Il Garante ha riconosciuto la violazione del principio di integrità e riservatezza e degli obblighi di sicurezza da parte dell’azienda sanitaria modenese. Ne parliamo con l’avvocato Chiara Ciccia Romito, Cyber Security Specialist
Avvocato, che cosa sarebbe successo secondo la ricostruzione del Garante?
"L’attaccante sarebbe entrato nella rete aziendale attraverso credenziali Vpn (dati di accesso per connettersi alla rete ndr) di un tecnico sistemista di un fornitore. L’intrusione ha consentito attività interne progressivamente più gravi: ricognizione della rete, estrazione di credenziali, connessioni anomale notturne, modifiche di chiavi di registro, creazione di eseguibili malevoli, esfiltrazione di dati".
Quanti e quali dati sono stati coinvolti?
"Il provvedimento richiama la pubblicazione sul dark web di circa 1,2 milioni di file, per un totale di 954,7 GB. Un volume enorme, ma il vero punto riguarda la qualità delle informazioni: dati personali e relativi alla salute, riferibili a pazienti, ex pazienti, dipendenti e collaboratori. Il numero preciso degli interessati risultava difficile da determinare per via dei formati eterogenei dei file".








