Data breach: Ospedale Macedonio Melloni

Indice

Il collettivo hacker Vice Society ha pubblicato i dati trafugati al Sistema Socio Sanitario della Regione Lombardia ed in particolare all’Ospedale Macedonio Melloni.

Che cosa è l’ospedale Macedonio Melloni

L’ospedale Macedonio Melloni è uno dei poli ospedalieri del sistema socio sanitario della Regione Lombardia di cui fanno parte:

  1. Ospedale dei Bambini “Vittore Buzzi”
  2. Ospedale Fatebenefratelli e Oftalmico
  3. Ospedale Luigi Sacco – Polo Universitario
  4. Ospedale Macedonio Melloni

Il 1 maggio 2022 l’ASST Fatebenefratelli Sacco era stata colpita da un ransomware e l’attacco aveva procurato pesanti disservizi. Il giorno 5 maggio 2022 l’ASST aveva pubblicato sul sito un comunicato in cui era scritto:

Il giorno 01/05/2022 è stato portato un attacco ai sistemi informativi aziendali, rivolto alle infrastrutture dei siti Fatebenefratelli e Sacco che ha impattato sul funzionamento di tutti i sistemi presso tutte le altre sedi aziendali (Buzzi, M.Melloni e 33 sedi Territoriali). L’azione, ha paralizzato tutti i sistemi aziendali, ha attaccato i servizi di base dell’infrastruttura, stante l’entità, la portata e l’estensione, la piena operatività dei sistemi non ha al momento tempi definibili. L’Azienda è dispiaciuta per la ricaduta sull’utenza. Stiamo lavorando per rendere operativi tutti i sistemi aziendali.

Come è possibile notare non si è fatto riferimento alcuno all’eventualità che i dati possano essere stati esfiltrati.

Cosa è stato pubblicato

Vice Society ha pubblicato una serie di documenti che riguardano tanto la struttura sanitaria quanto i pazienti ma ciò che spicca sopra ogni cosa è che i fascicoli dei singoli pazienti venivano tenuti in formato Microsoft Word, dentro normali cartelle nominate alfabeticamente. I documenti contengono numerosi dati di pazienti anche minori affetti da una molteplicità di patologie.

All’interno di questi spiccano informazioni la cui esfiltrazione è di assoluta gravità: si passa dalle relazioni dei medici alla valutazione degli apprendimenti calcolate mediante alcuni test. Ci sono attestati di ogni tipo, purtroppo, anche quelli che riguardano potenziali condotte suicidare di minori e test psico-clinici.

Conclusioni

Si ripropone il problema già evidenziato in altre circostanze: la corretta gestione del documento informatico. Per rispetto agli utenti si evita di pubblicare ulteriori screenshot che, seppur censurati, risultano di cattivo gusto. È imbarazzante notare come informazioni così particolari siano detenute senza alcun problema in documenti Word, talvolta persino in un formato che AgID non raccomanda: il formato .doc non è raccomandato dalle Linee Guida per la Formazione, Gestione e Archiviazione del Documento Informatico. In particolare si fa riferimento all’allegato 02 pagina 27 in cui AgID chiaramente lo sconsiglia per la scrittura di documenti perché ritenuto non robusto.

La stessa AgID tra l’altro scrive:

Per questa mancanza di robustezza (soprattutto in caso di documenti di dimensioni molto grandi a causa di contenuti multimediali allegati), l’azienda proprietaria del formato decide di cambiare strategia, adottando un nuovo formato per tutti i documenti della suite applicativa Office,® a partire dalla versione 2007, anche se il “formato .doc“ è pienamente supportato dalle nuove versioni. In caso di produzione di nuovi documenti impaginati tramite Word® si raccomanda l’uso del nuovo, sopra descritto formato basato su Open Office XML.

AgID “Linee Guida per la Formazione, Gestione e Archiviazione del Documento Informatico”, Allegato 2, Pag.27

Informazioni di questa natura andrebbero gestite diversamente, ad esempio andrebbero detenute all’interno di un sistema documentale, con database protetto da cifratura e ad accesso fortemente limitato. Ora “qualcuno” dovrebbe avvertire i genitori di questi minori in merito al fatto che le informazioni sulla salute psicofisica dei loro figli sono a disposizione di tutti coloro che vogliono scaricale. Chissà se anche l’Ospedale Macedonio Melloni è conforme alla Circolare 2/2017 sulle misure minime di sicurezza ICT per le Pubbliche Amministrazioni.