Lo scorso 15 gennaio la Personal Data Protection Commission (PDPC), l’Autorità Garante per la Protezione dei Dati Personali di Singapore, ha sanzionato alcune organizzazioni appartenenti al sistema sanitario pubblico del paese orientale.
L’indagine ha riguardato la società dei servizi sanitari (Singapore Health Services Pte Ltd) e la società che gestisce il sistema informativo integrato dei servizi sanitari (IHIS – Integrated Health Information Systems Pte Ltd); la prima è stata condannata al pagamento di 250.000 $ mentre la seconda al pagamento di 750.000 $.
L’indagine della PDPC ha scoperto che:
- sono stati sottratti nome, cognome, data di nascita, codice sanitario, razza, sesso ed indirizzo di quasi un milione e mezzo di pazienti;
- sono state sottratte le prescrizioni terapeutiche di quasi 150.000 pazienti;
- l’attacco ha avuto efficacia perché un utente interno della società dei servizi sanitari ha abboccato ad una e‑mail di phishing cliccando sul link che gli proponeva;
- la password amministrativa del sistema era P@ssw0rd ed è stata facilmente scoperta dall’attaccante.
Naturalmente, appena scoperta la violazione, la IHIS ha provveduto a mettere in atto misure di contenimento che, tuttavia, non hanno potuto limitare i danni già fatti:
- ha resettato per due volte, in successione ripetuta, gli account di accesso al sistema informativo;
- ha rivisto le regole del firewall;
- ha ripulito i server per assicurarsi che non ci fossero residui di software malevolo al loro interno;
- ha implementato una politica di cambiamento obbligatorio delle password degli utenti e degli amministratori;
- ha rafforzato il monitoraggio sulle attività degli amministratori.
Tutto questo per aver curato i pazienti ma non aver curato a sufficienza i meccanismi di riduzione dei rischio per i dati personali.