Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Stefano Gazzella : 9 Gennaio 2024 07:28
Le notizie riguardanti esfiltrazioni di dati sanitari sono purtroppo fin troppo ricorrenti. Eppure, apparentemente, l’unico allarme diffuso è quello degli esperti di privacy e information security in quanto per il resto c’è un assordante silenzio a riguardo. Anche mediatico. Tant’è che ci è stata segnalata in redazione proprio l’esigenza di voler approfondire tale aspetto.
Tutto questo rientra forse nel profondo vulnus culturale della privacy, di cui tanto si parla ma che non prevede cura al di fuori di proclami di buoni – anzi: ottimi – intenti? Insomma: il dato sanitario rientra emblematicamente all’interno del novero di quei dati sensibili per cui è prevista una particolare esigenza di protezione. Già presente nella normativa della Direttiva 95/46/CE e mantenuto nel sistema del GDPR fra le particolari categorie di dati.
Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. (considerando n. 51 GDPR)
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Ma se quella meritevolezza di tutela resta solo all’interno del dettato normativo, ecco che tutto è destinato assumere sul piano operativo e sostanziale le ombre del peggiore antagonista rispetto alla protezione: l’indifferenza. E se l’interessato recede proprio sulla difesa dei propri diritti, gli scenari sono tutt’altro che rassicuranti. Sotto scroscianti applausi per chi ha voluto rappresentare la privacy come burocrazia. E con demerito anche di chi ha voluto fare della privacy una burocrazia – o paper compliance – in nome di un business model piuttosto spregiudicato.
Non di solo phishing vive il rischio, ma di ogni impiego illecito dell’informazione che sia stata esfiltrata o che sia deducibile in seguito alla violazione.
Vero: il phishing rappresenta il rischio più evidente e segnalato nelle comunicazioni relative a un data breach. Purtroppo, talvolta viene fatto in modo fin troppo generico per poter consentire all’interessato di tutelarsi in maniera autonoma ed efficace. Inoltre, esiste un ampio mondo di rischi annoverabili ben oltre il phishing o i tentativi di frode. Ma esploriamo cosa è possibile fare quando un cybercriminale entra in possesso di alcuni dei nostri dati sanitari. Soprattutto per l’ingegnerizzazione di un attacco che punti a far scaricare un file malevolo.
Buongiorno sig./sig.a […], l’esito della visita/esami presso […] è ora disponibile, si prega di scaricare l’allegato in oggetto.
Attenzione: la presente email è stata generata automaticamente dal sistema di […] e dunque escluderà in automatico ogni risposta alla stessa. I contatti per ricevere maggiori informazioni sono all’interno del file allegato.
Ecco dunque come semplicemente avendo nominativo, dato di contatto e Ospedale (o centro medico) presso cui sono state svolte delle prestazioni sanitarie è possibile già ingegnerizzare un attacco di phishing a bassissimo costo. E già questo è un rischio più consistente se l’attacco viene diretto su una larga scala di interessati per cui è possibile una migliore opera di profilazione, individuando ad esempio informazioni relative all’esame o alla visita effettuati. In questo caso l’effetto sarà conferire una maggiore affidabilità alla comunicazione e dunque indurre l’interessato ad aprire l’allegato malevolo.
Un ulteriore esempio può essere fornito invece dalla richiesta di informazioni e di un pagamento, come ad esempio:
Buongiorno sig./sig.a […], il pagamento delle prestazioni presso […] risulta irregolare. Si prega di rettificare inserendo i propri dati al link […].
In questo caso la richiesta può consistere tanto nel conferimento di ulteriori dati, quanto nell’esecuzione di un pagamento sfruttando la leva di evitare ulteriori aggravi di costi. Anche in questo caso, maggiori informazioni sono deducibili circa la prestazione maggiore sarà l’efficacia dell’attacco in quanto impattante sull’attendibilità della comunicazione.
Ma non c’è solo il phishing. Esiste anche l’estorsione, il ricatto, o la molestia. Le fattispecie criminali che possono fare riferimento ai dati sanitari si giovano di una posizione emblematicamente vulnerabile dell’interessato e della sua volontà di non voler vedere divulgati i propri dati sanitari. Alcune malattie possono richiamare forti imbarazzi sociali (così è nelle sessualmente trasmissibili, ad esempio), ma anche aumentare i costi assicurativi o addirittura impedire l’accesso a determinate coperture, volendo fare i due esempi di maggiore impatto.
Diventa quindi necessario porsi una domanda: come mai questa insostenibile leggerezza circa le sorti dei dati sanitari, nel momento che gli stessi vengono compromessi da un attacco informatico? Leggerezza che – repetita iuvant – si può riscontrare a più livelli: istituzionale, mediatico, vulgata.
Se a livello istituzionale si può comprendere la volontà di allontanare ogni responsabilità da ruoli dirigenziali o politici, molto meno si comprende come mai questa leggerezza riguardi il mondo mediatico che dovrebbe (il condizionale è d’obbligo) rappresentare il cane da guardia della democrazia. Cane che forse è stato fin troppo ben addestrato e riempito di premi per fare alcuni esercizi a comando? Chissà.
Quel che è certo è che la vulgata ancora pensa che siano dati la cui compromissione non può causare alcun problema. E così forse è e sarà, almeno fintanto che qualcuno non ne verrà colpito. Perché il problema non è che non se ne parla abbastanza, ma che se ne parla fin troppo indignandosi nelle bolle social di “esperti” di privacy o information security, e per nulla al di fuori.
E forse la colpa è un po’ anche di chi si parla troppo addosso e ben poco divulga. Anche perché non si diventa divulgatori aggiornandosi un immaginifico job title su LinkedIn, ma facendolo in modo efficace. O scegliendo di tacere se non si è in grado. Ma quel bel tacer che non fu mai scritto, men che meno sembra trovare una propria ragion d’essere sui new media. Purtroppo.
Stefano GazzellaIn seguito alla scoperta di due vulnerabilità zero-day estremamente critiche nel motore del browser WebKit, Apple ha pubblicato urgentemente degli aggiornamenti di sicurezza per gli utenti di iPhone ...
La recente edizione 2025.4 di Kali Linux è stata messa a disposizione del pubblico, introducendo significative migliorie per quanto riguarda gli ambienti desktop GNOME, KDE e Xfce. D’ora in poi, Wa...
La saga sulla sicurezza dei componenti di React Server continua questa settimana. Successivamente alla correzione di una vulnerabilità critica relativa all’esecuzione di codice remoto (RCE) che ha ...
Un nuovo allarme arriva dal sottobosco del cybercrime arriva poche ore fa. A segnalarlo l’azienda ParagonSec, società specializzata nel monitoraggio delle attività delle cyber gang e dei marketpla...
Cisco Talos ha identificato una nuova campagna ransomware chiamata DeadLock: gli aggressori sfruttano un driver antivirus Baidu vulnerabile (CVE-2024-51324) per disabilitare i sistemi EDR tramite la t...
