in cui questi dati sono stati trafugati, il danno in gran parte è stato fatto”, ammette Bruno Saetta, avvocato esperto di diritti digitali. “Però è possibile adottare dei comportamenti per limitare i danni futuri. L’azienda che ha subito il furto dei dati deve attivarsi immediatamente. La normativa europea impone l’obbligo di comunicare il data breach al Garante della privacy entro tempi stringenti”. 

Essenziale è anche la comunicazione ai diretti interessati che così, dice Saetta, possono prendere “utili misure di sicurezza, ad esempio modificare le password di accesso e tenere sotto stretto controllo i flussi dei propri dati, quindi verificare le transazioni finanziarie per individuare utilizzi illeciti dei dati stessi. Molte piattaforme, inoltre, oggi forniscono apposite misure aggiuntive per la sicurezza, come l’autenticazione a due fattori. Attivando queste misure ulteriori si può limitare l’uso illecito dei dati”. 

Importante, in questo senso, è stato un provvedimento dell’8 giugno 2023 con cui il Garante ha stabilito che l’Asl 1 Abruzzo aveva 15 giorni di tempo per comunicare la violazione dei propri dati personali alle persone coinvolte. L’azienda sanitaria abruzzese era stata colpita dal ransomware del gruppo Monti che aveva poi pubblicato sul proprio blog 522 gigabyte di dati (al momento in cui scriviamo la pagina risulta avere 234833 visualizzazioni). Anche in questo caso, nel calderone delle informazioni trafugate, erano finiti i dati dei pazienti. L’Asl si era limitata a dare conto dell’avvenuto pubblicando un comunicato stampa sul proprio sito. Una forma di comunicazione che il garante non ha considerato sufficiente, intimando invece di comunicare la violazione dei dati personali in maniera individuale, fornendo il contatto del responsabile della protezione dei dati e informazioni utili per limitare i danni. 

“Dei casi specifici, non posso parlare perché formano oggetto di istruttorie in corso”, dice a Guerre di Rete Guido Scorza, componente del collegio del Garante per la privacy. Ma “chi ha visto la propria privacy sanitaria andare in fumo per colpa di chicchessia – saranno le istruttorie a accertare se le aziende sanitarie sono state semplici vittime impotenti o se avrebbero potuto e dovuto fare di più per proteggere i dati dei loro assistiti – può, per un verso, presentare un reclamo al Garante per chiedere che si proceda all’identificazione e alla sanzione di quanti hanno determinato la pubblicazione illecita dei loro dati sanitari e che si ordini a chi dovesse accertarsi essere il responsabile della pubblicazione l’immediata cancellazione nonché agire per il risarcimento dei danno eventualmente subiti, in questo caso, davanti al giudice civile. Sono, purtroppo, tutte magre consolazioni specie quando a essere diventati di dominio pubblico sono informazioni che rischiano di determinare discriminazioni di diverso genere. Ma è quello che l’ordinamento può offrire agli interessati. C’è da aggiungere che se domani terzi dovessero trattare i dati personali in questione acquisiti illecitamente per arrecare un qualsiasi pregiudizio agli interessati questi ultimi potrebbero certamente chiedere al Garante di intervenire a sanzionare tale ulteriore trattamento illecito e a ordinarne l’immediata interruzione. Il pensiero corre a compagnie assicurative, a datori di lavoro, a banche e società finanziarie, per esempio”.

Sulla debolezza delle norme in materia si sofferma l’avvocato Giunta: “Purtroppo a oggi è molto difficile provare che la persona a cui sono stati trafugati i dati sanitari sta subendo un danno”, dice. “Non si tiene conto che già solo la perdita stessa del dato è in sé un danno enorme perché l’informazione potrebbe essere sfruttata in futuro, in modi lesivi”. A ciò si aggiunge una “scarsa sensibilità da parte degli utenti”, spiega Giunta. 

“Molto dipende – conclude Saetta – dalla consapevolezza che i dati sono importanti e che nel mondo odierno gran parte della nostra vita è digitalizzata, quindi chi gestisce dati di terze persone deve fare particolare attenzione a mantenere un controllo dei dati stessi, investendo non solo in sicurezza, ma anche in formazione del personale. La protezione dei dati, soprattutto quelli sanitari, deve essere una priorità nella società moderna”.

Non solo aziende sanitarie. Il caso Westpole e PA Digitale

Le aziende sanitarie non sono le uniche pubbliche amministrazioni nel mirino, come dimostra l’attacco che a dicembre scorso ha colpito Westpole Spa, un fornitore di servizi cloud che tra i propri clienti conta PA Digitale. L’attacco  – su cui al momento, stando a nostre fonti investigative, sono in corso delle indagini – ha mandato fuori uso Urbi, un software gestionale che PA Digitale mette a disposizione degli enti pubblici per custodire e archiviare atti: l’Acn ha stimato circa 1000 clienti nell’amministrazione pubblica, tra cui la presidenza della Repubblica. A oltre un mese di distanza alcune dinamiche rimangono poco chiare. PA digitale inizialmente giudicava le informazioni ricevute da Westpole “non soddisfacenti”. Stando a quanto riporta PA Digitale, Westpole ha comunicato l’incidente, avvenuto l’8 dicembre, il giorno dopo dichiarando “la cifratura dell’intera infrastruttura informatica”, causata dal “gruppo LockBit” che li avrebbe invitati a prendere contatti per “negoziare un pagamento per il rilascio delle chiavi di cifratura” e di “software per procedere al recupero”. 

Su richiesta di PA Digitale, Westpole avrebbe poi  aggiunto altre notizie. L’attacco avrebbe comportato “la perdita totale dell’infrastruttura fornita da Westpole”, con ricadute sui servizi digitali della pubblica amministrazione, e “per 240 enti (non specificati, ndr) la perdita di dati nelle giornate del 5,6,7 dicembre 2023”. 

Non risulta, invece, alcuna “esfiltrazione di dati”. Nella nota citata sopra, PA Digitale fa sapere di escludere al momento “la divulgazione dei dati personali degli interessati”. LockBit, cyber gang che negli ultimi anni (come raccontato da Guerre di Rete qui) è diventata la regina dei ransomware, in genere cifra e porta via i dati, chiedendo il pagamento di un riscatto in cambio della non pubblicazione sul loro blog. Secondo alcuni esperti sentiti da Guerre di Rete, forse stavolta non ci sono riusciti perché la mole dei dati presenti sui server era troppo grande. Di certo, sui propri canali, LockBit non ha pubblicato nulla proveniente dall’attacco a Westpole. Contattata da Guerre di Rete, la società ha fatto sapere di essere “in costante contatto con le autorità competenti” e di non essere nella posizione di condividere informazioni “per tutelare la riservatezza di attività e clienti”.

Associazione Guerre di Rete
Associazione Cyber Saiyan, P. IVA 14669161003