L'Ausl di Modena dovrà pagare diecimila euro a titolo di sanzione amministrativa pecuniaria per 'la mancata adozione di misure adeguate a garantire la sicurezza dei sistemi'. È quanto ha stabilito il Garante per la protezione dei dati personali a seguito delle attività ispettive svolte dopo l'attacco hacker subito dalla stessa Ausl nel 2023.
Tre anni fa, difatti, hacker diffusero nel dark web file e dati sanitari, dopo aver fatto scattare un countdown di 18 ore per consentire all'azienda di pagare il riscatto: tre milioni in criptovalute. L'azienda non aveva però ceduto al ricatto, denunciando l'accaduto.
Gli accertamenti hanno stabilito che gli hacker sono entrati nella rete Ausl attraverso credenziali Vpn utilizzate da un tecnico. Per il Garante la riuscita dell'attacco hacker avvenne anche a causa della non idoneità del sistema in uso all'azienda: non erano configurati alert o filtri idonei. È stato anche accertato che l'azienda non era dotata di un 'Security Operation Center'e che il presidio umano risultava limitato all'orario d'ufficio. Secondo il Garante, però, nel stabilire la sanzione va tenuto conto della tempestiva notifica della violazione da parte dell'azienda, della collaborazione prestata nel corso dell'istruttoria e dell'attività ispettiva, così come delle misure correttive e migliorative successivamente adottate.
