Testo:
INTERROGAZIONE A RISPOSTA ORALE IN COMMISSIONE
Oggetto: Dati sensibili esfiltrati dai sistemi informatici delle aziende del Servizio Sanitario Regionale della Provincia di Modena
Il sottoscritto Consigliere
premesso che:
nella serata di martedì 28 novembre 2023 i tecnici delle Aziende USL di Modena, Azienda Ospedaliero-Universitaria di Modena e Ospedale di Sassuolo Spa si sono accorti dell’intromissione di terzi all’interno dei sistemi informatici, e per precauzione hanno sospeso l’erogazione di una moltitudine di attività, dai prelievi programmati ai servizi telefonici;
rilevato che:
fin dalle prime ore la paura, anche del sottoscritto consigliere, è stata che l’attacco avesse compromesso la riservatezza dei dati dei cittadini gestiti dalle aziende sanitarie;
visto che:
l’assessore Raffaele Donini, rispondendo durante la seduta dell’Assemblea Legislativa del 5 dicembre ad un atto ispettivo del sottoscritto consigliere, affermava che la preoccupazione era infondata, perché semplicemente nessun dato era stato rubato;
dalla serata dell’11 dicembre il gruppo hacker Hunters International ha pubblicato un countdown all’interno del proprio sito presente nel darkweb, alla cui scadenza avrebbe reso accessibili una parte di dati a scopo dimostrativo;
evidenziato che:
il 6 dicembre il sito internet cybersecurity360 ha pubblicato un articolo nel quale veniva raccontato che era stato chiesto un riscatto alle aziende sanitarie regionali, e venivano allegati due screenshot del portale, accessibili solamente tramite username e password fornite dai cybercriminali alle aziende sanitarie;
appare chiaro che qualcuno, in possesso dei file depositati dai cybercriminali all’interno dei sistemi delle aziende sanitarie attaccate o delle aziende che forniscono servizi IT, abbia rivelato le credenziali a terzi;
appare altresì chiaro che le aziende coinvolte e la Regione sapessero, almeno dal 6 dicembre, che almeno una parte di dati delle aziende fossero stati esfiltrati;
sottolineato che:
alle ore 12:00 del 13 dicembre il gruppo Hunters International ha pubblicato a scopo dimostrativo i primi 21 file rubati, all’interno dei quali potrebbero essere presenti dati sensibili;
il totale di file che sarebbero in possesso dei malviventi è superiore a 1.200.000, per un totale di quasi 955 GB;
preso atto che:
le comunicazioni in merito ai dati personali ai sensi dell’articolo 34 del GDPR a seguito di attacco hacker presenti sui siti internet delle aziende sanitarie riportano, fino ad ora, che nessun dato è stato sottratto indebitamente, e nessuna comunicazione ulteriore è stata fornita ai cittadini;
si interroga la Giunta per sapere:
se i dati pubblicati dal gruppo Hunters International siano stati sottratti dalle aziende sanitarie regionali della Provincia di Modena;
se sia verosimile che gli oltre 1.200.000 file rivendicati siano realmente stati sottratti dalle aziende sanitarie regionali;
se sia stata svolta una attività per comprendere chi può aver condiviso con la stampa i dati di accesso forniti dai cybercriminali;
perché le aziende sanitarie ancora non abbiano comunicato ai cittadini, ai sensi dell’art. 34 del GDPR, la possibile fuga di dati.