Rubate mln di cartelle cliniche, la sanità non paga per tutelare i nostri dati
“E’ come rubare le caramelle ad un bambino”, dice ad Affaritaliani un hacker. E’ il settore più predato della rete. Il Garante spiega chi è stato sanzionato
Furto di dati sanitari, milioni di informazioni rubate e finite nel dark web. Un mercato invisibile esploso in rete. Chi è già stato colpito e perché accadrà ancora
Cartelle cliniche, referti di malattie gravi, esami per patologie rare, elenchi di vaccinati: big data. E’ questa, in sintesi, la nuova miniera d’oro della rete: conoscere i dati sanitari degli italiani. In internet, principalmente nel dark web, queste informazioni da tempo si vendono con facilità.
Poche ore fa è stato sferrato un attacco informatico a Synlab, grande centro diagnostico presente in nove regioni d'Italia, che ha dovuto sospendere in parte le proprie attività. Un mondo sotterraneo quello della pirateria di informazioni mediche ma tanto vicino a noi. Quanto è comodo il Fascicolo sanitario elettronico, cioè il profilo digitale che permette ai medici di conoscere tanto sulla nostra salute. Ma ha delle controindicazioni.
Perché i dati sanitari delle persone hanno un grande valore e per chi valgono di più
In tutti i Paesi del mondo, la pirateria di dati sanitari ha avuto, negli ultimi anni, una crescita esponenziale con ricadute in vari mercati. Come ad esempio quello della sottrazione di cartelle cliniche, soprattutto di personaggi importanti, che diventano una ghiotta prelibatezza e un’arma di ricatto rilevante, peggio ancora se si parla di malattie delicate. Ma c’è anche il mercato dei dati sulle malattie genetiche rare che fanno gola in modo specifico alle case farmaceutiche, arrivando ai raggruppamenti di referti analitici di dati sanitari che sono utili ad una molteplicità di imprese.
LEGGI ANCHE: Cybersecurity, ospedali nel mirino: "Cartelle rubate e ricatti informatici"
La mole generalizzata di dati contenuti sui portali delle strutture mediche vengono ceduti per pochi euro, anche per la facilità di accesso dei malintenzionati. Principalmente attirano l’attenzione delle aziende e delle case farmaceutiche che possono aver informazioni utili per sviluppare nuovi farmaci da immettere sul mercato. Non parliamo di nicchie ma di un sistema che risponde al solito principio: sapere tutto delle persone fa vendere loro qualsiasi cosa. “In generale, per noi hacker, l’accesso alle aziende sanitarie è facile, come rubare le caramelle ad un bambino”, racconta a chi scrive Ivan, nome in codice di uno smanettone della rete, “le aziende sanitarie sono fragili. L’importante è avere un motivo per farlo o un committente a cui vendere”.
Secondo Clusit, associazione italiana per la sicurezza informatica, i dati sanitari delle persone sono il settore più predato della rete. Scrive Clusit nel 2024: “Il nostro Paese appare sempre più nel mirino dei cyber criminali: lo scorso anno in Italia è andato a segno l’11% degli attacchi gravi globali mappati dal Clusit (era il 7,6% nel 2022), per un totale di 310 attacchi, dato che marca una crescita del 65% rispetto al 2022”.
Gli interventi del Garante per la privacy
Si chiamano Data Breach le violazioni di dati personali e riguardano tantissime aziende italiane. A dicembre del 2023 l’azienda sanitaria di Modena è stata sottoposta a un ricatto hacker importante. L’Ausl non ha pagato i tre milioni di dollari in criptovalute richiesti e così sono stati pubblicati nel dark web un milione di file (sul caso è stata aperta un’istruttoria dal Garante per la privacy).
Per le aziende del settore sanitario, pubbliche e private, che raccolgono dati di questo genere esistono però rigidi protocolli da seguire ma anche sistemi di allarmi che in caso di attacchi e sottrazione dati impongono una celere comunicazione al Garante. Molte volte infatti non è la bravura degli hacker a determinare il danno ma gli errori o i pochi investimenti nella sicurezza delle aziende, spesso pubbliche.
Ha avuto un certo clamore la notizia recente della multa da 75.000 euro inferta dal Garante all’Azienda sanitaria dell’Alto Adige per non aver configurato correttamente le modalità di accesso al dossier sanitario elettronico (DSE). In più gli operatori indicavano manualmente, mediante autocertificazione, la motivazione per gli accessi, accedevano ai dossier sanitari anche soggetti non sanitari e mancavano gli alert per segnalare anomalie.
LEGGI ANCHE: Gli ospedali italiani in codice rosso: in tre anni tagliati 32.500 posti letto
Con Affari abbiamo chiamato il Garante per conoscere altri casi e questi, non entrando nel merito di quelli ancora in istruttoria primaria, ha reso nota la vicenda del 2023 dell’Asl Napoli 3 Sud, attaccata dagli hacker. L'Asl napoletana ha perso i dati sanitari di ben 842.000 persone, tra assistiti e dipendenti. Anche qui è stata rilevata la “mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali”, così come la “mancata adozione di misure adeguate a garantire la sicurezza delle reti” e una protezione dei dati inadeguata a monte. Per questo motivo il Garante “dichiara l’illiceità del trattamento di dati personali effettuato dall’Asl Napoli 3 Sud” e commina una sanzione di 30.000 euro.
Sempre del 2023 emerge il caso dell’ASL 1 Avezzano Sulmona L'Aquila, sotto “attacco di un gruppo di hacker denominato ‘Monti’ che utilizza un sofisticato ransomware progettato per crittografare i dati e richiedere il pagamento in bitcoin”. Circa 1000 il numero approssimativo dei coinvolti. La vicenda è ancora in fase di approfondimento.
E c’è la storia nel 2021 di una casa di cura nel varesotto che affidava ad una società esterna la gestione dell’accesso a parte dei dati. La casa di cura viene attaccata dal gruppo hacker LulzSec_ITA, che ha comportato la pubblicazione, sul profilo Twitter del medesimo gruppo, di immagini radiologiche riconducibili alla struttura. In questo caso trattasi più di un attacco con accezione etica, cioè quando gli hacker fanno un’incursione per segnalare una manchevolezza o un’impreparazione. Il gruppo LulzSec_ITA in ha scritto così sul proprio profilo Twitter: “Tanti soldi spesi nella sanità, e poi i nostri dati privati e sensibili, sono protetti da password di default. Che schifo”. Il Garante ha sollevato una sanzione da 7.000 euro alla casa di cura.
E’ da precisare che le vicende più recenti sono ancora in itinere perché le aziende possono presentare opposizione alle multe.