Purtroppo, ancora nessuna evoluzione sul lato comunicazione del data breach in seguito all’attacco hacker che ha coinvolto i sistemi dell’ASST Fatebenefratelli-Sacco, nonostante l’allarmante gravità dell’accaduto. La comunicazione all’utenza con data 1 maggio citava “problemi tecnici all’infrastruttura informatica aziendale”, in conseguenza dei quali “il Pronto Soccorso e i Punti Prelievo dei presidi ospedalieri dell’ASST Fatebenefratelli Sacco (Sacco, Fatebenefratelli, Buzzi e Melloni) non saranno in grado di accettare gli accessi dei pazienti” e si annunciavano “gravi disagi anche nell’erogazione delle prestazioni ambulatoriali negli ospedali e presso le sedi territoriali”.
L’avviso pubblicato in data 5 maggio sul sito istituzionale (ora nuovamente funzionante e online) riporta quanto segue: “Il giorno 01/05/2022 è stato portato un attacco ai sistemi informativi aziendali, rivolto alle infrastrutture dei siti Fatebenefratelli e Sacco che ha impattato sul funzionamento di tutti i sistemi presso tutte le altre sedi aziendali (Buzzi, M.Melloni e 33 sedi Territoriali). L’azione, ha paralizzato tutti i sistemi aziendali, ha attaccato i servizi di base dell’infrastruttura, stante l’entità, la portata e l’estensione, la piena operatività dei sistemi non ha al momento tempi definibili. L’Azienda è dispiaciuta per la ricaduta sull’utenza. Stiamo lavorando per rendere operativi tutti i sistemi aziendali.”.
Insomma: ancora non si parla esplicitamente di data breach, e di conseguenza all’utenza non è dato apprendere granché al di là del “dispiacere” dell’Azienda e della paralisi dei sistemi aziendali. Non sono aggiunti quei particolari importanti ed utili per consentire agli interessati coinvolti di comprendere in modo chiaro la portata della violazione di sicurezza occorsa o l’impatto della stessa, per provvedere a tutele immediate per la mitigazione di danni o pericoli relativi ai propri dati personali.
Non solo: si prosegue nell’annunciare un’azione di ripristino senza però fornire un’indicazione delle tempistiche di recupero, ma anzi escludendo la possibilità di formulare anche un’ipotesi a riguardo. Ci si potrebbe domandare cosa sia stato pianificato ed implementato per garantire la continuità operativa e quali tempistiche siano state previste in tal sede. Qualche dubbio sorge circa l’adeguatezza delle procedure di sicurezza operativa adottate, nonostante le rassicurazioni da parte di Aria Spa circa l’esistenza di “procedure di backup adeguate” ed “interventi tecnologici mirati” secondo best practice.
Eppure, i fatti parlano chiaro. Nonostante le misure intraprese, al momento non si può aver contezza di una linea temporale – neanche indicativa – per il ripristino operativo. Né tantomeno c’è stata una corretta linea di comunicazione nei confronti degli interessati coinvolti dal data breach.
