Continua la nostra rubrica sugli esempi di violazione di dati e notifica del data breach.
Nel primo episodio abbiamo visto come i rischi per i diritti e le libertà degli interessati causati da un attacco ransomware possano essere efficacemente fronteggiati con l’adozione di misure tecniche ed organizzative adeguate.
Affronteremo anche in questo episodio il caso di un attacco ransomware, ma stavolta a danno di un ospedale che, per la natura delle attività svolte, tratta innumerevoli informazioni riguardanti lo stato di salute dei suoi pazienti.
Vedremo quindi che in casi come questo la natura dei dati violati ed il numero degli interessati coinvolti alza il rischio per i diritti e le libertà degli interessati, nonostante l’adozione di misure di sicurezza astrattamente adeguate a mitigare tali rischi.
Il fatto
Il sistema informatico di un ospedale ha subìto un attacco ransomware a seguito del quale migliaia di dati sono stati criptati: l’ospedale non riesce quindi più ad accedere ai dati.
Gli elementi di analisi di questa violazione sono i seguenti:
- i dati personali oggetto di violazione riguardano migliaia di interessati tra dipendenti e pazienti;
- l’azienda, a seguito dell’attacco, decide di ricorrere ad una società esterna di cybersecurity per monitorare la propria rete;
- l’ospedale dispone di un efficace sistema di tracciamento delle attività svolte sul sistema aziendale: da un’attenta analisi svolta con il supporto della società di cybersecurity, l’ospedale è stato in grado di accertare che l’autore dell’attacco ha solo criptato i dati, ma non li ha sottratti dal sistema; non vi è infatti traccia di flussi di dati in uscita durante l’attacco;
- l’ospedale ha adottato un sistema di backup ed è pertanto riuscito a ripristinare la maggior parte dei dati, ma questa operazione ha richiesto 2 giorni lavorativi e ha comportato rinvii/cancellazione di interventi chirurgici ed un abbassamento del livello di servizio a causa dell’indisponibilità dei sistemi.
I rischi e le conseguenze per i diritti e le libertà degli interessati
1. Perdita di integrità
In contesti particolarmente delicati come quello sanitario, preservare l’integrità dei dati personali dei pazienti significa garantire che il percorso di cura dei pazienti stessi non venga illegittimamente compromesso. L’indebita modifica dei dati di salute, causata da errore o dolo, potrebbe infatti comportare dei gravissimi rischi per la salute dei pazienti: si pensi banalmente alle conseguenze che potrebbero derivare dalla modifica del gruppo sanguigno di un paziente che sta per sottoporsi ad un intervento chirurgico.
Si comprenderà bene che in casi patologici come quello di un attacco hacker ai sistemi informatici di un ospedale, la possibilità di raccogliere informazioni esatte sull’accesso non autorizzato ai dati costituisce la chiave per determinare il livello di rischio e prevenire un nuovo o continuo attacco.
In relazione caso di specie si evidenzia che per arginare la perdita di integrità dei dati, l’ospedale aveva attuato un sistema di tracciamento delle operazioni compiute sui dati personali: ciò ha permesso di accertare che nessuna modifica indebita è stata svolta sui dati.
Non si è quindi verificata una perdita di integrità dei dati personali colpiti dalla violazione e, pertanto, il rischio per la salute del paziente connesso all’alterazione dei dati non ha avuto luogo.
2. Perdita di riservatezza
Il soggetto che ha effettuato l’attacco ha avuto accesso ai dati personali dei dipendenti e dei pazienti in chiaro. La riservatezza dei dati personali, anche particolari, è stata quindi violata.
Ne deriva che sono configurabili rischi per la salute dei pazienti, anche tenuto conto che l’ospedale non può sapere con certezza quali siano gli intenti dell’attacco malevolo del terzo e questa incertezza produce l’effetto di innalzare ulteriormente il rischio per i loro diritti e libertà.
3. Perdita di disponibilità
Grazie alla politica di backup, l’ospedale ha potuto ripristinare i dati entro 2 giorni dal momento dell’attacco, ma l’adozione di questa misura di sicurezza nel caso di un attacco malevolo non ha in ogni caso evitato l’indisponibilità anche solo temporanea dei dati.
Il “blocco” delle attività, consistito nel rinvio e cancellazione di interventi, ha provocato elevati rischi per la salute dei pazienti.
La perdita di disponibilità dei dati presso una struttura sanitaria a causa di un attacco ransomware può avere epiloghi gravissimi, come è accaduto ad una clinica universitaria di Düsseldorf.
Vi abbiamo parlato di questo caso in un precedente articolo ove abbiamo evidenziati che il blocco dei sistemi informativi della struttura e la perdita di disponibilità dei dati dei pazienti ha comportato l’impossibilità per l’ospedale di accettare una paziente in condizioni di salute molto gravi. Durante il tragitto verso un altro ospedale, troppo distante dal primo, la paziente è purtroppo deceduta.
Conclusioni
Per valutare se sussistono gli obblighi di notifica e di comunicazione del data breach, occorrerà verificare se sussistono dei rischi per i diritti e le libertà degli interessati.
Non si potrà quindi prescindere dal valutare i profili di fatto del caso di specie.
Nello specifico data breach sopra illustrato sussistono molti fattori che portano a ritenere che i rischi per i diritti e le libertà degli interessati siano elevati.
Più esattamente:
- il contesto in cui si inserisce questo tipo di è quello sanitario, per sua natura caratterizzato dalla gestione di innumerevoli dati di natura “sensibile”;
- l’elevato numero di interessati i cui dati sono stati coinvolti nella violazione;
- le misure di sicurezza implementate si sono rivelate non sufficienti ad evitare la perdita di riservatezza e di disponibilità dei dati personali degli interessati;
- la tipologia di violazione e, in particolare, l’indisponibilità dei dati ha comportato un elevato rischio per la salute degli interessati, tale per cui gli interessati dovrebbero esserne messi al corrente al fine di attivarsi per arginare i possibili danni.
Considerati tutti questi elementi, l’ospedale potrà ritenere che i rischi per i diritti e le libertà degli interessati sono elevati, e di conseguenza:
- Notificare la violazione al Garante
- Comunicare agli interessati la violazione stessa. Poiché il numero di interessati coinvolti è molto alto, l’ospedale potrà adempiere a questo obbligo mediante una comunicazione pubblica o una misura simile.