Attacco hacker Abruzzo, il Garante dice di non cercare i dati ma sono stati già visti migliaia di volte
Regione Abruzzo declina le interviste, chiede di rivolgersi direttamente all'Asl. L’ufficio stampa ha respinto la nostra richiesta di avere un commento dal presidente Marco Marsilio (Fratelli d’Italia) e ha respinto anche la nostra richiesta di chiedere un commento all’assessore alla Sanità Nicoletta Verì (Lega). Intanto tutti i dati dei pazienti dell’ASL-1 di Avezzano, Sulmona e L’Aquila sono ancora lì, in uno spazio non così nascosto nel dark web. 522 Gb pieni di cartelle sanitarie, informazioni sensibili, diagnosi di malattie oncologiche, trasmissibili sessualmente o neurodegenerative.
Tutto materiale che espone i cittadini a un lungo elenco di rischi. Prima di tutto c’è la violazione della privacy, la possibilità di vedere le proprie identità rubate, ma anche il rischio di essere discriminati sul lavoro o nella richiesta di un prestito. L’attacco è stato portato a termine dal Gruppo Monti, una ransomware gang abituata a rubare dati per cui chiedere un riscatto. Non è chiaro cosa sia stato chiesto in cambio per evitare la diffusione delle informazioni sottratte, alcuni giornali avevano parlato di un riscatto da due milioni di euro ma la cifra è stata smentita dai criminali del Gruppo Monti, per quanto una smentita da un gruppo di hacker sia affidabile.
La richiesta del Garante per la Privacy
Nelle ultime ore il Garante per la Privacy ha diramato un avviso in cui chiede di non scaricare i dati rilasciati dal Gruppo Monti: “Il Garante per la protezione dei dati personali ricorda che chiunque entri in possesso o scarichi i dati pubblicati sul dark web da organizzazioni criminali – e li utilizzi per propri scopi o li diffonda on-line, sui social network o in altro modo – incorre in condotte illecite che possono, nei casi previsti dalla legge, costituire reato”.
Non solo, il Garante specifica poi la delicatezza di questi dati: “Un reato questo ancora più odioso, perché riguarda dati sanitari, quali in particolare informazioni su patologie e cure mediche di persone in condizioni di vulnerabilità e fragilità.L’Autorità avverte pertanto di non scaricare dal dark web e non condividere con terzi gli archivi potenzialmente riconducibili alla Asl 1 Abruzzo”.
I dati e la reazione all’attacco
Secondo i dati raccolti dal portale Dashboard Ransomware Monitor le prime tracce dell’attacco hacker in Abruzzo risalgono al 3 maggio, quando sul blog del Gruppo Monti cominciano ad essere pubblicate le prime minacce. I criminali informatici dicono di essere entrati in possesso di una serie di dati sottratti all’ASL-1 di Avezzano, Sulmona e L’Aquila. E che sono pronti a pubblicarli. L’8 maggio vengono pubblicati i primi 10 Gb di dati sanitari, con tanto di elenco di nomi dei pazienti in cui cercare per capire se scaricare il pacchetto completo.
Il 15 maggio si registra il disastro. Tutti i 522 vengono pubblicati, con un post che in questo momento è stato già visto da 7.500 persone. Parecchi, considerando che i dati non si trovano in chiaro ma sul dark web, dove per accedere è necessario comunque passare da una serie di protocolli che non sono esattamente alla portata di tutti. In tutto questo, sui social ufficiali della Regione Abruzzo non c’è nessuna traccia dell’attacco. Nessun post, nessuno avviso.
In una dichiarazione rilasciata a TGR prima della pubblicazione di tutto il pacchetto dati, il presidente della regione Marco Marsilio aveva detto: “Ogni considerazione quando la vicenda sarà conclusa. Sul riscatto la situazione è simile al rapimento di una persona. La legge vieta il pagamento di un riscatto. Noi rispettiamo le leggi e, soprattutto, ci affidiamo alla magistratura nel respingere questo attacco”.