Forse vi ricorderete del [post](https://www.reddit.com/r/italy/comments/rbljob/nellindifferenza_nazionale_il_3_dicembre_lulss_6/) che avevo scritto un mese fa in cui raccontavo di quello che si è rivelato probabilmente il più grave attacco hacker ai danni della sanità italiana. Mi lamentavo anche di come questa notizia era stato praticamente ignorata dai media nazionali e dal dibattito pubblico, almeno fino a qualche giorno fa quando si è aggiunto un nuovo tassello che sta *un po’* riportando alla ribalta la vicenda rendendola ancora più grave.

Da quel 3 Dicembre 2021 le cose sono tornate gradualmente alla normalità, covid permettendo. L’Ulss 6 ha già dovuto sborsare mezzo milione di euro per comprare server nuovi e ripristinare più postazioni possibili ma i danni per tutte le prenotazioni mancate/rimandate e dati persi sono difficili da quantificare e valutare.

Un bel punto di domanda è sempre stato quanti dati personali fossero riusciti a rubare e, a quanto pare, lo sapremo nel peggiore dei modi. Il gruppo criminale Lockbit 2.0 ha rivendicato l’attacco minacciando di pubblicare 9.246 file rubati durante l’attacco a meno che non venga pagato un riscatto in criptovalute. Zaia ha prima risposto di non saperne nulla (!) e poi che nessun riscatto verrà pagato (giustamente). Intanto finalmente il garante della privacy si sta interessando della vicenda e probabilmente ci sarà un’interrogazione parlamentare ad opera di Zan, vi lascio un po’ di articoli recenti qua sotto.

[Link 1](https://corrieredelveneto.corriere.it/padova/cronaca/22_gennaio_03/attacco-hacker-all-uls-padova-chiesto-riscatto-altrimenti-pubblichiamo-dati-1d3c80c8-6c8a-11ec-82c0-6e7103f32150.shtml)

[Link 2](https://www.padovaoggi.it/politica/hacker-ulss-6-euganea-interrogazione-zan-padova-06-gennaio-2022.html)

Che vengano pubblicati o no, sta di fatto che i dati personali e la storia clinica di tutti i cittadini della provincia di Padova sono compromessi con conseguenze che faccio fatica a prevedere.

16 comments

  2. >conseguenze che faccio fatica a prevedere.

    Nessuna, le uniche conseguenze che dovrebbero esserci sono quelle sulle teste dei responsabili, ma non salteranno. Dall’altra parte, come per tutti i leak di dati sensibili, cambia poco per la vita delle persone.

  3. In Europa tutta siamo indietro in termini di cybersicurezza, noi in Italia bisognerebbe rendere la Polizia Postale parte dell’Esercito (si potrebbero creare nuovi reparti, ma facciamo un po’ di economia), fornirgli addestramento più improntato all’offesa e alla programmazione che all’approccio materiale, e poi sguinzargliarli.

    A livello europeo si potrebbero fare esercitazioni cibernetiche coordinate contro la Serbia.

    ETA: prevedo già i pignoli del “i cyberattacchi sono solo tizi che cliccano sui link porno”, e io rispondo in maniera preventiva: StuxNet, il primo virus informatico creato per compiere un cyberattacco, di origine amero-israeliana, ha avuto successo perchè sì un impiegato della Bhopajoor Engineering (società iraniana che aveva costruito delle componenti delle turbine nucleari) cliccò un collegamento con dentro un cavallo di troia contenente StuxNet, ma il virus predecessore di StuxNet venne creato per rubare i dati delle amministrazioni delle shahrestān (le regioni iraniane) ma anche quando entrato nella rete iraniana questo venne bloccato e i dati resi incompleti.

  4. https://mattinopadova.gelocal.it/regione/2022/01/04/news/attacco-hacker-all-usl-6-di-padova-il-garante-ha-aperto-un-istruttoria-verificare-se-i-dati-erano-protetti-1.41090579

    >Più duro il commento di Marco Paccagnella di Federcontribuenti: «Innanzitutto la Regione non deve pagare. Non si può sottostare a un ricatto perché si crea un precedente pericolosissimo – chiarisce – Poi c’è ancora molto da chiarire. Solitamente gli hacker non riescono a “bucare” la protezione se non c’è un complice o una falla nel sistema di sicurezza. I vertici dell’Usl e della Regione devono dare spiegazioni chiare su questo aspetto. Prima di fare qualsiasi tipo di azione legale è importante chiarire che livelli di sicurezza informatica aveva l’Usl 6». Ci sono sostanzialmente due possibilità, secondo Paccagnella: «Se c’erano protocolli di sicurezza inadeguati qualcuno pagherà perché chi sbaglia paga – osserva – Se invece c’è stata un’infedeltà interna vuol dire che c’è una responsabilità penale di qualcuno». Il suggerimento di Federcontribuenti è però di ridimensionare l’allarme sulla diffusione dei dati: **«Non è wikileaks, sono informazioni che non servono a nessuno – conclude – Bisogna saperli raggiungere e saperli leggere: operazioni molto difficili».**

    Posso dire dorco pio?

  6. Il problema della sicurezza informatica e dei mancati investimenti è legata al fatto che viene ancora vista come un “costo” dal poco valore aggiunto finchè non succedono cose di questo tipo, non solo nella sanità ma anche in tantissime aziende.

    Non so nell’ospedale in questione ma spesso l’IT di queste strutture viene data in appalto ad aziende esterne che vincono a ribasso e finiscono a “tirare avanti la baracca” con la logica del non toccare nulla finchè funziona.

    Il vero dramma è la sensibilità del dato sottratto, penso ad esempio ai soggetti sieropositivi che si troverebbero con il proprio nome, cognome e stato di sieropositività sul web.

    Ma gli esempi che possiamo fare sono tantissimi e uno più preoccupante dell’altro.

    ​

    Oltre al fattore investimenti in cybersecurity è importante formare l’utenza, puoi avere il castello più fortificato al mondo ma se non dici alla guardia all’ingresso di fare entrare il primo che passa hai perso in partenza.

  7. Pagare in queste situazioni mi sembra assurdo. Una volta che hai pagato, cosa succede? Promettono di cancellare i dati? Di non venderli a nessun altro? Ci si fida della loro “parola di scout”?

    Non é come una persona rapita, che può essere liberata. Ormai sono andati.

  8. Sono sotto ULSS 6 , ho le palle leggermente girate, la mia storia clinica sarebbe bene che non venisse pubblicata….

  10. > Zaia ha prima risposto di non saperne nulla (!)

    Nulla di strano, è semplicemente un intercalare che usa, non si sa mai che poi scoprono che il gruppo di hacker faceva parte di un gruppo più vasto di imprenditori che ha finanziato il Mose, meglio mettere le mani avanti

  13. La butto in caciara, se qualcuno all’interno è coinvolto è qualcuno che sapeva di qualche password mai cambiata quindi qualcuno che aveva diritti di sysadmin o addirittura che ha creato l’infrastruttura e non è stato pagato quindi si è un po’ vendicato.
    Altrimenti vince la solita e più stupida vicenda, qualcuno che aveva accessi a dati sensibili usava come password: 1234567890

  15. Forse tra 30 anni investiremo soldi in cyber security, anche se semplicemente ora sarebbe utile non avere computer con Windows 98 per registrare dati personali di milioni di persone

Leave a Reply