Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 25 000 euro mot universitetssjukhuset Azienda Ospedaliero-Universitaria SS. Antonio e Biagio und Cesare Arrigo för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att universitetssjukhuset utsatts för en ransomware-attack av gruppen ”Ragnar Locker”. Angriparna utnyttjade en sårbarhet i universitetssjukhusets brandvägg för att få tag på domänuppgifter som tillhörde en leverantör. Med hjälp av dessa autentiseringsuppgifter och en VPN-anslutning utförde angriparna laterala rörelser inom nätverket och fick tillgång till styrenhetens delade filserver, som innehöll olika filer inklusive hälsodata. Universitetssjukhuset underrättade omedelbart Garante om överträdelsen.
Garante konstaterade att universitetssjukhuset brutit mot principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR och artikel 32 GDPR genom att inte vidta tillräckliga åtgärder för att snabbt upptäcka dataintrång. Enligt Garante saknade universitetssjukhuset ett lämpligt logghanteringssystem som skulle ha kunnat möjliggöra tidig upptäckt av de misstänkta aktiviteter som föregick attacken.
Garante konstaterade även att universitetssjukhusets säkerhetsåtgärder för nätverket var otillräckliga. Garante noterade flera kritiska sårbarheter som att nätverket inte hade segmentering, VPN-åtkomst saknade multifaktorautentisering, underhållskonton använde delade administratörsuppgifter och cirka 130 användare hade maximala administrationsrättigheter.
Med tanke på att hälsouppgifter hade äventyrats klassificerade Garante överträdelsens allvarlighetsgrad som hög. Garante beaktade flera förmildrande omständigheter som universitetssjukhusets snabba anmälan av incidenten, det fullständiga samarbetet under utredningen, genomförandet av betydande säkerhetsförbättringar efter attacken och de utmanande omständigheterna att bedriva verksamhet under en pandemi.