Cosa succede se un attacco ransomware e la mancata cybersicurezza causano un danno irreparabile o la morte di un paziente?
Nel 2019 un ospedale in Alabama è vittima di un attacco ransomware i cui effetti si protraggono per diversi giorni.
Proprio in quei giorni una donna si reca all’ospedale per partorire ma una complicanza procura alla neonata un danno celebrare e, qualche mese dopo, la morte.
La madre fa causa all’ospedale, sostenendo che al momento del parto le apparecchiature per monitorare il battito fetale e altre strumentazioni importanti fossero fuori uso e che proprio questo abbia impedito ai medici in sala parto di accorgersi dei problemi in corso e scegliere di praticare un cesareo, evitando o almeno limitando i danni alla neonata.
Secondo la madre, l’ospedale è responsabile di tutti i disservizi causati dall’attacco ransomware e di non averla avvisata della situazione critica generata dall’attacco.
L’ospedale sostiene invece che:
- – la situazione fosse sotto controllo,
- – il giorno del parto fosse stato diffuso un avviso a proposito dell’incidente informatico,
- – stesse al singolo medico decidere se avvisare o meno i pazienti dell’incidente,
- – non assistere i pazienti li avrebbe esposti a un rischio maggiore di quello connesso agli effetti residui dell’attacco.
QUAL È IL VERO PROBLEMA
A sostegno di quest ultimo dettaglio vi è un caso precedente.
Un’anziana viene colta da aneurisma e trasportata in ambulanza all’ospedale di Dusseldorf, in Germania, ma il reparto che dovrebbe accoglierla è chiuso proprio a causa di un attacco ransomware. La donna viene allora trasportata in un altro ospedale, a un’ora di strada di distanza, ma appena arriva muore.
In sostanza, in caso di attacchi ransomware a un ospedale, accogliere o non accogliere i pazienti comporta in ogni caso grandi rischi.
Il processo sulla morte della neonata si concentra su una questione specifica: doveva l’ospedale informare o meno la donna a proposito della situazione? Se, una volta informata, la donna avesse deciso di partorire da un’altra parte, i danni alla bambina davvero sarebbero stati evitati oppure se ne sarebbero generati altri?
Il vero problema è però un altro: un ospedale dovrebbe essere in grado di resistere agli attacchi informatici, se non addirittura evitarli, o almeno limitarne i danni.
IL RISARCIMENTO DEL DANNO DA MANCATA CYBERSECURITY
La cibersecurity dovrebbe già essere considerata una priorità dalle aziende di qualsiasi settore. Non solo per gli effetti sull’operatività e per i danni economici derivanti, ma anche per le conseguenze civili e penali che potrebbero derivarne.
«Un’evoluzione giurisprudenziale dei casi di risarcimenti connessi ad attacchi informatici contribuirà in futuro a rendere evidente il perimetro delle responsabilità aziendali nel caso e quanto può costare una negligenza in un mondo che ormai definisce standard e requisiti sempre più stringenti con riguardo alla sicurezza IT.
Un’azienda oggi non può più permettersi di trascurare la sicurezza dei propri sistemi informatici, anche perché il diritto estende alle conseguenze della negligenza il risarcimento civile del danno causato (e in certi casi di crassa negligenza anche le responsabilità penali) e questo comporta che un’eventuale incuria nella compliance IT rischia di riverberare in responsabilità davvero estese a mano a mano che le aziende informatizzano i loro sistemi e dipendono dalla tecnologia.»
Vuoi rendere più sicuro il tuo studio o la tua azienda? Scopri i prodotti informatici di Servicematica.
Iscriviti al canale Telegram di Servicematica
Notizie, aggiornamenti ed interruzioni. Tutto in tempo reale.
——–
LEGGI ANCHE:
Triste primato per l’Italia: seconda in EU per numero di cyber attacchi