Attacchi informatici in sanità: impatto, rischi, sanzioni

25 gennaio 2023
Tempo di lettura stimato: 9'
Torniamo a parlare di attacchi informatici. Se hai letto la mia intervista sui cyberattacchi a Marco Ramilli di Yoroi, sai già che sono aumentati sia in quantità che in qualità. Bene. Proviamo a pensare cosa potrebbe succedere se l’attacco informatico colpisse una struttura sanitaria… 

Io l’ho fatto e ne è nato un racconto breve. Il protagonista è sempre Andrea Kaiser, il mio alter ego. Forse hai già letto qualcosa di lui in “Chi ha paura del GDPR?” e nel racconto “Il corvo”. Stavolta Kaiser è nel bel mezzo di un grave attacco informatico, come se la caverà?

Una grigliata di troppo. Andrea Kaiser e l’attacco alla clinica

Andrea Kaiser entrò in clinica con un po’ di apprensione. Sicuro di sé in ogni circostanza, quando si trattava di questioni di salute, il suo naturale aplomb veniva meno. A disagio, posizionò la fronte davanti al termoscanner per la rilevazione della temperatura: 36.4°. Sullo schermo lampeggiò un grande OK color verde mela e una voce metallica gli comunicò – in cinese – che poteva proseguire oltre. 

«Ancora il termoscanner? Almeno l’impostazione della lingua potevano cambiarla…» biascicò con uno sbuffo irritato «Spero solo che quell’affare non registri anche la mia faccia, oltre alla temperatura...»

Scacciando il pensiero con un gesto della mano – dopotutto era lì per motivi personali e non per fare le pulci al Direttore Sanitario… -, diede uno sguardo veloce in giro. In sala d’aspetto c’erano una donna incinta, una famiglia con bambini piccoli, una coppia di anziani e altri tre o quattro pazienti in diligente attesa. Alla reception, una giovane donna scrutava con ansia evidente lo schermo del computer. 

Girò subito l’angolo, diretto ai reparti. Seguendo la segnaletica che si dipanava lungo i muri, raggiunse in pochi minuti la gastroenterologia.

«Oh! Andrea, grazie per essere passato!» 

In una piccola stanza senza finestre, lo aspettava Lanfranco Surici, amico, DPO e collega di lunga data. Sedeva con aria dolorante in attesa del referto. 

«È stata solo una grigliata di troppo, per fortuna nulla di serio! Almeno così dice il dottore. Stiamo aspettando i risultati degli esami e se tutto va bene dovrei cavarmela con un po’ di dieta.» esclamò Lanfranco rassicurante, per poi rabbuiarsi un attimo dopo. 

Kaiser, che si era precipitato pensando al peggio, aveva riacquistato la sua solita calma. Scrutò l’amico con curiosità. Aveva ancora mal di stomaco, ma era chiaro che, nonostante la brutta indigestione, fosse in buona salute. Qualcosa però lo turbava, era evidente. 

Curioso lo incalzò: «Sono contento! Ti confesso che la tua chiamata mi ha fatto preoccupare… Scusa se te lo chiedo, però, Lanfranco, ma ci conosciamo da trent’anni… Ti vedo strano, è successo qualcosa?»

Surici annuì. Si alzò, si affacciò sul corridoio per accertarsi che fossero soli e chiuse la porta.

«Sì, è successo qualcosa. È anche per questo che ti ho chiesto di venire. Qui c’è qualcuno che si è infettato con un malware, Andrea. Il virus ha bloccato il gestionale, ma nessuno ne parla. Ho provato a chiedere al medico di portarmi dal Direttore Sanitario. Sai, gli ho detto che mi occupo di consulenza privacy… ma è sbiancato e mi ha lasciato qui, dicendo di aspettare il suo ritorno e poi è sparito.»

Kaiser ripensò alla receptionist dall’aria nervosa che fissava preoccupata la luce azzurrina dello schermo e gli chiese: «E tu come te ne sei accorto?»

«Ho provato a pagare la prestazione online attraverso il sito della clinica e invece della home è comparsa questa schermata…» In un attimo Lanfranco allungò il telefono a Kaiser: sullo schermo l’immagine di una mucca che guardava passare un treno e la scritta “BECCATI!”

Kaiser si toccò la barba e sospirò. Non c’erano dubbi, la clinica aveva subito un attacco hacker e quasi certamente i cybercriminali avevano chiesto un riscatto

In quel momento la porta si aprì di colpo ed entrò un medico sulla trentina, sudato, pallido, in evidente tensione. Era il professionista che aveva in cura Lanfranco. Guardò il suo paziente e poi Kaiser.

«Dottor Bellis,» iniziò Surici «questo è il mio amico e collega Andrea Kaiser. È un Data Protection Officer come me ed è venuto a trovarmi per riportarmi a casa. Forse potrebbe darvi una mano… per la questione dei computer bloccati.» Bellis annuì e guardò Andrea.

Kaiser sapeva benissimo di non poter fare nulla. Non era lui il DPO della clinica, avrebbe potuto lasciar correre e tornare a casa. Ma ripensò all’amico che sembrava aver preso a cuore la questione e agli altri pazienti in attesa, che avevano bisogno di cure. Non poteva lasciar correre. Doveva parlare subito con il Direttore Sanitario. 

«Dottor Bellis piacere, sono Kaiser. Mi porti dal DS che vediamo se posso esservi di aiuto.»

Il medico lo guidò senza fiatare fino al terzo piano. Kaiser iniziava a chiedersi il perché di quel mutismo… Infilarono poi un lungo un corridoio e arrivarono allo studio del Dottor Flocinis, Direttore Sanitario della clinica.

Bussarono.
 
«Avanti!» 

Entrarono in una stanza enorme. Le pareti erano stipate di quadri costosi, pergamene, foto di famiglia – una famiglia molto numerosa – con figli e figlie in camice bianco. Una stirpe di medici.

“Scommetto che li ha sistemati qui e in altri ospedali in ruoli importanti…” pensò Kaiser guardandosi intorno. 

Alla scrivania sedeva il Direttore. Un uomo alto, magro, sulla sessantina. Gli occhi erano chiari e penetranti. La mascherina FPP2 che teneva ben aderente sul viso ne celava i lineamenti, ma Kaiser riuscì a cogliere il colorito rubizzo e l’espressione nervosa di una persona che non ama essere contraddetta.

«Lei è?» disse Flocinis con irritazione. 

«Dottor Andrea Kaiser, consulente privacy e DPO.»

Il Direttore Sanitario raggelò Bellis con uno sguardo e sbottò con tono alterato: «Bellis, ti avevo detto di non chiamare nessuno! Non ce n’è bisogno. Paghiamo il riscatto e basta.»

Il medico non sapeva come rispondere, aveva seguito un corso sulla cybersicurezza e la gestione degli attacchi informatici nella struttura dove lavorava fino a qualche mese prima e aveva capito che il problema era serio. Evidentemente però il nuovo capo non aveva chiara la gravità della situazione. E poi c’era un problema. La persona che aveva preso il malware era Pier Luca, il figlio di Flocinis, capo del reparto gastroenterologia. In pratica, il suo capo diretto…

Kaiser si schiarì la voce e cercò di mantenere la calma. Le persone boriose non gli piacevano. Aveva conosciuto molti dirigenti di strutture sanitarie, con alcuni aveva stretto un ottimo rapporto. Li stimava personalmente e professionalmente. Ma in quel caso…

«Mi permetto di intervenire, Dottor Flocinis. Sono qui per motivi personali. Non volevo sembrarle invadente, ma in queste situazioni bisogna essere rapidi. È chiaro che avete un problema grave. Posso parlare con il vostro DPO? Ho già affrontato casi simili in passato e potrei essere di aiut…»

«Assolutamente no!» Il Direttore Sanitario batté una mano sul tavolo e guardò Kaiser dritto negli occhi «Il DPO l’ho mandato via proprio cinque minuti fa, blaterava sul fatto di avvisare il Garante… Per poco non lo licenzio! La clinica l’ho fondata io e decido io. Poi quello è un nostro dipendente. Non può certo dirmi cosa devo o non devo fare…»

Un DPO interno che non ha nessun potere. Un titolare del trattamento che non ascolta. E una marea di dati particolari in scacco. Un quadretto mica male...” penso Andrea rimpiangendo il suo slancio di altruismo. 

«Dottor Flocinis, io sono solo venuto a dare una mano. Un aiuto non gradito, evidentemente. Bene. Per me non c’è problema. Però, forse non sa che pagare il riscatto è un reato…»

Il Direttore alzò un sopracciglio, ma non disse nulla.

«Quindi, se paga, si espone penalmente. In caso di ransomware, alla struttura sanitaria possono essere contestati il reato di estorsione, il reato di accesso abusivo, il concorso nel reato di favoreggiamento e se gli hacker sono russi o americani, ci sono anche delle violazioni delle normative antiterrorismo. In pratica, sappia che, pagando, potrebbe anche favorire il terrorismo internazionale. Per non parlare del danno all’immagine e alla reputazione della sua struttura, l’interruzione di pubblico servizio e il danno erariale. 
Come vede i disservizi che i suoi pazienti stanno subendo in questo momento sono solo la punta dell’iceberg…»

Flocinis ebbe un sussulto e Kaiser tornò alla carica.

«Ha capito bene, c’è il danno erariale se, per esempio, una partecipata – quindi un’organizzazione pubblica – è oggetto di ransomware, cioè di estorsione. Il motivo è semplice: l’organizzazione dovrebbe difendere i dati. Se paga il riscatto, la Corte dei Conti apre un procedimento contro chi la dirige, perché si crea un ammanco di soldi da giustificare, che deriva dal fatto che la struttura ha pagato gli hacker per riavere i dati. E badi che è un ammanco di bilancio pubblico! Quindi chi ne risponde è la dirigenza. In più, se paga, non è detto che riavrà indietro i dati.»

«Ma… quindi il Garante…»

«Le dico solo che, quando si tratta di sanità e di attacchi a una struttura sanitaria, il Garante interviene pesantemente. In Italia, quando fa un provvedimento nei confronti di ospedali, case di cura, farmacie, parafarmacie… oltre alla sanzione, può ingiungere loro di fare una campagna di comunicazione istituzionale per promuovere la consapevolezza del diritto alla protezione dei dati personali. Sono strutture che hanno un’importanza sociale e devono sensibilizzare i cittadini sulla tutela dei dati.» 

Flocinis era ormai cereo e Kaiser iniziava a divertirsi.

«Ne approfitto per dirle che quel termoscanner all’ingresso mi sembra poco a norma…» guardò il computer del Dirigente, il tablet illuminato alla sua destra, il telefono ultimo modello appoggiato su un registro. 

«Se avete scelto il gestionale e gli altri strumenti come avete scelto il termoscanner, mi viene il dubbio che non abbiate neanche fatto un’adeguata formazione allo staff…»

«Formazione?» sussurrò il Direttore ormai senza fiato.

« Sì, è obbligatoria e vanno formati non solo il personale amministrativo e sanitario, ma anche gli utenti. Nel vostro caso i pazienti. E poi, ci sono le misure organizzative. Sono adeguate? Se rubano un computer, sapete cosa fare? Il Garante sanziona anche se mancano le procedure. Una multa per misure organizzative e tecniche non adeguate arriva anche a 8.000 euro.»

Tutta la boria di Flocinis si era ridotta in nulla.

«Se si apre un fascicolo per violazione dei dati in una struttura sanitaria – ed è il vostro caso – il rischio è che all'improvviso vi troviate davanti il Garante della privacy, l'autorità NIS del Ministero della Salute, i giornali e la procura… Insomma, una bella pesca.»

Kaiser guardò il Direttore. Quasi gli faceva pena.

«Dottor Flocinis, un’ultima cosa. Siete riusciti a risalire alla persona che ha preso il virus?»

Il dirigente guardò di sfuggita Bellis, che occhieggiava vicino alla porta con l’aria smarrita e poi di nuovo Kaiser. Tentò di ricomporsi. 

Certo, lo sapeva benissimo. Suo figlio lo aveva avvisato subito. Aveva cliccato su un link sospetto per sbaglio e il computer era impazzito, poi aveva chiamato Bellis, il suo sottoposto, per capire cosa fosse successo. Insieme erano corsi dal Direttore e dal DPO.

«Ancora no… Lo stiamo cercando.» mentì.

«Continui pure a cercare.» consigliò Kaiser «Le faccio solo presente che è previsto il licenziamento per giusta causa del dipendente che, per esempio, naviga su siti porno, prenota servizi a titolo personale e così facendo prende un virus e blocca il sistema. Uno perché ha usato risorse aziendali per usi extralavorativi in violazione del regolamento. Due perché ha sottratto tempo alla prestazione lavorativa per attività personali. Tre perché ha messo a rischio il sistema informatico.»

Silenzio.

«Bene Dottor Flocinis. Ora vado... In bocca al lupo!»

Kaiser si girò e uscì dall’ufficio, appena in tempo per sentire il Direttore Sanitario dire «Bellis richiama il nostro DPO, che la cosa va sistemata al più presto. E che sia fatto tutto in regola…» 

Sorrise soddisfatto. Si toccò la barba. Poi imboccò di nuovo il lungo corridoio. Surici lo stava aspettando e lui voleva portarlo a pranzo. Ma stavolta niente grigliata…
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è socio fondatore e CEO di PRIVACYLAB SRL, azienda che si occupa della produzione di PRIVACYLAB GDPR per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy