Stefano Gazzella : 9 Gennaio 2024 07:28
Le notizie riguardanti esfiltrazioni di dati sanitari sono purtroppo fin troppo ricorrenti. Eppure, apparentemente, l’unico allarme diffuso è quello degli esperti di privacy e information security in quanto per il resto c’è un assordante silenzio a riguardo. Anche mediatico. Tant’è che ci è stata segnalata in redazione proprio l’esigenza di voler approfondire tale aspetto.
Tutto questo rientra forse nel profondo vulnus culturale della privacy, di cui tanto si parla ma che non prevede cura al di fuori di proclami di buoni – anzi: ottimi – intenti? Insomma: il dato sanitario rientra emblematicamente all’interno del novero di quei dati sensibili per cui è prevista una particolare esigenza di protezione. Già presente nella normativa della Direttiva 95/46/CE e mantenuto nel sistema del GDPR fra le particolari categorie di dati.
Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. (considerando n. 51 GDPR)
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Ma se quella meritevolezza di tutela resta solo all’interno del dettato normativo, ecco che tutto è destinato assumere sul piano operativo e sostanziale le ombre del peggiore antagonista rispetto alla protezione: l’indifferenza. E se l’interessato recede proprio sulla difesa dei propri diritti, gli scenari sono tutt’altro che rassicuranti. Sotto scroscianti applausi per chi ha voluto rappresentare la privacy come burocrazia. E con demerito anche di chi ha voluto fare della privacy una burocrazia – o paper compliance – in nome di un business model piuttosto spregiudicato.
Non di solo phishing vive il rischio, ma di ogni impiego illecito dell’informazione che sia stata esfiltrata o che sia deducibile in seguito alla violazione.
Vero: il phishing rappresenta il rischio più evidente e segnalato nelle comunicazioni relative a un data breach. Purtroppo, talvolta viene fatto in modo fin troppo generico per poter consentire all’interessato di tutelarsi in maniera autonoma ed efficace. Inoltre, esiste un ampio mondo di rischi annoverabili ben oltre il phishing o i tentativi di frode. Ma esploriamo cosa è possibile fare quando un cybercriminale entra in possesso di alcuni dei nostri dati sanitari. Soprattutto per l’ingegnerizzazione di un attacco che punti a far scaricare un file malevolo.
Buongiorno sig./sig.a […], l’esito della visita/esami presso […] è ora disponibile, si prega di scaricare l’allegato in oggetto.
Attenzione: la presente email è stata generata automaticamente dal sistema di […] e dunque escluderà in automatico ogni risposta alla stessa. I contatti per ricevere maggiori informazioni sono all’interno del file allegato.
Ecco dunque come semplicemente avendo nominativo, dato di contatto e Ospedale (o centro medico) presso cui sono state svolte delle prestazioni sanitarie è possibile già ingegnerizzare un attacco di phishing a bassissimo costo. E già questo è un rischio più consistente se l’attacco viene diretto su una larga scala di interessati per cui è possibile una migliore opera di profilazione, individuando ad esempio informazioni relative all’esame o alla visita effettuati. In questo caso l’effetto sarà conferire una maggiore affidabilità alla comunicazione e dunque indurre l’interessato ad aprire l’allegato malevolo.
Un ulteriore esempio può essere fornito invece dalla richiesta di informazioni e di un pagamento, come ad esempio:
Buongiorno sig./sig.a […], il pagamento delle prestazioni presso […] risulta irregolare. Si prega di rettificare inserendo i propri dati al link […].
In questo caso la richiesta può consistere tanto nel conferimento di ulteriori dati, quanto nell’esecuzione di un pagamento sfruttando la leva di evitare ulteriori aggravi di costi. Anche in questo caso, maggiori informazioni sono deducibili circa la prestazione maggiore sarà l’efficacia dell’attacco in quanto impattante sull’attendibilità della comunicazione.
Ma non c’è solo il phishing. Esiste anche l’estorsione, il ricatto, o la molestia. Le fattispecie criminali che possono fare riferimento ai dati sanitari si giovano di una posizione emblematicamente vulnerabile dell’interessato e della sua volontà di non voler vedere divulgati i propri dati sanitari. Alcune malattie possono richiamare forti imbarazzi sociali (così è nelle sessualmente trasmissibili, ad esempio), ma anche aumentare i costi assicurativi o addirittura impedire l’accesso a determinate coperture, volendo fare i due esempi di maggiore impatto.
Diventa quindi necessario porsi una domanda: come mai questa insostenibile leggerezza circa le sorti dei dati sanitari, nel momento che gli stessi vengono compromessi da un attacco informatico? Leggerezza che – repetita iuvant – si può riscontrare a più livelli: istituzionale, mediatico, vulgata.
Se a livello istituzionale si può comprendere la volontà di allontanare ogni responsabilità da ruoli dirigenziali o politici, molto meno si comprende come mai questa leggerezza riguardi il mondo mediatico che dovrebbe (il condizionale è d’obbligo) rappresentare il cane da guardia della democrazia. Cane che forse è stato fin troppo ben addestrato e riempito di premi per fare alcuni esercizi a comando? Chissà.
Quel che è certo è che la vulgata ancora pensa che siano dati la cui compromissione non può causare alcun problema. E così forse è e sarà, almeno fintanto che qualcuno non ne verrà colpito. Perché il problema non è che non se ne parla abbastanza, ma che se ne parla fin troppo indignandosi nelle bolle social di “esperti” di privacy o information security, e per nulla al di fuori.
E forse la colpa è un po’ anche di chi si parla troppo addosso e ben poco divulga. Anche perché non si diventa divulgatori aggiornandosi un immaginifico job title su LinkedIn, ma facendolo in modo efficace. O scegliendo di tacere se non si è in grado. Ma quel bel tacer che non fu mai scritto, men che meno sembra trovare una propria ragion d’essere sui new media. Purtroppo.
Stefano GazzellaI criminali informatici hanno lanciato una nuova ondata di attacchi che utilizzano file SVG per distribuire pagine di phishing. Gli esperti di VirusTotal hanno segnalato che gli aggressori si spaccian...
Il mondo dei supercomputer è entrato nell’era dell’exascale computing. La classifica TOP500 di giugno per il 2025 ha registrato tre sistemi americani ai vertici, un debutto clamoroso dall’Europ...
Il team di Darklab, la community di esperti di threat intelligence di Red Hot Cyber, ha individuato un annuncio sul marketplace del dark web “Tor Amazon”, l’analogo criminale del celebre e-comme...
Microsoft ha ufficialmente reso pubblico il codice sorgente della sua prima versione di BASIC per il processore MOS 6502, che per decenni è esistito solo sotto forma di fughe di notizie, copie da mus...
Dopo una lunga pausa estiva, nella giornata di ieri il CERT-AgID ha pubblicato un nuovo avviso su una nuova campagna MintsLoader, la prima dopo quella registrata lo scorso giugno. Rispetto alle preced...
