Cari Utenti,
Vi scriviamo per integrare e aggiornare la precedente informativa datata 02/01/2024 relativa all’attacco informatico (hacker) di cui sono state vittime le Aziende del Servizio Sanitario Regionale e la Regione Basilicata e che ha consentito a criminali informatici di accedere abusivamente ai sistemi informatici e rubare documenti contenenti dati personali.
Il presente aggiornamento fa seguito agli elementi emersi nelle fasi di analisi e indagine successive all’attentato.
Cosa è successo e come abbiamo reagito?
Dopo aver rilevato attività non autorizzate, abbiamo:
-ha coinvolto tempestivamente le competenti Forze dell’Ordine, che hanno supportato le indagini, e ha provveduto ad informare l’Agenzia Nazionale per la Cybersecurity nonché l’Autorità Garante per la Protezione dei Dati Personali, come previsto dalla normativa.
-Adottato immediatamente misure per contenere, valutare e porre rimedio all’incidente, tra cui l’attivazione di un team di risposta alle emergenze, l’assunzione di esperti esterni di sicurezza informatica per supportare le attività di risposta e la chiusura temporanea di tutti i sistemi IT che potrebbero essere interessati.
– ha provveduto a ripulire l’intero sistema informatico, aumentando i livelli di sicurezza con nuovi strumenti informatici in grado di monitorare continuamente la rete e di rilevare nel più breve tempo possibile eventuali nuove minacce;
– diffusa sui siti istituzionali delle aziende e della Regione Basilicata e la notizia è stata rilanciata da giornali e tv locali.
Quali dati personali sono stati violati?
Dalle nostre verifiche, i dati comuni e particolari sottratti, sia di carattere sanitario che amministrativo, riguardano prevalentemente pazienti e operatori, costituiscono una parte minima del patrimonio informativo delle aziende e sono spesso dati parziali e non strutturati, raggruppati in ‘riepilogo’, cioè documenti riferibili ad un numero elevato di persone, spesso identificate in modo incompleto o difficilmente riconducibili alla persona in assenza di altri elementi conoscitivi.
I criminali hanno pubblicato sul dark web diversi dati personali contenuti in documenti conservati dalle aziende e, pertanto, questi dati personali hanno perso la loro riservatezza.
Grazie alle copie di backup che tutte le aziende e la Regione effettuano senza interruzione, nessun dato personale è andato perso né sono stati modificati i documenti sanitari più importanti, come cartelle cliniche e cartelle cliniche.
Ricordiamo che chiunque scarica o altrimenti entra in possesso di dati pubblicati da organizzazioni criminali nel dark web e li utilizza per propri scopi o li diffonde online, sui social network o in altro modo pone in essere una condotta illecita che può costituire reato.
Per questi motivi, oltre alla difficoltà di accesso al dark web, è piuttosto remota la possibilità che dalla violazione derivi un danno concreto, tuttavia le Aziende e la Regione esaminano tempestivamente tutti i documenti violati al fine di classificarli in base alle grado di sensibilità dei dati contenuti e verificare se gli stessi possano riferirsi a persone identificate o identificabili.
Considerata la quantità e la frammentazione delle pratiche violate, si tratta di un’attività complessa e prolungata, tuttora in corso, ma è l’unico modo per cercare di determinare l’entità e il potenziale impatto di quanto accaduto, necessaria per poter predisporre la comunicazione agli interessati soggetti coinvolti: alcuni interessati identificati univocamente sono contattati direttamente e verranno contattati man mano che si procede all’identificazione, per tutti gli altri, che non hanno ricevuto e non riceveranno alcuna comunicazione personalizzata, la Regione Basilicata comunica con questa informativa pubblica, come consentito dalla normativa , quando lo sforzo per ogni singola persona
potenzialmente colpiti dall’infrazione sarebbe oggettivamente sproporzionato.
Cosa rischio? Cosa posso fare per proteggermi?
Non è da escludere che, anche in funzione dei dati personali e particolari in possesso dei criminali a seguito dell’accaduto, si possano verificare tentativi di furto d’identità, phishing ed eventualmente frodi in genere.
Di seguito sono elencate alcune misure che puoi prendere in considerazione per proteggerti:
-Valuta attentamente ogni email, SMS, messaggio istantaneo e telefonata in cui ti vengono richiesti i tuoi dati personali, anche se sembrano provenire dalla nostra Società: ti ricordiamo che, di regola, non ti chiederemo mai di fornire dati personali informazioni attraverso questi canali. Per ogni evenienza, contattare/segnalare immediatamente il fatto alle autorità competenti (Uffici Polizia di Stato – Stazione Carabinieri);
-Fai attenzione alle e-mail contenenti collegamenti ipertestuali incorporati, che possono essere utilizzati per indirizzarti a siti Web dannosi;
-Valutare attentamente le email che contengono allegati inattesi;
-Diffidare di eventuali e-mail sospette, anche se sembrano provenire da persone che conosci o dalla nostra azienda, come e-mail con grammatica/ortografia errata o linguaggio impreciso;
-non dare seguito a insolite richieste di contatto telefonico per offrire prodotti e/o servizi sanitari e/o servizi diversi collegabili a prestazioni sanitarie.
Chi posso contattare per maggiori informazioni?
Per fornire a tutti gli interessati maggiori informazioni sul trattamento dei dati, la Regione Basilicata ha predisposto un’apposita pagina sul proprio sito: https://www.regione.basilicata.it/datipersonali ed è sempre possibile inviare una email al Garante Dati dell’ufficiale [email protected] .
Inoltre, per ottenere informazioni circa la natura dei dati violati relativi a singole persone ovvero per esercitare i diritti di cui agli articoli da 15 a 21 del GDPR, gli interessati possono inviare, allegando copia di un documento di identità in corso di validità, le richieste al Responsabile della Protezione dei Dati delle singole Società SSR, ai seguenti indirizzi email:
Azienda Sanitaria di Matera – [email protected]
Azienda Sanitaria di Potenza – [email protected]
Istituto di Ricovero e Cura Scientifico di Rionero in Vulture (CROB) [email protected];
Ospedale Regionale San Carlo di Potenza – [email protected] .
