Attacco hacker ad Aoui, pubblicati dati anche dei dipendenti

Ci sono anche i lavoratori e le lavoratrici dell'azienda ospedaliera universitaria integrata di Verona (Aoui) tra le vittime dell'attacco hacker subito nell'ottobre scorso dall'ente sanitario scaligero. Il crimine era stato commesso dalla banda informatici Rhysida a scopo estorsivo, ma l'Aoui non ha ceduto al ricatto. E questo ha portato Rhysida a pubblicare nel "dark web" tutto il materiale informatico che era riuscito ad estirpare dagli archivi dell'azienda ospedaliera. Aoui minimizzò l'accaduto, dichiarando che i documenti pubblicati erano «frammentari e datati», ma la pubblicazione di quei documenti ha prodotto un danno non solo ai pazienti ma anche ai dipendenti di Aoui.

La conferma è arrivata martedì scorso, 30 gennaio, in un incontro tra le organizzazioni sindacali e il direttore generale dell'azienda ospedaliera di Verona Callisto Bravi, a cui hanno partecipato anche il responsabile della privacy Felice Schena e un consulente legale. Ai rappresentanti dei lavoratori e delle lavoratrici è stato spiegato che i dipendenti i cui dati personali sensibili sono stati sottratti e pubblicati sul web riceveranno a breve la notifica della violazione avvenuta con l’indicazione della natura della violazione, le conseguenze della divulgazione non autorizzata dei dati e i possibili rimedi per limitarne i danni.

«Non è stato comunicato il numero di notifiche che stanno per essere spedite, ma per la prima volta abbiamo avuto la conferma ufficiale che l'hackeraggio dei sistemi informatici Aoui riguarda anche i lavoratori - ha sottolineato Simone Mazza, responsabile sanità della Fp Cgil di Verona - È stato inoltre precisato che i dati "più sensibili" trafugati sono relativi, ad esempio, a documenti d'identità, pignoramenti, cessione del quinto dello stipendio e prescrizioni del medico aziendale».

La direzione aziendale ha aggiunto che la pubblicazione dei dati avvenuta sul dark web, e quindi nella parte di internet non indicizzata e a cui si accede con strumenti e competenze specifiche, renda già il danno più lieve perché le informazioni non sono state messe a disposizione di un grande pubblico.
Ed è stato anche confermato che il virus utilizzato per l'attacco hacker era dello stesso tipo di quello che ha recentemente colpito anche la Regione Basilicata, paralizzando i sistemi dell'azienda sanitaria di Matera. Nel caso veronese, però, il traffico anomalo è stato immediatamente rilevato e si è provveduto subito a staccare i server principali dalla rete. In questo modo i pirati informatici sono riusciti a copiare (e non a sottrarre del tutto) solo i dati che in quel momento erano condivisi.

I lavoratori sono stati infine invitati a sporgere anche loro denuncia, come ha già fatto Aoui, alla procura di Venezia, competente per questi reati. «Non nascondiamo le nostre perplessità su molti punti della spiegazione fornita dall’azienda, riservandoci di approfondire la questione anche con i nostri legali - ha commentato Mazza - In primo luogo la tempistica: la notifica della violazione avviene ad ormai tre mesi di distanza dai fatti, quando il regolamento europeo sulla privacy mette l’accento proprio su una comunicazione tempestiva, priva di "ingiustificati ritardi". E in secondo luogo, sulla gravità della violazione: il fatto che i dati sensibili esposti sul dark web siano probabilmente al riparo dallo sguardo indiscreto del mio vicino di casa ma a portata di mano di qualsiasi altro hacker o truffatore professionista, non è precisamente il tipo di rassicurazione di cui i lavoratori hanno bisogno. Per questa ragione abbiamo chiesto la massima tutela dei dipendenti coinvolti in questa vicenda. Siamo poi tornati a chiedere, se ci possa essere una relazione tra l'attacco hacker e il nuovo applicativo Sio Trackcare che è utilizzato dal 24 giugno 2023 in Aoui ma non è ancora stato collaudato malgrado si tratti di un dispositivo medico a tutti gli effetti, e continua ad essere fonte di problemi. Martedì scorso, ad esempio, l’applicativo risultava bloccato nelle medicine specialistiche di Borgo Roma. E sono stati registrati blocchi anche al pronto soccorso dell'ospedale della donna e del bambino di Borgo Trento e problemi al servizio psichiatrico di Borgo Roma dove erano impediti i collegamenti con i server esterni».

Bravi ha però escluso interferenze tra il nuovo sistema informatico dell'azienda ospedaliera e i sistemi di sicurezza informatica. Comunque, Azienda Zero avrebbe dato incarico ad una realtà esterna di effettuare il collaudo del sistema. E ciò confermerebbe che il Sio non è collaudato.
Inoltre, l'applicativo funziona con un sistema di autenticazione a due fattori basato sullo smartphone personale dei dipendenti. E questo apre una serie di questioni sull'utilizzo del proprio telefono cellulare sul posto di lavoro del proprio dispositivo personale, oltre ad escludere tutti quei dipendenti che non hanno uno smartphone, o che non lo voglio utilizzare oppure hanno un modello non aggiornato.