In risposta al disastro informatico che ha coinvolto gli Ospedali di Milano, ARIA spa fornisce informazioni su quanto accaduto pubblicando una notizia sul proprio portale web: “Dalle ore 3 di domenica 1 maggio, i presidi Ospedalieri e territoriali dell’ASST Fatebenefratelli Sacco sono sotto attacco Hacker. L’attacco è stato rivolto alle infrastrutture informatiche dei siti Fatebenefratelli e Sacco coinvolgendo tutte le sedi aziendali (Buzzi, Melloni e 33 sedi territoriali).”. Stando a quanto riportato, inoltre, risulta che l’attacco abbia “interessato i servizi erogati dai server dell’ASST Fatebenefratelli e Sacco che sono gestiti autonomamente dall’Azienda socio-sanitaria”, che “L’infrastruttura di ARIA S.p.A. e delle Aziende Sanitarie presenti sul Data Center Regionale non ha pertanto avuto impatti” e che “La DG Welfare e ARIA sono comunque al lavoro da domenica per dare tutto il supporto possibile all’ASST Fatebenfratelli e Sacco”.
Grazie ad un link alla notizia pubblicata su Lombardia Notizie Online, si accede agli ulteriori particolari sull’accaduto resi noti dall’ufficio stampa di Regione Lombardia.
Si apprende che c’è stato un attacco hacker dalle ore 3 di domenica 1 maggio da cui sono derivati “gravi problemi tecnici all’infrastruttura informatica aziendale” dei presidi Ospedalieri e territoriali dell’ASST Fatebenefratelli Sacco, diretto nei confronti dei “servizi di base dell’infrastruttura”. La conseguenza viene presentata come il “disagio” per i pazienti di avere un’accettazione “in maniera limitata e solo attraverso modulistica cartacea” nei giorni del 2 e 3 maggio nei Pronto Soccorso e i Punti di Prelievo dei presidi dell’ASST (Fatebenefratelli, Sacco, Buzzi e Melloni) con il dirottamento dei casi di emergenza su altri presidi ospedalieri milanesi. Non solo: i “disagi” sono annunciati come estesi “anche nelle erogazioni delle prestazioni ambulatoriali negli ospedali e presso le sedi territoriali”, sebbene si garantiscano visite prenotate e attività di pre ricovero.
Stando alle precisazioni della DG Welfare, “il personale sanitario del Pronto Soccorso ha riscontrato un malfunzionamento sui sistemi informatici ed ha attivato il servizio di reperibilità dei Sistemi Informativi dell’ASST”, e in seguito ad un intervento sul luogo è stato scoperto un attacco ransomware “con inutilizzabilità parziale dell’infrastruttura tecnologica” che dalle successive analisi “ha riguardato l’infrastruttura applicativa che ha reso indisponibili i sistemi agli utilizzatori”. Ma quali sono le sorti dei dati personali? È stata confermata l’interruzione dei servizi di protezione “dell’intera infrastruttura e dei dati”, e dunque – stando alle dichiarazioni – l’evento è limitato ad un blocco ed un’indisponibilità tutt’ora in corso. Stando alla descrizione dell’intervento in corso, infatti, “gli specialisti competenti stanno operando per tentare un ripristino dei sistemi” che “non ha al momento tempi definibili”.
Certo, non manca la comunicazione delle misure adottate, fra cui figurano l’allerta diramata verso i “servizi di sicurezza informatica regionali e la Polizia postale, che hanno inviato sul posto i propri specialisti per supportare le attività dei tecnici.”, la volontà di presentare denuncia agli organi competenti, l’attivazione delle “procedure di emergenza per limitare al minimo i disservizi per l’utenza”, l’analisi dell’incidente e la strategia di progressivo ripristino con “reinstallazione completa degli ambienti di gestione applicativa e il progressivo recupero dei servizi dalle copie di backup che l’Azienda teneva su supporti dedicati e non intaccati dall’attacco”.
A più riprese si afferma che gli interventi di accrescimento delle misure di sicurezza da parte dell’ASST nei precedenti mesi hanno mitigato i danni dell’attacco informatico, senza però approfondire oltre la menzione di quali siano le “tecnologie specifiche e di procedure di backup adeguate” se non citando “interventi tecnologici mirati, il coordinamento con Aria Spa per la condivisione di servizio e ‘best practice’ e con iniziative di formazione e sensibilizzazione al personale dipendente” e che “I tempi di ripristino relativamente limitati sono stati resi disponibili grazie alla notevole professionalità dimostrata dal personale tecnico dell’ASST”. Note di indubbia rilevanza cui però si sarebbe preferita ad esempio un’indicazione dei contatti del DPO o di un altro punto di contatto presso cui ottenere informazioni aggiuntive.
Anche se “al momento non si ha alcuna evidenza dell’avvenuta sottrazione di dati personali”, l’indisponibilità del dato personale ha realizzato comunque un data breach. E considerata l’estrema gravità dell’accaduto negli impatti e nelle conseguenze per gli interessati, c’è un’indubbia sussistenza di quel rischio elevato da cui deriva un obbligo di comunicazione “senza ingiustificato ritardo” agli interessati.
Purtroppo, all’interno del comunicato non si riscontrano tutti gli elementi minimi di contenuto prescritti dalla norma mentre per quanto riguarda gli elementi presenti, inoltre, è lecito avere qualche dubbio circa la conformità non tanto in relazione alla completezza bensì con riferimento ai criteri della forma concisa, trasparente, intelligibile, facilmente accessibile e di linguaggio semplice e chiaro prescritti dall’art. 12 GDPR, non solo nella descrizione delle probabili conseguenze o delle misure di mitigazione ma ancor più nella descrizione della natura della violazione all’interno della quale non c’è stato neanche un accenno esplicito ad una violazione dei dati personali occorsa ma si fa riferimento a disagi e disservizi.
Infatti, se il data breach neanche viene menzionato, in che modo si può pensare di perseguire l’intento di realizzare la migliore tutela degli interessati rendendoli consapevoli tanto della violazione dei dati personali quanto delle sue conseguenze?
