Comunicazione di violazione dei dati personali agli interessati, ai sensi dell'art. 34 del GDPR, conseguente ad attacco hacker ai sistemi informativi di Synlab Italia srl
Comunicazione di violazione dei dati personali agli interessati, ai sensi dell'art. 34 del GDPR, conseguente ad attacco hacker ai sistemi informativi di Synlab Italia srl
03 luglio 2024
Desideriamo informarvi che, a seguito della nota vicenda relativa all’incidente di sicurezza che ha riguardato i sistemi informativi di Synlab Italia srl, è stata rilevata una violazione dei dati personali che potrebbe riguardarvi. ASST Mantova, infatti, è Titolare del trattamento dei dati personali oggetto di violazione poiché si avvale di Synlab Italia srl quale Responsabile del trattamento ai sensi dell’art. 28 GDPR, per il servizio di esecuzione di test di Laboratorio.
Descrizione della violazione:
Come riportato nelle diverse comunicazioni e dai mass media nazionali, Synlab Italia srl, in data 18 aprile 2024, ha riscontrato un accesso non autorizzato ai propri sistemi informativi che ha comportato la compromissione di dati personali. Più precisamente è stata vittima di un attacco cybercriminale di tipo ransomware, che ha comportato la sottrazione illecita (c.d. esfiltrazione) di dati conservati da Synlab, da parte di una organizzazione cybercriminale denominata “Black Basta”.
Nella fattispecie concreta, i dati personali oggetto di violazione di cui ASST Mantova è titolare del trattamento sono relativi ad alcune prestazioni di laboratorio e di anatomia patologica erogate da Synlab tra Gennaio 2015 e Febbraio 2024. Includono, dunque, informazioni come dati identificativi e relativi alla salute.
Si ritiene opportuno precisare che la perdita di riservatezza non ha riguardato la totalità delle informazioni dei soggetti interessati (pazienti) ma solo un sotto-insieme in riferimento all’arco temporale sopra indicato.
Inoltre, in data 13 maggio 2024 i cyber-criminali hanno diffuso sul c.d. dark web i dati sottratti illecitamente.
Rischi per gli interessati:
Non è possibile escludere che la violazione dei dati potrebbe comportare rischi per la vostra privacy e sicurezza, in particolar modo potrebbero verificarsi tentativi di furto d'identità o tentativi di frode.
Misure adottate:
Al momento della violazione, così come previsto dall’accordo ex art. 28 GDPR tra ASST Mantova (Titolare del trattamento) ed il fornitore Synlab Italia srl (Responsabile del trattamento), erano già state adottate misure di sicurezza sia di carattere tecnico che organizzativo. A seguito della notizia dell’incidente, il team interno IT e il team esterno specializzato in cybersecurity hanno provveduto a mettere in sicurezza il sistema, analizzando lo stato dell'infrastruttura IT, isolando e neutralizzando il malware. Successivamente Synlab ha rimesso in funzione in modo graduale gli asset non interessati dall'attacco o rispetto ai quali il malware è stato debellato.
Consigli per gli interessati:
in attesa di ulteriori analisi che potrebbero permettere a Synlab Italia srl di risalire all’identità dei soggetti effettivamente interessarti (risulta particolarmente complesso ricostruire puntualmente a quali soggetti appartengano le sole registrazioni oggetto di violazione) ed al fine di salvaguardare i diritti e libertà fondamentali dei soggetti interessati, si indicano di seguito alcuni/e suggerimenti/misure di contenimento per diminuire le probabilità dei rischi derivanti dalla violazione (es. furto d’identità). Il titolare del trattamento raccomanda a tutti i potenziali interessati nel periodo di riferimento precedentemente indicato di porre maggiore attenzione, rispetto all’ordinario, a qualunque interazione sospetta (online ma anche offline).
In tal senso, si invita a prendere visione delle seguenti pagine informative dell’Autorità Garante per la Protezione dei dati personali:
PHISHING
https://www.garanteprivacy.it/temi/cybersecurity/phishing
VISHING
https://www.garanteprivacy.it/temi/cybersecurity/vishing
SMISHING
https://www.garanteprivacy.it/temi/cybersecurity/phishing
SIM SWAPPING
https://www.garanteprivacy.it/home/docweb/-/docwebdisplay/docweb/9572143
https://www.garanteprivacy.it/home/ricerca/-/search/key/sim%20swapping
Gli eventuali tentativi di frode, in questi casi, possono essere di vario tipo: l’obiettivo è solitamente quello di utilizzare i dati personali per estorcere denaro e/o esfiltrare ulteriori dati personali attraverso l’invio di messaggi o telefonate contenenti false richieste provenienti da parte di amici o familiari oppure tentando di accedere agli account riconducibili alla vittima.
In questa fase, si suggerisce di mettere in atto alcune misure:
- valutare attentamente ogni e-mail, SMS, messaggio o telefonata in cui vi venissero richiesti codici di accesso o ulteriori dati personali, valutando con attenzione l’attendibilità del richiedente; gli Istituti bancari e, più in generale, i fornitori di servizi, non richiedono mai codici di accesso o password tramite SMS, e-mail o telefonate;
- valutare attentamente e-mail, SMS e altre fonti di messaggistica contenenti collegamenti ipertestuali (link) o allegati sospetti-inusuali: potrebbero essere usati per indirizzare l'utente verso siti web dannosi o fargli scaricare software malevoli;
- sostituire le password dei propri account (e-mail, Social Network, forum, ecc.) e, se il sistema lo permette, attivare l’autenticazione a più fattori. I meccanismi di autenticazione multifattoriale (es. i codici OTP che ricevete dalla banca dopo aver inserito username e password per accedere all’home banking) rafforzano la protezione da accessi indesiderati. I principali fornitori di servizi online offrono questo sistema: per attivarlo è sufficiente entrare nelle impostazioni di sicurezza dell’account;
- informare i propri amici e familiari di essere stati vittima di questa violazione, suggerendo loro di porre attenzione al rischio di ricevere false richieste che paiono pervenire da voi.
Contatti:
Per qualsiasi domanda o per ulteriori informazioni riguardo a questa violazione dei dati personali, potete contattare Il Titolare del trattamento e il nostro Responsabile della Protezione dei Dati (DPO) ai seguenti recapiti:
Titolare: ASST di Mantova – Str. Lago Paiolo, 10 - 46100 Mantova;
telefono: 0376 464805 - 464171- 464785 - 464817; e-mail: privacy@asst-mantova.it
DPO: Liguria Digitale spa (nella persona del dott. Nicola Faravelli) Parco Scientifico e Tecnologico di Genova - Via Melen 77 - 16152 Genova;
e-mail: dpo@asst-mantova.it
Ci scusiamo sinceramente per qualsiasi inconveniente causato da questo incidente e vi ringraziamo per la vostra comprensione e collaborazione.