Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Un paziente denuncia l’ospedale dopo l’attacco informatico

Michele Pinassi : 30 Aprile 2023 08:43

Il 6 febbraio 2023 la Lehigh Valley Health Network è stata colpita da un attacco ransomware da parte della gang Alphv/BlackCat, con tanto di esfiltrazione di oltre 130gb di dati di circa 75.000 utenti, tra cui i dati personali di oltre 2800 pazienti oncologici, foto cliniche incluse.

Sul DLS (Data Leak Site) predisposto dalla ransomware gang sono pubblicati 314867 files, tra cartelle mediche, immagini varie, documenti…una vera miniera d’oro di dati personali, anche sanitari, dei pazienti.

A quanto pare, una delle pazienti non l’ha presa – giustamente e consapevolmente – bene e ha citato in giudizio la Lehigh Valley Health Network for allowing the “preventable” and “seriously damaging” leak.


Sei un Esperto di Formazione?
Entra anche tu nel Partner program! Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Nell’atto di denuncia si legge chiaramente che Given that LVHN is and was storing the sensitive information of plaintiff and the class, including nude photographs of plaintiff receiving sensitive cancer treatment, LVHN knew or should have known of the serious risk and harm that could occur from a data breach“, sottolineando come LVHN sia stata negligente nel suo dovere di salvaguardare le informazioni sensibili dei pazienti.

La denuncia contiene anche la richiesta di istituire una class action per tutti coloro i cui dati sono stati esposti, con danni monetari da determinare. In effetti, la denunciante ha visto pubblicate delle foto che la ritraevano nuda, durante alcune analisi cliniche: chiunque, penso, non l’avrebbe presa molto bene.

La questione è tutt’altro che peregrina, poiché anche negli attacchi ransomware ai danni degli ospedali italiani sono state pubblicati documenti contenenti informazioni sensibili, con tanto di nome e cognome. Ci si chiede se, al di là del crimine estorsivo scatenato dal ransomwarele procedure di sicurezza informatica all’interno dei nosocomi siano adeguate alla tipologia di dati trattati.

Un recentissimo paper pubblicato dallo U.S. Department of Health and Human Services, probabilmente in risposta ai numerosi incidenti di sicurezza che stanno coinvolgendo anche le strutture sanitarie statunitensi, sottolinea come le misure di sicurezza cyber rientrano a pieno titolo tra le pratiche per la salvaguardia del paziente:

From small, independent practitioners to large, university hospital environments, cyber-attacks on healthcare records, IT systems, and network connected medical devices have impacted even the most hardened systems. It is for these reasons we consider Cyber Safety to be a part of Patient Safety.Health Industry Cybersecurity Practices: Managing Threats and Protecting Patients, U.S. Department of Health and Human Services

E in Italia? Beh, che io sappia (e spero di essere solo poco informato), oltre alle notizie di avvio di indagini e denunce contro i cybercriminali, non mi pare sia stato fatto molto altro. Non mi risulta che siano state emanate particolari linee guida in ambito cybersecurity per gli ospedali (che, comunque, sono soggetti al Regolamento Europeo 2016/679 “GDPR”) e le norme tecniche in vigore, per le strutture pubbliche, sono ancora le Misure Minime di Sicurezza ICT per le PA.

Ancora oggi nelle PA si considera la cybersecurity come un tema squisitamente informatico, non comprendendo che la sicurezza informatica, in una realtà profondamente interconnessa, è prima di tutto un tema organizzativo, procedurale e culturale.

Most healthcare personnel are experts at identifying and eradicating viruses in patients, not computers. Cybersecurity is a problem that must be addressed by everyone in an organization, not just the IT or cybersecurity departments. Just as providing safe care to a patient requires a multidisciplinary team, so does ensuring safety of healthcare’s digital ecosystem.Health Industry Cybersecurity Practices: Managing Threats and Protecting Patients, U.S. Department of Health and Human Services

Qualcuno potrebbe pensare che l’Italia non sono gli USA e che questo problema ci riguarda in modo minore e marginale. Niente di più sbagliato, ovviamente, perché anche i nostri ospedali trattano i dati sanitari e personali dei pazienti in forma digitale. Oltre al fatto che, sulla Rete, i confini nazionali sono azzerati ed un attaccante dall’altra parte del globo può tranquillamente colpire e sottrarre informazioni preziose in pochi millisecondi.

Informazioni sanitarie preziosissime, che vengono anche rivendute sui market nel dark web per chi ha interesse ad accedervi e profilare al meglio i cittadini (lascio a voi immaginare perché).

Credo che la PA italiana abbia un preciso obbligo morale, oltre che normativo, di proteggere al meglio possibile queste informazioni. Attraverso adeguati investimenti in competenze, personale e formazione. E che sia anche compito di noi cittadini pretendere che queste informazioni confidenziali, che ci riguardano molto da vicino, siano adeguatamente protette da occhi indiscreti.

[1] Cancer patient sues hospital after ransomware gang leaks her nude medical photos, The Register
[2] https://regmedia.co.uk/2023/03/15/lvhn_lawsuit_march_2023.pdf
[3] Health Industry Cybersecurity Practices: Managing Threats and Protecting Patients

Michele Pinassi
Nato e cresciuto a Siena, è Responsabile della Cybersecurity dell’Università di Siena. Lavora nel campo ICT da oltre 20 anni, usando esclusivamente software libero. Da sempre attento alle tematiche sulla privacy e sui diritti civili digitali, attraverso il suo blog nato nel lontano 2000, è ancora attivamente impegnato nel sensibilizzare i cittadini su queste tematiche.

Lista degli articoli

Articoli in evidenza

Se è gratuito, il prodotto sei tu. Google paga 314 milioni di dollari per violazione dei dati agli utenti Android

Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...

CTF di RHC 2025. Ingegneria sociale in gioco: scopri la quarta “flag” non risolta

La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...

Linux Pwned! Privilege Escalation su SUDO in 5 secondi. HackerHood testa l’exploit CVE-2025-32463

Nella giornata di ieri, Red Hot Cyber ha pubblicato un approfondimento su una grave vulnerabilità scoperta in SUDO (CVE-2025-32463), che consente l’escalation dei privilegi a root in ambie...

Hackers nordcoreani a libro paga. Come le aziende hanno pagato stipendi a specialisti IT nordcoreani

Il Dipartimento di Giustizia degli Stati Uniti ha annunciato la scoperta di un sistema su larga scala in cui falsi specialisti IT provenienti dalla RPDC i quali ottenevano lavoro presso aziende americ...

Mi Ami, Non mi Ami? A scusa, sei un Chatbot!

Le persone tendono a essere più comprensive nei confronti dei chatbot se li considerano interlocutori reali. Questa è la conclusione a cui sono giunti gli scienziati dell’Universit&#x...