Cybersecurity (Getty Images)
Un antivirus non aggiornato e un ransomware scaricato inavvertitamente e non rilevato. Sarebbero questi, a quanto ha appreso Wired, gli ingredienti dell’incidente informatico che ha coinvolto l’Agenzia regionale di sanità (Ars) della Toscana, che, a dispetto del nome, non è la direzione che sovrintende i servizi sanitari locali ma un ente che si occupa di studi statistici. Il ransomware ha criptato alcune cartelle condivise, che non contenevano tuttavia dati sensibili (poiché la stessa Ars non ne riceve), già recuperati attraverso un backup.
La ricostruzione dell’accaduto
Secondo una prima ricostruzione dell’incidente, fornita a Wired da Andrea Belardinelli, direttore del reparto sanità digitale e innovazione di Regione Toscana, il ransomware è stato scaricato tra il 17 e il 18 agosto su una macchina che non aveva aggiornato i software di Trendmicro, società di sicurezza informatica, installati dai computer dell’Ars. Così, mentre gli altri pc hanno rilevato e bloccato la minaccia, quella con l’antivirus non aggiornato non ha prevenuto il ransomware.
Nella ricostruzione ufficiale fornita dalla Regione si legge che “sono andati distrutti alcuni file di alcune macchine di Ars”. La distruzione può essere riferita al fatto che, non essendo stati recuperati i documenti originali (non risultano al momento a Wired che siano stati pagati riscatti), sono considerati persi e il riferimento a più macchine al fatto che si trovavano all’interno di alcune cartelle condivise.
Da Palazzo Strozzi Sacrati anticipano che sarà presentata denuncia alla Polizia postale per far luce sulle cause dell’incidente, tuttavia per Belardinelli si tratterebbe di un incauto download da un’email vettore del software malevolo. C’è anche da far luce sul perché quel singolo pc non avesse l’antivirus aggiornato, offrendo così il fianco all’incursione del ransomware.
L’attività dell’Ars
Nel suo comunicato Regione Toscana ha precisato che i danni sono stati contenuti. Siccome, come precisa Belardinelli a Wired, tutte le altre macchine avevano l’antivirus aggiornato, il ransomware non si è propagato e non ha colpito i servizi di posta elettronica o il sito internet dell’Agenzia. Il presidente della Regione, Eugenio Giani, in una nota ufficiale ha affermato che “è in corso il lavoro dei tecnici che sono intervenuti nell’immediatezza e che stanno ultimando il recupero dei dati epidemiologici e statistici trattati dall’agenzia”.
Siccome l’Ars si occupa di pubblicazioni di tipo statistico (per esempio, ne ha condotto uno sull’incidenza delle malattie cardiache nei territori della Toscana), non detiene dati personali né ha accesso ai fascicoli sanitari, ma riceve, spiega Belardinelli, “informazioni anonimizzate” e codificate con specifici linguaggi che si usano in sanità (come l’Icd9-cm). Motivo per cui, per esempio, in alcuni dei documenti criptati il riferimento alle patologie non era esplicito (polmonite) ma espresso attraverso questi codici alfanumerici.
L’Ars si appoggia a server interni, distinti da quelli della Sanità regionale, precisa Belardinelli, che fanno invece capo a un data center unico che l’Agenzia per l’Italia digitale ha indicato in classe A. Oltre alla denuncia alla Polizia postale, Belardinelli spiega che la Regione ha attivato il responsabile per la protezione dei dati (dpo) per un’immediata segnalazione al Garante della privacy e una valutazione dell’incidente.
The post Cosa sappiamo sul ransomware che ha colpito un’agenzia legata alla sanità in Toscana appeared first on Wired.
Link originale...