Chiarire cosa è accaduto esattamente lo scorso 28 novembre ai server dell’azienda sanitaria locale di Modena, se sono state riscontrate particolari mancanze o inefficienze degli enti del servizio sanitario regionale coinvolti, di Lepida e della Regione Emilia-Romagna.
A richiedere un’approfondita ricognizione all’esecutivo regionale è Giulia Gibertoni (Misto) la quale fa riferimento al furto informatico di dati altamente sensibili subito lo scorso 28 novembre da Ausl e Azienda ospedaliero-universitaria di Modena e dall’ospedale di Sassuolo “che ha paralizzato le attività dei centri prelievi, delle visite specialistiche e delle prestazioni ambulatoriali, con la conseguenza che le suddette strutture sanitarie sono state costrette a ritornare al ‘vecchio’ cartaceo e i cittadini a fare i conti con disservizi di varia natura e procedure più lente e complesse, fino a casi di mancata erogazione di servizi e prestazioni sanitarie”.
Riportando l’analisi di alcuni siti specializzati, Gibertoni sottolinea come l’attacco di tipo ‘ransomware‘ fosse finalizzato “a estrarre i dati conservati e a ricattare le vittime richiedendo somme ingenti per il riscatto; il gruppo autore del furto, denominato ‘hunter international‘ avrebbe dichiarato di aver sottratto oltre un milione di documenti, per un peso complessivo di 954 gigabytes, richiedendo tre milioni di dollari di riscatto in criptovalute”.
Alla luce della costituzione del ‘tavolo regionale per il coordinamento delle misure in materia di protezione dei dati personali delle Aziende e degli Enti del servizio sanitario regionale’ avvenuto lo scorso ottobre e del ruolo della società regionale Lepida nella progettazione, ricerca, sviluppo, sperimentazione e gestione di servizi e prodotti ICT, con una linea di alta specializzazione nei settori della sanità, dell’assistenza sociale, dei servizi degli enti locali alla persona e del socio-sanitario, la capogruppo rimarca come alla data dello scorso 4 gennaio “non fosse ancora stato ultimato il lavoro di ripristino dei sistemi informatici oggetto dell’attacco hacker del 28 novembre scorso da parte dei tecnici delle aziende coinvolte”.
Ricordando come il settore sanitario sia inequivocabilmente sempre più nell’interesse dei cybercriminali e di come la tutela dei dati sensibili regionali sia affidata a Lepida, Gibertoni sollecita l’adozione di adeguate e urgenti iniziative “per salvaguardare i dati personali dei cittadini” e, stante il perdurare dei lavori di ripristino dei server, puntualizza che “le procedure per la gestione degli incidenti di sicurezza delle informazioni non si siano dimostrate efficaci, quindi debbano essere radicalmente riviste”.
Oltre a sollecitare una stima delle “conseguenze sulla salute dei cittadini causate dalla non erogazione o ritardata erogazione di prestazioni e servizi sanitari e quali le azioni per ridurne al minimo gli impatti”, la capogruppo chiede anche il dettaglio delle riunioni e delle decisioni prese dal tavolo regionale per la protezione dei dati personali e “se sia stata fornita idonea comunicazione agli interessati rispetto alla pubblicazione dei loro dati e in quanti casi esattamente ciò sia avvenuto”.
In via più generale, infine, Giulia Gibertoni chiede all’esecutivo regionale “se intenda rivedere, razionalizzare ed eventualmente aumentare i propri investimenti in materia di protezione dei sistemi informatici, in particolare del settore sanitario e della conseguente formazione del personale, e se la gravità di quanto accaduto, che arriva a toccare i diritti e le libertà di tutti i cittadini coinvolti, porterà la Regione a rivedere l’approccio verso questa tematica, in particolare, per il settore del servizio sanitario regionale e relativamente al ruolo di Lepida.”
(Luca Boccaletti)
8 Gennaio 2024
