Menu

Un attacco hacker può costare caro alla clinica privata

12/01/2023

La mancata adozione di adeguati sistemi di sicurezza informatica può costare cara all’ospedale, al titolare dello studio medico o al soggetto che fornisce i software per il trattamento dei dati sanitari. Il caso concreto di una clinica privata ci permette di approfondire la tematica.

Un attacco hacker può costare caro alla clinica privata

Durante il periodo pandemico ospedali e studi medici si sono trovati, all’improvviso, di fronte alla impellente necessità di dotarsi di software che gli consentissero di scambiare tra loro, nella massima sicurezza, i dati sanitari dei pazienti.

 

Nel caso di immagini radiodiagnostiche, ad esempio, riuscire a dotarsi di sistemi che permettessero la visualizzazione e lo scambio delle immagini tra i singoli medici che avevano in cura il paziente, senza che questo dovesse materialmente consegnare la stampa o il CD, ha sicuramente contribuito ad evitare che le persone si muovessero durante il periodo più crudo dell’imperversare della pandemia.

 

Nel trattare dati sanitari, però, la mancata adozione di adeguati sistemi di sicurezza informatica – e un conseguente attacco hacker – può costare cara all’ospedale, al titolare dello studio medico o al soggetto che fornisce i software per lavorare con i dati sanitari.

 

L’attacco hacker a una clinica privata lombarda

 

Sull’account Twitter denominato @LulzSecITA vengono pubblicate delle immagini di diagnostica strumentale con il seguente commento: “Tanti soldi spesi nella sanità, e poi nostri dati privati e sensibili, sono protetti da password di default. Che schifo”. Segue, sempre sullo stesso profilo, ulteriore messaggio in cui @LulzSecITA precisa: “Ragazzi ma nessuno ha detto che il tweet precedente parlasse del San Raffaele. Si parla di Sanità in generale, quello è sempre un ospedale, ma non il San Raffaele”.

 

L’account è riconducibile alla divisione italiana del collettivo hacker Lulz Security (abbreviato in LulzSec), un gruppo di hacker dichiaratosi responsabile di svariati attacchi informatici, come quello agli account della Sony Pictures nel 2011 o quello alla CIA, che ha visto il suo sito hackerato nel 2011. In Italia il collettivo LulzSec ha sferrato attacchi hacker nei confronti di partiti politici di grandi dimensioni, ma anche di strutture sanitarie come l’Ospedale San Raffaele di Milano, l’ospedale San Giovanni di Roma, nonché diverse ASL italiane tra cui Viterbo, Rieti e Caserta.

 

Le immagini oggetto di attacco informatico pubblicate su Twitter sono state oscurate dal gruppo hacker nelle parti relative all’identificazione della persona, tramite occultamento del nome e della data di nascita del paziente e di ogni elemento relativo alla struttura sanitaria ove era stato eseguito l’esame; il codice paziente è invece rimasto visibile.

 

L’unico dato immediatamente ricavabile dal tweet dell’hacker era quello relativo al programma con cui era stata realizzata l’immagine diagnostica: Med Dream DICOM Viewer, un software per la diagnosi, visualizzazione, archiviazione e trasmissione di immagini medicali distribuito in esclusiva su tutto il territorio italiano dalla Med Store Saronno S.r.l. Il software è un mero visualizzatore di immagini radiologiche, che non consente di accedere ad alcun dato sensibile del paziente che ne rilevi lo stato di salute.

 

Esso è costituito:

 

  • Da un componente Viewer, che gira su un browser e non richiede alcuna installazione sul dispositivo client
  • Da un application server MedDream, che gestisce la comunicazione con i sistemi ospedalieri e prepara le immagini per lo streaming sull’apposito visualizzatore di MedDream

 

Il software MedDream utilizza un’interfaccia di integrazione flessibile e aperta per la connessione ai sistemi HIS e/o EMR basata principalmente sulle chiamate URL, in modo da essere facilmente integrata in qualsiasi applicazione medica.

 

Tramite il codice paziente disponibile nelle immagini diagnostiche oggetto di attacco hacker, la Med Store S.r.l. è riuscita a risalire alla provenienza delle suddette immagini: si tratta di una clinica lombarda cui la Med Store ha fornito il software Med Dream solo 60 giorni prima dell’attacco informatico. È bene sottolineare, per comprendere appieno la vicenda, che la fornitura del software è avvenuta durante il periodo del c.d. “primo lockdown”, quando l’Italia è stata zona rossa per circa due mesi e ai cittadini era stato vietato di uscire di casa. Alla luce di tali particolari circostanze di fatto, l’installazione del software avveniva in modalità da remoto.

 

La configurazione dell’installazione da parte della Med Store S.r.l. nei confronti della Clinica avveniva utilizzando il protocollo http e fornendo al radiologo che doveva effettuare l’accesso al software per poter visionare le immagini le seguenti credenziali:

 

NOME UTENTE: admin

PASSWORD: admin

 

La Clinica, al momento della fornitura del software, nominava la Med Store S.r.l. Responsabile del trattamento dei dati personali. L’attacco hacker è avvenuto tramite la porta non standard 88 e si è consumato in poche ore, durante le quali sono stati effettuati degli accessi molto veloci in cui sono state visualizzate le singole immagini poi postate nel tweet di @LulzSecITA.

 

Fortunatamente, l’attacco informatico si è limitato solo ad alcune singole immagini diagnostiche, e non ha riguardato i dati relativi allo studio clinico.

 

Nell’immediato, subito dopo la notifica ex art. 33 GDPR, si provvedeva alla sostituzione delle password oggetto di attacco hacker.

 

La violazione del G.D.P.R sulla sicurezza del trattamento dei dati personali

 

La violazione del G.D.P.R. ha ad oggetto la sicurezza del trattamento dei dati personali. L’art. 32 del G.D.P.R. impone sia al titolare che al responsabile del trattamento dei dati personali di mettere in atto misure tecniche organizzative adeguate a garantire la sicurezza nel trattamento dei dati personali, tenendo conto dello stato dell’arte, dei costi di attuazione, ma anche della natura, dell’oggetto, del contesto e delle finalità del trattamento.

 

Per approfondire la tematica da un punto di vista normativo ed avere una consulenza personalizzata, affidati alle consulenze legali di Consulcesi Club.

 

Consulcesi Club: tutta l’assistenza legale di cui hai bisogno

Consulenze legali in ambito civile, penale, lavorativo e in tema di responsabilità professionale; tre pareri legali e tre lettere di diffida. Attiva Consulcesi Club e ricevi assistenza legale illimitata.

 

Nel caso di specie, i dati trattati sono di tipo sanitario, e per la loro estrema delicatezza richiedono il livello massimo di sicurezza che si possa garantire.

 

Tra le misure di sicurezza imposte dal GDPR, rientrano:

 

  1. la pseudonimizzazione e la cifratura dei dati personali
  2. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento dei dati personali
  3. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico
  4. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento (i c.d. penetration test).

 

Per dimostrare di aver attuato tutte le misure tecniche esistenti per garantire la sicurezza dei dati, è possibile adottare degli specifici Codici di Condotta. Sia il titolare che il responsabile del trattamento dei dati devono fare in modo che il personale preposto all’accesso ai dati personali sia adeguatamente istruito e formato in materia.

 

Nel caso di specie, la Med Store, quale Responsabile del trattamento dati della Clinica che ha subito l’attacco hacker, si è resa responsabile di una serie di grossolane violazioni:

 

  1. ha predisposto l’installazione del software tramite utilizzo di protocollo di rete http anziché del più sicuro protocollo https
  2. ha fornito al titolare del trattamento dati delle password non sicure (Nome utente: admin – Password: admin)
  3. ha omesso di formare il personale tecnico/sanitario che avrebbe dovuto utilizzare il software
  4. ha omesso di effettuare tramite penetration test (che avviene da remoto) l’efficacia delle misure tecniche e di sicurezza che avrebbe dovuto adottare.

 

La Med Store si è giustificata evidenziando che tutta la procedura di fornitura e installazione del software è dovuta avvenire da remoto a causa delle restrizioni alla circolazione durante il periodo di lockdown. In realtà, sia l’utilizzo del protocollo https che la formazione del personale della Clinica per fornire le basi sulla sicurezza dei dati – tra cui rientra l’utilizzo di password forti per l’accesso a software o comunque a sistemi che trattano dati personali, specie se sanitari – avrebbe potuto avvenire da remoto, perciò il Garante ha ritenuto le giustificazioni della Med Store irrilevanti.

 

Il responsabile per la protezione dei dati personali

 

Fortunatamente per la Clinica, la grande mole di dati sensibili (sanitari) la obbligava a nominare un Responsabile della protezione dei dati personali, individuato appunto nella Med Store S.r.l., fornitrice il software violato.

 

Il Garante Privacy ha perciò ritenuto che la responsabilità per l’attacco informatico fosse ascrivibile esclusivamente alla Med Store S.r.l., quale Responsabile della protezione dei dati della Clinica, per non aver adottato le cautele tecniche e organizzative esistenti all’epoca dei fatti al fine di scongiurare il rischio di un attacco hacker. Il Garante ha perciò comminato una sanzione molto onerosa alla Med Store S.r.l., di ben € 7.000, ritenendola proporzionata ai fatti e soprattutto dissuasiva per eventuali future “leggerezze”.

 

Se il software, anziché a una Clinica privata, fosse stato fornito allo studio medico di una piccola comunità locale, la sanzione lo avrebbe investito personalmente. Il piccolo studio medico, a differenza dell’ospedale, non ha l’obbligo di nominare un Responsabile del trattamento dei dati personali, e solitamente quando non vi è un obbligo, un’attività non viene compiuta, anche se in realtà sarebbe molto utile.

 

Nella medesima situazione analizzata, perciò, ogni responsabilità per l’attacco informatico sarebbe stata esclusivamente del medico titolare dello studio, che si sarebbe dovuto accollare la sanzione pecuniaria di € 7.000 euro. Il suggerimento è quello di pretendere sempre il massimo della sicurezza informatica negli ambienti sanitari di qualunque dimensione, per scongiurare brutte sorprese.

 

Manuela Calautti, Avvocato