Een Italiaans ziekenhuis is via een kwetsbaarheid in de firewall die het gebruikte het doelwit van een ransomware-aanval geworden, waarbij de aanvallers persoonlijke gegevens van patiënten en personeel buitmaakten, waaronder ook gezondheidsdata. Wat voor firewall het universitair ziekenhuis van Alessandria gebruikte laat de Italiaanse privacytoezichthouder GPDP niet weten. De toezichthouder deed onderzoek naar de aanval en het datalek.

Via de gecompromitteerde firewall wisten de aanvallers 'domain credentials' te stelen en konden uiteindelijk lateraal door het netwerk bewegen. Zo wisten ze onder andere toegang tot de fileserver te krijgen. Deze server was alleen voor administratie doeleinden bedoeld, maar bleek ook bestanden met gezondheidsgegevens te bevatten. De data werd vervolgens gestolen. Daarnaast lukte het de aanvallers om de aanwezige antivirussoftware uit te schakelen, waarna ze op allerlei systemen ransomware uitrolden. De ransomware werd echter niet ingeschakeld en er werd geen data versleuteld.

De Italiaanse privacytoezichthouder deed onderzoek en stelde vast dat het ziekenhuis geen maatregelen had getroffen om datalekken te detecteren. Zo beschikte het ziekenhuis niet over een systeem voor het bijhouden van logs. Daarnaast schoot de beveiliging van het ziekenhuis tekort. Zo was er geen netwerksegmentatie toegepast, was er voor vpn-toegang geen multifactorauthenticatie vereist, gebruikten maintenance accounts gedeelde admin credentials en beschikten zo'n honderddertig gebruikers over volledige adminrechten. Daarnaast gebruikte het ziekenhuis verouderde communicatieprotocollen.

Het ziekenhuis heeft dan ook verschillende bepalingen van de AVG overtreden, aldus de Italiaanse toezichthouder. Bij het opleggen van een sanctie liet de GPDP als verzachtende omstandigheden meewegen dat het ziekenhuis na ontdekking het datalek snel meldde, volledig aan het onderzoek meewerkte, de beveiliging inmiddels heeft aangescherpt en dat de coronapandemie ervoor zorgde dat processen voor het verbeteren van de it-beveiliging werden vertraagd. Aangezien er wel gezondheidsgegevens zijn gestolen besloot de toezichthouder het ziekenhuis een boete van 25.000 euro op te leggen.