San Raffaele: data breach di gravità media, ospedale obbligato a notificare gli utenti

San Raffaele: data breach di gravità media, ospedale obbligato a notificare gli utenti

Un tweet degli hacker di LulzSec Ita ha divulgato la notizia di un attacco all’ospedale San Raffaele di Milano e ha apportato anche prove, con un dump dei dati di utenti e pazienti dell’ospedale. 

A chiudere il tweet una domanda provocatoria da parte degli hacker: “avete comunicato al Garante il #databreach di due mesi fa?”. Domanda retorica, dato che l’ospedale non l’ha fatto, né secondo gli hacker avrebbe chiuso le falle. 

I dump rivelati da Anonymous Italia e LulzSec Ita, però, sembrerebbero contenere non soltanto indirizzi e-mail e password di alcuni operatori sanitari, ma anche i dati anagrafici di alcuni pazienti

Si tratta di dati (nominativi, date di nascita e codici fiscali) con un’elevata capacità di identificare univocamente gli interessati. Allo stesso modo, gli indirizzi e-mail sottratti rivelano l’appartenenza all’organizzazione dell’Ospedale.

Al netto di tali considerazioni, la valutazione di gravità dell’attacco porterebbe ad un risultato di “severity score: medium”, comportando così l’obbligo di procedere alla notifica all’Autorità Garante.

Facendo riferimento ad alcuni precedenti provvedimenti del Garante su data breach, inoltre, sembrerebbe ricorrere anche l’obbligo di comunicazione nei confronti degli interessati coinvolti ai sensi dell’art. 34 GDPR.

Per approfondire questa notizia, leggi l’articolo completo.

Vuoi scoprire lo stato di sicurezza della tua azienda? Contattaci per richiedere un security assessment.