Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca
Crowdstrike

Incidente informatico alla ASL1 Abruzzo. La situazione è grave, ma c’è poca comunicazione

Chiara Nardini : 6 Maggio 2023 10:36

L’Asl dell’Aquila è stata recentemente attaccata da un gruppo di hacker criminali, che hanno rubato dati sensibili per oltre 500 gigabyte, compresi referti, analisi, cartelle cliniche e esami medici.

Uno dei file è stato pubblicato nelle underground (con link nel clearweb) come elemento di pressione verso l’azienda sanitaria violata, opera del gruppo ransomware Monti, che richiede un riscatto in cambio della restituzione delle informazioni.

La Polizia postale sta indagando per individuare i responsabili, che si presume siano nascosti dietro pseudonimi e spesso residenti fuori dall’Europa.

Per risolvere la situazione, la direzione aziendale ha convocato i capi dipartimento per mettere a punto un piano funzionale che permetta di portare avanti l’attività ospedaliera limitando i disagi.

Tuttavia, alcune attività come il laboratorio analisi e la Diagnostica avranno maggiori difficoltà e alcune, come i controlli dermatologici e le prenotazioni di prestazioni a sportelli Cup, call center e servizio online, sono del tutto bloccate.

Nel mentre, gli esperti stanno provando a calcolare, tramite un’analisi forense, i danni causati dall’attacco informatico per poi eseguire un backup e ripulire il sistema prima di procedere al ripristino. Sembra che il servizio informatico presenti alcune lacune soprattutto nel sistema di backup.

Inoltre, anche il tribunale del malato ha chiesto all’Asl di migliorare il sistema informatico. La vicenda ha attirato l’attenzione del Parlamento e il senatore Michele Fina, coordinatore regionale del Partito Democratico, ha presentato un’interrogazione al ministro Orazio Schillaci.

La violazione della privacy dei pazienti e dei dipendenti è una delle principali preoccupazioni, in quanto potrebbe portare a richieste di risarcimento danni per la mancata tutela.

Qualche giorno fa abbiamo riportato la notizia che Il 6 febbraio 2023 la Lehigh Valley Health Network è stato colpita da un attacco ransomware da parte della gang Alphv/BlackCat, con tanto di esfiltrazione di oltre 130gb di dati di circa 75.000 utenti, tra cui i dati personali di oltre 2800 pazienti oncologici, foto cliniche incluse.

A quanto pare, una delle pazienti non l’ha presa – giustamente e consapevolmente – bene e ha citato in giudizio la Lehigh Valley Health Network “for allowing the “preventable” and “seriously damaging” leak”.

Nonostante ciò, l’azienda sta mantenendo una linea di poca-comunicazione e non sta informando la collettività di ciò che sta accadendo e si sta facendo.

Per ripristinare il sistema informatico dell’Asl dell’Aquila, che presenta carenze numeriche e tecniche legate alla sicurezza, saranno necessarie squadre di esperti in cyber sicurezza, il cui lavoro si annuncia lungo e complesso.

Come spesso riportiamo, un incidente ransomware rappresenta una grave minaccia per l’azienda colpita, in quanto può causare la perdita di dati preziosi, il blocco delle attività quotidiane e il rischio di ripercussioni negative sull’immagine dell’azienda stessa. Per questo motivo, diventa fondamentale attuare un efficace piano di “crisis management” per gestire la situazione e minimizzare i danni.

Relativamente alla comunicazione, è importante che l’azienda colpita si mantenga trasparente e collaborativa nei confronti dei propri clienti e dei media, fornendo informazioni chiare e precise sulla natura dell’attacco e sui provvedimenti adottati per risolvere la situazione.

Infine, il piano di “crisis management” dovrebbe prevedere una fase di analisi post-incidente, al fine di identificare le cause dell’attacco e delle eventuali carenze nel sistema di sicurezza, per adottare le misure correttive necessarie e migliorare la resilienza dell’azienda in futuro.

Mentre riproponiamo all’azienda sanitaria una dichiarazione in merito ai fatti, anche per poter fornire chiarezza in quello che sta accadendo, RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali.

Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono accedere utilizzare la mail crittografata del whistleblower.

Chiara Nardini
Esperta di Cyber Threat intelligence e di cybersecurity awareness, blogger per passione e ricercatrice di sicurezza informatica. Crede che si possa combattere il cybercrime solo conoscendo le minacce informatiche attraverso una costante attività di "lesson learned" e di divulgazione. Analista di punta per quello che concerne gli incidenti di sicurezza informatica del comparto Italia.