Un reato grave, un “atto delinquenziale odioso perpetrato nei confronti di tutti i cittadini della nostra comunità”, ma che non ha comportato alcuna perdita di dati sanitari. Lo ha sottolineato il sindaco di Modena Gian Carlo Muzzarelli rispondendo in Consiglio comunale giovedì 29 febbraio a un’interrogazione sull’attacco hacker subito dall’Azienda sanitaria modenese lo scorso dicembre presentata dal consigliere Alberto Bignardi del Pd.
Il sindaco ha auspicato che le indagini in corso (“tutt’altro che semplici visto l’ambito digitale e globale in cui si svolgono”) consentano di individuare i responsabili e di punirli con pene esemplari perché in ciò che è avvenuto “non c’è nulla di nobile o di rivoluzionario contro il potere, come qualche complottista o estremista potrebbe sostenere: chi ha rubato i dati lo ha fatto per soldi”. E infatti nel dark web sono poi apparsi subito “pacchetti” di dati in vendita quindi l’Azienda sanitaria con una pagina internet ha informato gli interessati sulla possibile violazione dei dati personali, è stato attivato un numero verde per le informazioni ed è stata attivata una campagna informativa anche allo scopo di promuovere una cultura della sicurezza digitale.
Riportando le informazioni fornite dall’Azienda sanitaria, il sindaco ha spiegato che, appunto, non sono stati persi dati sanitari (erano salvaguardati nei sistemi di backup aziendali) e che quelli copiati rappresentano lo 0,5 per cento dell’intero volume dati gestito dall’Ausl. Le procedure introdotte lo scorso anno per la sicurezza informatica, inoltre, hanno permesso una rapida riattivazione e il recupero dei sistemi.
Il sindaco, rispondendo puntualmente alle richieste di Bignardi, ha sottolineato che i livelli di sicurezza delle Aziende sanitarie, infatti, sono conformi alle linee guida dell’Agid, l’Agenzia nazionale del digitale, con una serie di misure introdotte: gestione degli accessi degli utenti interni (Privileged Access Manager), installazione di antivirus più avanzati, attivazione da gennaio del servizio “Security Operations Center” con copertura sulle 24 ore, implementazione delle migliorie (Assessment Maturity Level) corsi di formazione per i dipendenti e diffusione delle buone pratiche di utilizzo degli strumenti informatici, con anche l’acquisizione di servizi specialistici nel settore cybersecurity. “Tali servizi – ha spiegato Muzzarelli - hanno consentito, non appena rilevato l’attacco hacker, l’attivazione del cosiddetto Irt (ovvero Incident Response Team) che rapidamente ha preso in mano la situazione per la messa in sicurezza dell’intera rete aziendale, attraverso l’isolamento dei sistemi, evitando così un effetto domino e danni molto maggiori”.
Come chiesto da Bignardi, il sindaco ha ricordato che sono state molte le pubbliche amministrazioni (con diverse aziende sanitarie, da Roma a Napoli, da Savona a Messina, fino all’Abruzzo e a Verona) colpite da attacchi hacker negli ultimi anni, con “un picco registrato dalle autorità a partire dal 2022 quando è scoppiata la guerra in Ucraina”. Fin dai primi momenti dell’attacco, ha ricordato Muzzarelli, l’Ausl di Modena è stata in contatto costante con l’Agenzia per la Cybersicurezza Nazionale e si è confrontata con la Polizia postale di Modena e Bologna, oltre che con l’Autorità Garante per la Protezione dei dati personali.
Al progetto cybersecurity, inoltre, sono destinati finanziamenti del Pnrr per circa un milione di euro, mentre la task force interdisciplinare creata dall’Ausl prevede anche la presenza di esperti di diritto internet, avvocati penalisti e tecnici specializzati nel settore
Azioni sul documento
