Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Stefano Gazzella : 9 Gennaio 2024 07:28
Le notizie riguardanti esfiltrazioni di dati sanitari sono purtroppo fin troppo ricorrenti. Eppure, apparentemente, l’unico allarme diffuso è quello degli esperti di privacy e information security in quanto per il resto c’è un assordante silenzio a riguardo. Anche mediatico. Tant’è che ci è stata segnalata in redazione proprio l’esigenza di voler approfondire tale aspetto.
Tutto questo rientra forse nel profondo vulnus culturale della privacy, di cui tanto si parla ma che non prevede cura al di fuori di proclami di buoni – anzi: ottimi – intenti? Insomma: il dato sanitario rientra emblematicamente all’interno del novero di quei dati sensibili per cui è prevista una particolare esigenza di protezione. Già presente nella normativa della Direttiva 95/46/CE e mantenuto nel sistema del GDPR fra le particolari categorie di dati.
Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. (considerando n. 51 GDPR)
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Ma se quella meritevolezza di tutela resta solo all’interno del dettato normativo, ecco che tutto è destinato assumere sul piano operativo e sostanziale le ombre del peggiore antagonista rispetto alla protezione: l’indifferenza. E se l’interessato recede proprio sulla difesa dei propri diritti, gli scenari sono tutt’altro che rassicuranti. Sotto scroscianti applausi per chi ha voluto rappresentare la privacy come burocrazia. E con demerito anche di chi ha voluto fare della privacy una burocrazia – o paper compliance – in nome di un business model piuttosto spregiudicato.
Non di solo phishing vive il rischio, ma di ogni impiego illecito dell’informazione che sia stata esfiltrata o che sia deducibile in seguito alla violazione.
Vero: il phishing rappresenta il rischio più evidente e segnalato nelle comunicazioni relative a un data breach. Purtroppo, talvolta viene fatto in modo fin troppo generico per poter consentire all’interessato di tutelarsi in maniera autonoma ed efficace. Inoltre, esiste un ampio mondo di rischi annoverabili ben oltre il phishing o i tentativi di frode. Ma esploriamo cosa è possibile fare quando un cybercriminale entra in possesso di alcuni dei nostri dati sanitari. Soprattutto per l’ingegnerizzazione di un attacco che punti a far scaricare un file malevolo.
Buongiorno sig./sig.a […], l’esito della visita/esami presso […] è ora disponibile, si prega di scaricare l’allegato in oggetto.
Attenzione: la presente email è stata generata automaticamente dal sistema di […] e dunque escluderà in automatico ogni risposta alla stessa. I contatti per ricevere maggiori informazioni sono all’interno del file allegato.
Ecco dunque come semplicemente avendo nominativo, dato di contatto e Ospedale (o centro medico) presso cui sono state svolte delle prestazioni sanitarie è possibile già ingegnerizzare un attacco di phishing a bassissimo costo. E già questo è un rischio più consistente se l’attacco viene diretto su una larga scala di interessati per cui è possibile una migliore opera di profilazione, individuando ad esempio informazioni relative all’esame o alla visita effettuati. In questo caso l’effetto sarà conferire una maggiore affidabilità alla comunicazione e dunque indurre l’interessato ad aprire l’allegato malevolo.
Un ulteriore esempio può essere fornito invece dalla richiesta di informazioni e di un pagamento, come ad esempio:
Buongiorno sig./sig.a […], il pagamento delle prestazioni presso […] risulta irregolare. Si prega di rettificare inserendo i propri dati al link […].
In questo caso la richiesta può consistere tanto nel conferimento di ulteriori dati, quanto nell’esecuzione di un pagamento sfruttando la leva di evitare ulteriori aggravi di costi. Anche in questo caso, maggiori informazioni sono deducibili circa la prestazione maggiore sarà l’efficacia dell’attacco in quanto impattante sull’attendibilità della comunicazione.
Ma non c’è solo il phishing. Esiste anche l’estorsione, il ricatto, o la molestia. Le fattispecie criminali che possono fare riferimento ai dati sanitari si giovano di una posizione emblematicamente vulnerabile dell’interessato e della sua volontà di non voler vedere divulgati i propri dati sanitari. Alcune malattie possono richiamare forti imbarazzi sociali (così è nelle sessualmente trasmissibili, ad esempio), ma anche aumentare i costi assicurativi o addirittura impedire l’accesso a determinate coperture, volendo fare i due esempi di maggiore impatto.
Diventa quindi necessario porsi una domanda: come mai questa insostenibile leggerezza circa le sorti dei dati sanitari, nel momento che gli stessi vengono compromessi da un attacco informatico? Leggerezza che – repetita iuvant – si può riscontrare a più livelli: istituzionale, mediatico, vulgata.
Se a livello istituzionale si può comprendere la volontà di allontanare ogni responsabilità da ruoli dirigenziali o politici, molto meno si comprende come mai questa leggerezza riguardi il mondo mediatico che dovrebbe (il condizionale è d’obbligo) rappresentare il cane da guardia della democrazia. Cane che forse è stato fin troppo ben addestrato e riempito di premi per fare alcuni esercizi a comando? Chissà.
Quel che è certo è che la vulgata ancora pensa che siano dati la cui compromissione non può causare alcun problema. E così forse è e sarà, almeno fintanto che qualcuno non ne verrà colpito. Perché il problema non è che non se ne parla abbastanza, ma che se ne parla fin troppo indignandosi nelle bolle social di “esperti” di privacy o information security, e per nulla al di fuori.
E forse la colpa è un po’ anche di chi si parla troppo addosso e ben poco divulga. Anche perché non si diventa divulgatori aggiornandosi un immaginifico job title su LinkedIn, ma facendolo in modo efficace. O scegliendo di tacere se non si è in grado. Ma quel bel tacer che non fu mai scritto, men che meno sembra trovare una propria ragion d’essere sui new media. Purtroppo.
Stefano Gazzella1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...
Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...
Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...
Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...
Il 25 febbraio 2025 WindTre ha rilevato un accesso non autorizzato ai sistemi informatici utilizzati dai propri rivenditori. L’intrusione, riconosciuta come un’azione malevola, è st...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
