Attacchi informatici in sanità: il Garante Privacy sanziona chi non tutela la propria cybersecurity

Che la sanità sia un settore che, specialmente dopo la pandemia, è sempre più frequentemente nel mirino degli hacker è cosa nota.

Va però tenuto in considerazione che al danno subito in termini di violazioni di dati si aggiunge anche il rischio di subire una sanzione per non aver protetto adeguatamente i propri sistemi da attacchi esterni, esponendo i dati dei pazienti a perdite, alterazioni o accessi non autorizzati.

L’attacco hacker che diffonde dati relativi alla salute

È quanto avvenuto nel 2021 in due casi, speculari l’uno all’altro, che hanno comportato una diffusione di dati relativi alla salute.

Si tratta di un attacco informatico riconducibile ad un gruppo hacker che ha pubblicato sul proprio profilo Twitter immagini radiologiche riconducibili ad una Casa di cura.

L’attacco è stato perpetrato sfruttando l’utilizzo di protocolli di rete non sicuri e la mancata definizione di policy di gestione delle password;

  • in relazione al primo profilo, al momento della violazione, l’installazione volta a consentire al radiologo di visionare le immagini da refertare, effettuata da remoto, aveva consentito l’accesso al software visualizzatore DICOM (ideato per diagnosi, visualizzazione, archiviazione e trasmissione di immagini medicali fruibile mediante browser web e una password di accesso) su protocollo http (hypertext transfer protocol): un protocollo di rete che non garantisce l’integrità e la riservatezza dei dati scambiati tra il browser dell’utente e il server che ospita il servizio/sito web e che non consente agli utenti di verificare l’autenticità del server a cui si collegano”;
  • quanto al secondo profilo, al momento della violazione, l’accesso al software da parte del radiologo era effettuato con un’utenza di tipo amministrativo (admin) e una password non robusta oltre che di default (admin).

L’Autorità Garante è venuta a conoscenza della violazione tramite la notifica di data breach trasmessa dalla Casa di cura, la quale a sua volta aveva avuto contezza dell’episodio a seguito di comunicazione da parte della polizia postale.

L’istruttoria del Garante e le sanzioni

L’attività istruttoria del Garante ha coinvolto anche la società nominata responsabile del trattamento che alla Casa di cura forniva il software gestionale e i servizi di assistenza in loco e in teleassistenza, oltre che di aggiornamento dei software per la visualizzazione delle immagini DICOM e del server per archiviazione e visualizzazione delle immagini WEB in HTLM 5.

All’esito dell’istruttoria è risultato che la modalità di accesso al software, per via dell’utilizzo del protocollo http, non può considerata una misura idonea a garantire un adeguato livello di sicurezza (art. 32, par. 1, lett. a del Reg. UE 679/2016 – GDPR).

Il GDPR, peraltro, individua espressamente la cifratura come una delle possibili misure di sicurezza idonee a garantire un livello di sicurezza adeguato al rischio e che, nel caso di specie, non è stata adottata.

Per quanto attiene al ricorso a userID e password di default, rispetto all’asserita impossibilità, dichiarata dalla società fornitrice, di assegnare specifici userID e password in modalità remota nel contesto della pandemia, il Garante ha rilevato che la creazione e l’assegnazione di utenze nominali ai soggetti autorizzati al trattamento sono operazioni che possono essere effettuate a distanza, anche nel contesto emergenziale.

La Casa di cura è stata multata per 30.000 euro, mentre il fornitore dei servizi legati alla gestione del software ha subito una sanzione di 7.000 euro.

Facebook
Twitter
LinkedIn
WhatsApp
L’avvocato Maria Livia Rizzo svolge attività di consulenza legale stragiudiziale nel settore sanitario pubblico e privato nell’ambito della protezione dei dati personali – con

Ti potrebbe interessare anche...

Vuoi ricevere la newsletter informativa dello studio legale Stefanelli&Stefanelli?