I cyber criminali Monti affermano di avere pubblicato tutti i dati sanitari presi con l’attacco ransomware all’Asl 1 Abruzzo, attacco che è bene precisarlo, era già in corso dal 25 aprile e nessuno si è accorto di nulla. Le conseguenze diventano ancora più pesanti. Il messaggio per i media che infittisce ancora di più la spy story, con il silenzio della Regione Abruzzo.
La frase che troviamo anche in questa pubblicazione è la stessa e sempre in inglese “WE DID NOT LEAVE ANY RANSOM REQUESTS, THE MEDIA INVENTED THE AMMOUNT, TODAY WE PUBLISH ALL THE DATA, AND WE PROMISE YOU TOUGH ATTACKS“ che tradotto significa “NON ABBIAMO LASCIATO NESSUNA RICHIESTA A CASO, I MEDIA HANNO INVENTATO L’IMPORTO, OGGI PUBBLICHIAMO TUTTI I DATI E VI PROMETTIAMO ATTACCHI DURI“
Cosa si nasconde veramente dietro tutta questa storia? Ci dovremo aspettare altre sottrazioni di dati da altri enti?
I ransomware sono virus informatici che rendono inaccessibili i file dei computer infettati e chiedono il pagamento di un riscatto per ripristinarli ed essere decompressi. Tecnicamente sono trojan horse crittografici e hanno come unico scopo l’estorsione di denaro, attraverso un sequestro di file, che mediante la cifratura li rende inutilizzabili.
Insomma il danno e la diffusione dei dati sensibili è veramente catastrofico. Un attacco così grave porta a delle gravi conseguenze per quanto riguarda la riservatezza dei dati. Trattandosi infatti di un enorme archivio di dati filtrati da una Azienda sanitaria si possono solo immaginare la vastità e la delicatezza delle informazioni ivi conservate. Allo stesso tempo non va sottaciuto il disagio causato alle prestazioni sanitarie che a causa dell’attacco non sono state erogate, come ad esempio alle terapie programmate negli scorsi giorni.
Dalle notizie che circolano in rete emerge come nel database pubblicato vi siano dati relativi alla gestione degli ospedali quali password per le mail aziendali, credenziali per l’intranet, dati dei collaboratori, dei tirocinanti, tesi di laura, dati dei dipendenti (che per loro natura possono anche essere dati particolari, si pensi all’appartenenza politica o sindacale evincibile dalla busta paga).
L’evento, tuttavia, per la sua pericolosità, pone profili anche sul piano del trattamento dei dati. Si attende quindi l’intervento del Garante privacy il quale valuterà anche l’eventuale notifica e la comunicazione agli interessati che, ai sensi dell’art. 34 GDPR, va effettuata senza ingiustificato ritardo quando, come in questo caso, la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.