L’attacco informatico a un’azienda sanitaria in Abruzzo non si è ancora fermato

È piuttosto grave e il gruppo di criminali informatici responsabile da dieci giorni diffonde dati personali e sensibili dei pazienti

ospedale
(Mauro Scrobogna/LaPresse)

Negli ultimi giorni un gruppo di criminali informatici ha diffuso un’enorme quantità di dati personali e sensibili dei pazienti assistiti dalle strutture sanitarie dell’azienda sanitaria 1 di Avezzano, Sulmona e L’Aquila, in Abruzzo. Sono state pubblicate cartelle cliniche, valutazioni psicologiche di minori, dati di persone sieropositive, informazioni sanitarie di persone che hanno partecipato a screening oncologici, oltre a dati relativi al personale sanitario delle strutture.

Il sistema informatico dell’azienda sanitaria è ancora in parte fuori uso. Prenotare le visite è complicato e in alcuni ospedali sono stati interrotti servizi e terapie programmate. I criminali informatici hanno rubato i dati il 3 maggio: secondo l’ACN, l’Agenzia nazionale di cybersicurezza, è uno degli attacchi informatici più gravi degli ultimi mesi.

I criminali informatici hanno utilizzato un metodo collaudato: un attacco ransomware. Un ransomware è un programma che una volta installato in un sistema informatico lo rende inaccessibile. In pratica viene utilizzato un sistema crittografico per impedire al proprietario del sistema di accedere ai dati, rubandoli, e se l’azienda o la persona che subisce l’attacco informatico vuole riaverli indietro deve pagare un riscatto.

– Leggi anche: Perché la sanità è così vulnerabile agli attacchi informatici

In Italia sono state moltissime le aziende e le pubbliche amministrazioni attaccate con un ransomware. È un tipo di attacco diffuso in tutto il mondo, perché è piuttosto semplice da organizzare. Non servono grandi risorse economiche o strumenti per portarlo a termine, e consente ai criminali di rischiare poco perché scoprire i responsabili non è semplice.

Il settore sanitario è tra i più vulnerabili agli attacchi ransomware perché raramente ai dipendenti pubblici viene chiesto di applicare misure di sicurezza e accorgimenti nella gestione delle password, e non c’è grande consapevolezza dei rischi e delle conseguenze che possono avere gli attacchi informatici in generale. I punti di accesso al sistema informatico delle strutture sanitarie sono vari e i tecnici assunti per controllare la sicurezza sono pochi, anche perché assai richiesti nel settore privato. Inoltre gli ospedali sono un bersaglio ideale perché sono più ricattabili delle aziende: la produzione industriale si può fermare temporaneamente, mentre la cura delle persone no.

Come ha notato Claudio Sono, ricercatore ed esperto di sicurezza informatica, l’attacco all’azienda sanitaria 1 dell’Abruzzo è soltanto l’ultimo di una lunga serie: negli ultimi mesi sono stati organizzati attacchi contro l’azienda sanitaria della Spezia, gli ospedali Multimedica e San Giuseppe di Milano, l’ospedale San Martino di Genova, le cliniche Lifenet di Milano, l’azienda farmaceutica Aesculapius Farmaceutici, l’azienda Hospital Service.

L’attacco di questi giorni in Abruzzo è stato organizzato dal gruppo di criminali informatici chiamato Monti, su cui non si hanno molte informazioni. Secondo diversi esperti che negli ultimi mesi si sono occupati di questo gruppo, sarebbe nato nell’estate del 2022 in seguito allo scioglimento del più noto gruppo filorusso chiamato Conti, che negli ultimi anni aveva organizzato diversi attacchi in molti paesi, tra cui l’Italia.

I criminali hanno rubato all’azienda sanitaria abruzzese oltre 500 gigabyte di dati. Sono stati pubblicati nel cosiddetto deep web, quella parte di Internet non accessibile attraverso i normali browser come Chrome e Safari e i motori di ricerca come Google, noto alla maggior parte delle persone per ospitare siti dove avvengono scambi commerciali illegali. I dati diffusi negli ultimi giorni, poco più di 10 gigabyte, costituiscono soltanto una piccola piccola parte dell’intero database.

Nonostante i gravissimi disservizi e il furto dei dati, la Regione Abruzzo non ha dato molte informazioni sull’attacco e sulle sue conseguenze. Il presidente, Marco Marsilio, si è limitato a dire che non sarebbe stato pagato il riscatto. «Questo attacco informatico ha il solo scopo di lucrare attraverso la divulgazione di questi dati e l’unico modo per contrastarlo è quello di non aprire i documenti», ha detto Marsilio. «Teniamo a sottolineare che la divulgazione dei dati trafugati costituisce un reato e chiunque scarichi file dal dark web commette un reato, quindi invitiamo tutti a non aprire documenti rilasciati illegalmente in rete. La Asl e la Regione non pagheranno nessun riscatto chiesto dagli hacker». Da giorni una task force della Regione, cioè un gruppo di esperti di sicurezza informatica affiancati dai tecnici dell’Agenzia nazionale della cybersicurezza, sta tentando di ripristinare il sistema.

Nel frattempo, considerate le scarse informazioni fornite dalla Regione, un centinaio di persone ha affidato a due avvocati una richiesta di risarcimento danni e un’istanza di accesso a informazioni relative ai dati rubati dai criminali informatici: il timore è che una parte sia andati persa. Oltre al rilevante danno causato dalla loro pubblicazione, senza quei dati potrebbe essere complicato ricostruire la storia clinica dei pazienti, molto importante per definire le terapie.

– Leggi anche: Gli attacchi informatici possono far male alla salute

Sabato il gruppo Monti ha pubblicato un messaggio rivolto allo stesso Marsilio e al direttore generale dell’azienda sanitaria 1, Ferdinando Romano. I criminali informatici hanno scritto che l’Abruzzo ha speso le tasse incassate dai cittadini per costruire strutture debolissime dove conservare i dati sanitari: «Non vi preoccupate affatto della sicurezza dei dati dei vostri cittadini, questi dati non sono stati protetti in alcun modo, erano alla mercé di tutti. Perché non ci contattate? Possiamo sicuramente trovare un accordo». Secondo i criminali, le operazioni di recupero dei dati dureranno mesi e costeranno molti soldi alla Regione, mentre il pagamento del riscatto consentirebbe di avere l’intero database «in non più di otto ore».

– Leggi anche: I criminali informatici sono diventati imprenditori