Sono stati pubblicati i dati sanitari di migliaia di pazienti italiani rubati a Synlab

Il gruppo di criminali informatici noto come Black Basta ha pubblicato nel dark web (quella parte di Internet non accessibile attraverso i normali browser) tutti i dati che aveva sottratto il 18 aprile alla divisione italiana di Synlab, una delle principali aziende sanitarie private d’Europa. Ogni anno, nei suoi 380 laboratori presenti in otto regioni italiane – Lombardia, Veneto, Friuli Venezia Giulia, Emilia-Romagna, Lazio, Liguria, Campania e Toscana – Synlab esegue circa 35 milioni di esami tra prelievi del sangue, check up e test prenatali. I referti dei pazienti, almeno migliaia di persone, sono stati rubati per ottenere un riscatto: in seguito alla presa di posizione dell’azienda, che fin da subito si era detta non disposta a pagare, il gruppo di criminali informatici ha pubblicato i dati nel dark web così come aveva minacciato di fare al momento del furto.

Questo attacco è particolarmente grave perché dimostra che anche i grandi gruppi come Synlab sono vulnerabili ad attacchi di questo tipo, e soprattutto perché la diffusione dei dati dei pazienti ha conseguenze molto concrete: chiunque può accedere a referti e cartelle cliniche con dati personali legati alla salute delle persone, per esempio diagnosi, terapie, radiografie, ecografie, oltre a dati relativi a documenti di identità. In totale sono stati pubblicati 1,5 terabyte di documenti.

Black Basta è un gruppo criminale che di solito per i suoi attacchi utilizza un ransomware, un programma che una volta installato in un sistema informatico lo rende inaccessibile a chiunque. Viene utilizzato un sistema crittografico per impedire ai proprietari del sistema di accedere ai dati, di fatto rubandoli: se l’azienda o la persona che subisce l’attacco vuole riavere i dati deve pagare un riscatto.

Uno dei modi in cui il ransomware si diffonde è il phishing via email, ovvero i criminali utilizzano un indirizzo mail ingannevole (per esempio con un nome simile a quello di banche e servizi postali) per inviare un’email a persone che lavorano nell’azienda da colpire. Nel testo dell’email c’è un link che se cliccato dà avvio all’installazione del ransomware nel sistema, bloccandolo. Non è ancora chiaro quale metodo sia stato utilizzato da Black Basta per entrare nel sistema di Synlab.

Secondo i dati diffusi dal Clusit, la più autorevole associazione italiana che si occupa di sicurezza informatica, nel 2023 in Italia ci sono stati 310 attacchi informatici, in crescita del 65 per cento rispetto al 2022. In particolare c’è stato un aumento degli attacchi contro il settore sanitario. Aziende sanitarie, ospedali, centri diagnostici e ambulatori pubblici sembrano essere il bersaglio preferito dai criminali informatici per diverse ragioni, ma principalmente perché posseggono dati essenziali per curare le persone, e non possono permettersi di bloccare i servizi per molto tempo. Sono quindi più esposte ai rischi.

– Leggi anche: Perché la sanità è così vulnerabile agli attacchi informatici

In una nota pubblicata lunedì 13 maggio Synlab ha confermato la diffusione dei dati personali, e ha detto che si impegnerà a informare le persone coinvolte delle conseguenze dell’attacco. L’azienda ha anche detto di non aver iniziato nessun tipo di negoziazione con i criminali e di non aver pagato il riscatto. In Italia, come in molti altri paesi, le aziende sono quasi sempre obbligate a comunicare al Garante per la protezione dei dati personali un attacco che comporti l’indisponibilità, una perdita o un furto di dati personali; inoltre le aziende ritenute “infrastrutture critiche” devono comunicare all’Agenzia per la cybersicurezza nazionale ogni incidente rilevante.

Synlab sta cercando di prevenire i possibili rischi dovuti alla diffusione dei dati, ora a disposizione di chiunque. Nella nota pubblicata lunedì ha ricordato che «chiunque entri in possesso di, o scarichi i dati illegittimamente pubblicati da terzi e/o li utilizzi per propri scopi e/o li diffonda on-line, sui social network o in altro modo […] incorre in condotte illecite che possono, nei casi previsti dalla legge, costituire reato».

Diversi esperti di sicurezza informatica stanno consigliando alle persone che negli ultimi anni hanno fatto esami nei laboratori di Synlab di inviare all’azienda una mail di posta certificata, chiedendo se i propri dati siano stati rubati e diffusi. In attesa di comunicazioni da parte di Synlab, questo è l’unico modo per capire come muoversi in caso di un’eventuale violazione della privacy.

– Leggi anche: Il governo vuole aggravare le pene per i criminali informatici