Notizie Notizie

Back

Informazioni utili e FAQ - Data Breach



La sicurezza dei pazienti e la trasparenza nella gestione delle informazioni sono tra le priorità dell’Azienda Ospedaliera Universitaria Integrata Verona (AOUI o Azienda).
Per questo, fin dai primi giorni dall’attacco hacker subito da AOUI il 22 ottobre 2023, l’Azienda ha lavorato, coordinandosi con le Autorità preposte, per aggiornare gli utenti sull’evoluzione della situazione, sulle azioni messe in atto per contrastare la violazione dei dati e per implementare misure tecniche al fine di accrescere la sicurezza dei dati. 

L’attacco hacker ha comportato la violazione, la copia e la pubblicazione nel dark web di dati riferiti a un bacino delimitato di utenti e collaboratori (dipendenti e non), sia di natura sanitaria che amministrativa.
Si tratta di informazioni parziali e incomplete che la task force di AOUI, costituita da competenze sanitarie, informatiche, amministrative e giuridiche, ha ricostruito grazie a un lavoro di analisi compiuta nel corso degli ultimi due mesi congiuntamente ai gruppi aziendali incaricati.

Dall’analisi è emerso che è stato esfiltrato poco più del 2% dell’archivio dei dati aziendali di AOUI, senza il coinvolgimento di dossier sanitario, fascicolo sanitario e cartelle cliniche elettroniche dei pazienti. AOUI, dopo aver immediatamente denunciato alla Polizia Postale e al Garante per la protezione dei dati personali l’attacco hacker subito, ha attivato la task force per analizzare la tipologia di dati violati al fine di informare adeguatamente i soggetti interessati coinvolti, a seconda del livello di rischio.

AOUI ha a cuore la sicurezza dei propri utenti ed è costantemente impegnata affinché quanto accaduto possa avere un impatto minimo su di loro.
L’impegno di AOUI è rivolto anche al costante aggiornamento sull’evoluzione della vicenda.

In questa sezione è possibile consultare: 

Frequently Asked Questions

1) L’attacco. Cosa è successo?
Il 22 ottobre 2023 Azienda Ospedaliera Universitaria Integrata Verona (AOUI) è stata vittima di un attacco hacker ai propri sistemi informatici. L’attacco informatico si è configurato come una vera e propria azione criminale: ha comportato la violazione di frammenti di dati di natura amministrativa e sanitaria di un bacino delimitato di utenti e collaboratori (dipendenti e non), con una richiesta di riscatto da parte del gruppo hacker e la minaccia di pubblicazione nel dark web dei dati copiati.  
AOUI non ha preso in considerazione la richiesta di riscatto, come peraltro accaduto in casi analoghi ai danni dei sistemi informatici di altre Aziende Sanitarie e altri Enti (appartenenti alla PA e non), del territorio italiano, e ciò ha determinato la messa in atto da parte dei criminali della minaccia di pubblicare i dati esfiltrati nel dark web. AOUI si è adoperata nell’immediato per il ripristino dei sistemi informatici, avvenuto il 24/10/2023, per cui sostanzialmente la disponibilità dei dati è sempre stata garantita grazie ai backup effettuati dall’Azienda e non si è verificata alcuna perdita di dati personali. 
 
Nota: quando si parla di dark web si fa riferimento a una parte di internet nascosta, non liberamente accessibile dai comuni motori di ricerca. Per accedere al dark web, è necessario utilizzare specifici software e disporre di specifiche competenze informatiche. 
 
2) Quali dati sono stati violati?
L’attacco hacker ha comportato la violazione, la copia e la pubblicazione nel dark web di dati riferiti a un bacino delimitato di utenti e dipendenti, sia di natura sanitaria che amministrativa, di vario livello di riservatezza, in base al quale è stata tarata la modalità di relativa comunicazione agli interessati coinvolti. Si tratta in ogni caso di informazioni parziali e incomplete, spesso raggruppate in data base riferiti a un elevato numero di persone, il più delle volte identificate in maniera incompleta o comunque difficilmente ricostruibile in assenza di ulteriori elementi conoscitivi, che AOUI ha ricostruito grazie a un lavoro di analisi incessante e profuso. Dall’analisi svolta è emerso che è stato esfiltrato poco più del 2% dell’archivio dati aziendale, con l'importante precisazione che si tratta di dati che erano archiviati sulle cartelle di rete aziendali, senza il coinvolgimento degli applicativi utilizzati per la gestione corrente delle informazioni personali che riguardano gli utenti dell’Azienda, compresi il dossier sanitario elettronico, il fascicolo sanitario elettronico o le cartelle cliniche elettroniche dei pazienti.
Nello specifico, e fatte salve le precisazioni di cui sopra, le categorie di dati personali violati sono le seguenti: 
  • dati anagrafici;
  • dati di contatto;
  • dati di pagamento;
  • dati relativi a condanne penali e reati (casellari giudiziali);
  • dati relativi a documenti di identificazione e riconoscimento;
  • dati relativi alla salute;
  • dati genetici.
3) Dove sono stati pubblicati i miei dati?
I dati esfiltrati dal gruppo hacker sono stati pubblicati nel dark web, una parte nascosta di Internet accessibile solo con software specializzati e con specifiche competenze informatiche. Nel dark web le informazioni non sono indicizzate, mentre le ricerche sono limitate al nome dei file (senza poter essere estese al contenuto, come i nominativi dei pazienti o dei dipendenti). In ogni caso, i contenuti esfiltrati sono perlopiù frammentari, destrutturati e non indicizzati e, pertanto, le ricerche risulterebbero comunque piuttosto complesse. 
Per giunta, come precisato anche dal Garante per la protezione dei dati personali in un comunicato reso a maggio dello scorso anno in occasione di un attacco simile che ha riguardato altra Azienda sanitaria italiana, chiunque entri in possesso o scarichi i dati pubblicati nel dark web da organizzazioni criminali - e li utilizzi per propri scopi o li diffonda on-line, sui social network o in altro modo - incorre in condotte illecite che possono, nei casi previsti dalla legge, costituire reato.
Un reato questo, aggiunge il Garante, ancora più odioso, perché riguarda, fra l'altro, dati sanitari, quali in particolare informazioni su patologie e cure mediche di persone in condizioni di vulnerabilità e fragilità.
L’Autorità, con tutto il peso che la contraddistingue, avverte pertanto di non scaricare dal dark web e non condividere con terzi gli archivi potenzialmente riconducibili alla Azienda sanitaria attaccata, avvertenza pienamente estensibile alla vicenda che riguarda AOUI.
 
4) Posso cercare i miei dati su internet?
No, i dati non sono rintracciabili con i normali motori di ricerca su internet perché i frammenti di file esfiltrati sono stati pubblicati nel dark web, ovvero una sezione di internet nascosta e non accessibile se non attraverso l’utilizzo di software specifici e un alto livello di competenze informatiche. Come meglio precisato nella FAQ n. 3, che precede, chiunque visualizzi e scarichi dal dark web i dati personali altrui o li diffonda on-line, sui social network o in altro modo, commette illeciti anche penalmente perseguibili.
 
5) Ho ricevuto un SMS che mi informa della violazione. Cosa devo fare?
Se Lei ha ricevuto un sms da parte di AOUI riguardo l'attacco informatico, ciò significa che alcuni dati di natura sanitaria, caratterizzati da un alto grado di sensibilità, sono stati copiati dal gruppo hacker.
Per conoscere nel dettaglio la tipologia di dati violati riconducibili alla Sua persona e chiedere maggiore supporto di tipo sanitario, La invitiamo a scrivere una e-mail a: comunicazioni.databreach@archive.aovr.veneto.it.
Per sapere se è proprio Lei a scriverci, e non correre il rischio di dare informazioni riservate a persona non legittimata, La preghiamo di allegare alla e-mail copia di un Suo documento di identità in corso di validità.
 
6) Non ho ricevuto alcuna comunicazione personalizzata da parte dell’Azienda: come faccio a sapere se i miei dati sono stati violati e pubblicati? 
AOUI, se in possesso delle necessarie informazioni, sta contattando gli utenti di cui sono stati violati dati personali di natura sanitaria e amministrativa, caratterizzati da alta sensibilità. Se non ha ricevuto una comunicazione da parte di AOUI (sms, e-mail, raccomandata A.R.), ma vuole comunque verificare se sono stati violati e resi accessibili dati relativi alla Sua persona, può contattarci scrivendo una mail a: comunicazioni.databreach@archive.aovr.veneto.it, allegando alla e-mail copia di un Suo documento di identità in corso di validità.
 
7) Che azioni ha intrapreso l’Azienda Ospedaliera?
  • I nostri tecnici si sono attivati immediatamente per fermare l’attacco e ripristinare i sistemi informatici;
  • abbiamo adottato tutte le misure per garantire continuità ai nostri servizi e poter erogare le prestazioni medico-sanitarie ai nostri pazienti;
  • abbiamo immediatamente denunciato l’attacco hacker alla Polizia Postale e al Garante per la protezione dei dati;
  • abbiamo costituito una task force, costituita da competenze sanitarie, informatiche, amministrative e giuridiche per analizzare la tipologia di dati violati e individuarne natura e grado di sensibilità;
  • abbiamo attivato un canale di comunicazione dedicato per supportare la richiesta di informazioni e chiarimenti;
  • abbiamo preparato una strategia di confronto con i pazienti più “critici” - quelli informati tramite sms personalizzato - volta ad attenuare i possibili effetti negativi della violazione;
  • abbiamo ulteriormente potenziato le misure di sicurezza del nostro sistema informatico. In aggiunta alle misure di cyber security già attive da inizio 2023, abbiamo investito su altri e ancora più evoluti sistemi di sicurezza.
8) Cosa rischio? Cosa posso fare per proteggermi?
Dalla violazione di un dato personale, specie se sensibile, perché attinente alla salute o ad altre informazioni delicate che riguardano la vita sociale di una persona, possono derivare effetti negativi che, per quanto qui interessi, potrebbero riguardare il danno alla reputazione o la discriminazione, o comportare rischi di truffa, estorsione o sostituzione di persona.
Tuttavia, per tutti i motivi sopra indicati (difficile accessibilità del dato, difficile identificabilità della persona, natura penalmente illecita di una eventuale acquisizione e utilizzazione del dato) la possibilità che dalla violazione in questione derivi un danno concreto è obiettivamente remota; ovvio che, se il danno è dimostrato dinanzi a un giudice, potrà essere risarcito.
Detto ciò, è comunque consigliabile prendere alcune precauzioni, che di seguito si elencano, senza pretesa di esaustività:
  •  non rispondere a chiamate in arrivo da prefissi internazionali, se non conosciuti o registrati in rubrica sul proprio dispositivo;
  • in caso di contatto telefonico, o di altro genere (ad es., tramite posta elettronica), accompagnato da richieste estorsive o di altra natura illecita, collegate a dati personali potenzialmente esfiltrati in occasione dell’attacco hacker qui descritto, contattare/segnalare immediatamente il fatto alle Autorità competenti (Uffici della Polizia di Stato – Stazione dei Carabinieri);
  • dare segnalazione o sporgere denuncia alle suddette Autorità competenti, qualora il dato esfiltrato sia potenzialmente idoneo a essere utilizzato per commettere illeciti assumendo l’identità della persona a cui il dato stesso si riferisce;
  • non dare seguito a richieste inusuali di contatto telefonico per offrire prodotti e/o prestazioni sanitarie e/o servizi diversi collegabili a prestazioni sanitarie.
9) Chi posso contattare per avere maggiori informazioni?
Siamo a disposizione per supportarLa e aiutarLa; se ha bisogno di maggiori chiarimenti circa la natura dei dati violati riferiti alla Sua persona, può contattarci all’indirizzo e-mail dedicato comunicazioni.databreach@archive.aovr.veneto.it, allegando copia del Suo documento di identità in corso di validità.
Se invece ha domande relative all’esercizio dei Suoi diritti in tema di protezione dei dati personali collegato all’attacco hacker, può contattare la Responsabile della Protezione dei Dati al seguente indirizzo di posta elettronica: rpd@archive.aovr.veneto.it, sempre allegando copia del Suo documento di identità in corso di validità.
Per informazioni sul trattamento dei dati personali collegato all'esercizio dei diritti di cui sopra, clicchi qui (PDF)