Aggiornamento ore 17
«Secondo quanto già comunicato il 23 ottobre (giorno successivo all’attacco notificato all’Autorità Garante Privacy nei termini di legge) e il 10 novembre, si conferma che l’Azienda non ha registrato alcuna perdita di dati personali, custoditi negli archivi aziendali, ma è stata pubblicata la copia di alcuni. Dalle verifiche sinora effettuate è emerso che i dati pubblicati rappresentano una minima parte di quelli complessivamente archiviati nei files server aziendali: 0,6 terabyte (pari a 612 GB) su 29 terabyte totali».
Lo annuncia in una nota l'Azienda Ospedaliera Universitaria Integrata di Verona dopo che questa mattina, 17 novembre, alle 07, come annunciato la settimana scorsa, sul dark web sono stati pubblicati i dati che i criminali informatici hanno sottratto nel corso dell’attacco di ottobre e per il quale Aoui non ha pagato alcun riscatto.
«La maggior parte di questi dati copiati risulterebbe essere non sanitaria, o addirittura già soggetta a pubblicazione per legge sul nostro sito web. I restanti dati, dei 612 GB copiati, rappresenterebbero documenti frammentari con informazioni cliniche, molte delle quali peraltro datate. Il gruppo di lavoro interno è già operativo e in costante coordinamento con il responsabile della Protezione dei dati personali», sottolinea l'azienda, «al fine di analizzare i file pubblicati e fornire agli interessati le comunicazioni previste dalla normativa vigente (articolo 34 del Regolamento UE 2016/679), che saranno rese disponibili alla luce degli ulteriori accertamenti ancora in corso al fine di limitare gli eventuali disagi conseguenti l’accaduto. Si ricorda che Magistratura e Azienda ospedaliera, in costante contatto con la Regione, sono impegnate nelle indagini, ciascuna per le proprie competenze. Inoltre«, conclude l'Aoui, «con l’assistenza dello studio legale del professor Riccardo Borsari, sono state intraprese tutte le azioni legali atte a tutelare le vittime dell’attacco: l’Azienda ospedaliera universitaria integrata di Verona e tutti i soggetti coinvolti».
***
Prima il furto, poi la richiesta di riscatto e ora la pubblicazione online dei dati rubati. È l'operazione degli hacker di Rhysida, gruppo criminale che una settimana fa ha rivendicato l'attacco informatico all'ospedale di Verona.
Come promesso nel post pubblicato dalla cybergang, visto il mancato pagamento da parte dell'azienda ospedaliera, i dati dei pazienti sono stati pubblicati. Ad annunciarlo è il sito Red Hot Cyber che spiega come sito degli hacker sarebbero «presenti degli esami di laboratorio di pazienti, informazioni di malattie metaboliche dei pazienti e altri file XLS contenenti dati che al momento non riusciamo a comprendere».
L'Azienda ospedaliera universitaria integrata di Verona, che in una nota aveva subito precisato che non sarebbe stata presa in considerazione alcuna richiesta riscatto da parte dei criminali informatici, aveva anche immediatamente precisato che «non c'è stata perdita di dati anche grazie all'entrata in funzione del Sio, ma soltanto una circoscritta fuoriuscita di file». Oggi si apprende invece che si tratterebbe soprattutto di dati amministrativi e una quantità molto limitata di dati sanitari.
L'Aoui aveva inoltre dichiarato che erano subito state «intraprese tutte le azioni legali atte a tutelare l'Azienda ospedaliera universitaria integrata di Verona e i suoi pazienti».