Natale 2023 in famiglia. Seduti al tavolo nel grande salone di casa Rossi sono presenti tre generazioni: i nonni, per fortuna tutti e due in salute, i 4 figli e relative mogli e i 6 nipoti, di età variabile tra gli 8 e i 22 anni. È una scena italiana tipica che, senza dover scomodare il famoso film di Mario Monicelli, ci farà comodo per immaginare le conseguenze di un data breach che coinvolge dati sanitari.
Proviamo a fare un gioco di fantasia e immaginiamo la scena.
Luca, figlio di Mario e Lucia, è piuttosto bravo con il computer. I genitori non capiscono molto cosa faccia Luca nelle lunghe ore seduto nella sua stanza davanti allo schermo: sanno che gioca poco e passa molto tempo a scrivere sulla tastiera. Qualche volta lo sentono parlare con gli amici in un gergo incomprensibile…VPN, dark web… “speriamo solo che non si cacci nei guai!” confida Lucia a Grazia, la moglie di Nicola, fratello di Mario.
Durante la cena di Natale, la discussione scivola –come di consueto– sulle sventure di amici e conoscenti. “Hai sentito di Pinuccio? Lo hanno ricoverato per un dolore alla schiena e poi…che brutta fine!” sospira Maria. “Era anche giovane!” sottolinea Andrea, mentre addenta una succosa braciola di maiale.
“Non lo sapevate che aveva gusti sessuali strani?” esordisce Luca, tra lo stupore di tutti. “In che senso, scusa?” ribatte stupito Andrea. “Beh, ho trovato online il referto di una visita medica che fece qualche anno fa, a quanto pare aveva l’AIDS a causa di frequentazioni…particolari!“. “Eh? Ma che dici mai! Era sposato, una bella moglie e pure due figli!” risponde ridendo Luigi, che conosceva Pinuccio dai tempi delle elementari.
“Dammi un secondo…“. Luca afferra il suo smartphone, digita veloce sullo schermo e… “eccola!” e mostra a tutti, sullo schermo, il referto clinico di una visita specialistica di Giuseppe –Pinuccio, per gli amici– Rossi fatto pochi mesi prima in un ospedale della Regione, colpito di recente da un attacco ransomware. Un referto molto esplicito, che lascia ben poco spazio all’immaginazione. E le informazioni personali del paziente –data di nascita, nome, cognome– sono proprio quelle di Pinuccio.
Nella sala cala il silenzio. Solo la TV nello sfondo a fare da contorno agli sguardi perplessi e imbarazzati degli altri parenti. Luca sorride soddisfatto: “maddai! Davvero non sapevate niente?” e per fortuna che arriva la battuta di zio Armando a cambiare discorso, commentando la pessima resa del suo oliveto in collina.
È stato divertente, no? Bene, ora torniamo con i piedi per terra. E no, non è stato affatto divertente. Innanzi tutto perché le preferenze sessuali di Giuseppe Rossi (nome di fantasia, come tutto il resto) sono un dato particolare, meritevole di particolare protezione come previsto dall’art. 9 del Regolamento Europeo 679/2016 “GDPR”: vederle spiattellate sul (dark) web, alla mercé di chiunque, non è lecito.
In secondo luogo, come ricordato anche dal Garante per la Protezione dei Dati Personali in occasione dell’attacco ransomware alla ASL1 Abruzzo, i dati sottratti illegalmente pubblicati sul web non possono essere consultati né scaricati, né tantomeno diffusi. Purtroppo, facendo un bagno di realtà, è facile immaginare che, purtroppo, essendo praticamente impossibile sapere chi consulta questi dati è sempre bene immaginarsi lo scenario peggiore, ovvero che anche se pubblicati sul dark web sono ormai di pubblico dominio.
Facciamo quindi un veloce riepilogo delle criticità conseguenti alla pubblicazione di dati e informazioni sanitarie on-line.
La sensibilità dei dati sanitari
Come ben sappiamo, i dati sanitari comprendono informazioni molto personali, come la storia clinica di una persona, i risultati dei test di laboratorio, i dettagli delle prescrizioni mediche e altre informazioni mediche confidenziali. Questi dati rivelano dettagli intimi sulla sua salute e il suo benessere. Di conseguenza, i data breach che coinvolgono dati sanitari possono avere conseguenze devastanti per la privacy e possono portare a situazioni di discriminazione, estorsione o truffe. Peraltro, non è raro che, in caso di attacco ransomware, alla classica doppia estorsione possa affiancarsi anche una tripla, quella a danno dei singoli pazienti, a cui i cybercriminali chiedono soldi per non divulgare le loro informazioni mediche.
Impatto sulla privacy e sulla reputazione
Quando i dati sanitari vengono violati, la privacy delle persone coinvolte è compromessa. Le informazioni confidenziali possono finire nelle mani sbagliate che possono utilizzarle per scopi illegali o per danneggiare la reputazione delle persone coinvolte. Ad esempio, i dati sanitari possono essere utilizzati per ricattare o estorcere denaro dalle persone coinvolte, oppure possono essere venduti sul mercato nero per scopi fraudolenti. Questo può causare un’enorme angoscia emotiva e finanziaria per gli individui colpiti.
Rischi per la sicurezza fisica
I data breach che coinvolgono dati sanitari possono anche mettere a rischio la sicurezza fisica delle persone coinvolte. Ad esempio, se le informazioni mediche di un paziente vengono divulgate senza il suo consenso, potrebbe subire stalking o molestie da parte di individui indesiderati. Inoltre, le informazioni sanitarie possono rivelare la presenza di condizioni mediche sensibili, come malattie mentali o malattie croniche, che potrebbero essere sfruttate per scopi criminali o discriminatori.
Implicazioni legali ed etiche
I data breach che coinvolgono dati sanitari possono avere implicazioni legali significative per le organizzazioni responsabili della violazione. Le leggi sulla privacy, come il Regolamento generale sulla protezione dei dati (GDPR) in Europa o la Health Insurance Portability and Accountability Act (HIPAA) negli Stati Uniti, impongono severe sanzioni per la violazione dei dati sanitari. Inoltre, è fondamentale considerare l’aspetto etico di tali violazioni, poiché i fornitori di assistenza sanitaria hanno la responsabilità di proteggere le informazioni confidenziali dei pazienti.
Su quest’ultimo punto è bene sottolineare come l’attacco ransomware ai danni della ASL1 Abruzzo abbia, forse per la prima volta in Italia, avuto una eco mediatica e legale importante. A quanto sappiamo dalle fonti stampa, i cybercriminali hanno estrapolato l’elenco dei pazienti coinvolti nel data breach, pubblicando l’elenco online e chiedendo di fare pressione sulla ASL1 Abruzzo per evitarne la pubblicazione. Successivamente alla pubblicazione dei dati sul DLS alcuni pazienti, supportati da legali, hanno avviato richieste di risarcimento all’ASL.
La domanda che a questo punto frulla in testa è: “ma come è possibile che dati così delicati come quelli sanitari possano essere violati dai cybercriminali?“. Rimanendo nel contesto nazionale, nel 2022 l’azienda di cybersecurity Swascan ha pubblicato un report “Cyber Risk Indicators – Sanità Italiana 2022 e 2021 a confronto” che, senza ovviamente entrare troppo nei dettagli tecnici, ha evidenziato una situazione abbastanza critica delle infrastrutture informatiche relative alla sanità italiana.
Del resto, senza entrare troppo nei dettagli tecnici, negli ultimi anni gli attacchi ai danni di strutture sanitarie pubbliche sono aumentati notevolmente, con alcuni incidenti davvero molto rilevanti e decine di migliaia di documenti e report clinici, contenenti dati personali sanitari, finiti on-line.
Secondo un report di fine agosto 2023 della società Sophos “The State of Ransomware in Healthcare 2023“, “The rate of data encryption following a ransomware attack in healthcare was the highest in the last three years: 73% of healthcare organizations reported that their data was encrypted in the 2023 report, up from 61% in the 2022 report and 65% in the 2021 report.” mentre sui vettori di attacco maggiormente usati, non poteva non spiccare la compromissione di credenziali di accesso.
Stando ai dati pubblicati nella Relazione Annuale ACN 2022, nell’anno di riferimento -2022- nel nostro Paese ci sono stati 11 attacchi ransomware ai danni della sanità pubblica, su un totale di 130 eventi ai danni della PA. Non sorprende che, sempre secondo i dati citati, su 160 eventi complessivi di cui 57 con conseguenze per le vittime, la maggioranza sono stati attacchi ransomware.
In attesa dei dati ufficiali relativi al 2023, il numero di eventi ai danni di strutture sanitarie italiane (ASL3 Napoli Sud, ASL1 Abruzzo, Azienda Ospedaliera Universitaria Integrata di Verona, ASL Modena, tanto per citarne alcuni) non si preannuncia inferiore, se non altro per l’impatto dei relativi data breach.
Prima di concludere, vale la pena ricordare che nel Piano Nazionale di Ripresa e Resilienza, detto anche PNRR, sono stati stanziati 301,7 milioni di € per “INTERVENTI DI POTENZIAMENTO DELLA RESILIENZA CYBER PER LA PA“: non possiamo quindi che augurarci che siano investiti nel miglior modo possibile.