Stefano Gazzella : 9 Gennaio 2024 07:28
Le notizie riguardanti esfiltrazioni di dati sanitari sono purtroppo fin troppo ricorrenti. Eppure, apparentemente, l’unico allarme diffuso è quello degli esperti di privacy e information security in quanto per il resto c’è un assordante silenzio a riguardo. Anche mediatico. Tant’è che ci è stata segnalata in redazione proprio l’esigenza di voler approfondire tale aspetto.
Tutto questo rientra forse nel profondo vulnus culturale della privacy, di cui tanto si parla ma che non prevede cura al di fuori di proclami di buoni – anzi: ottimi – intenti? Insomma: il dato sanitario rientra emblematicamente all’interno del novero di quei dati sensibili per cui è prevista una particolare esigenza di protezione. Già presente nella normativa della Direttiva 95/46/CE e mantenuto nel sistema del GDPR fra le particolari categorie di dati.
Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. (considerando n. 51 GDPR)
Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Ma se quella meritevolezza di tutela resta solo all’interno del dettato normativo, ecco che tutto è destinato assumere sul piano operativo e sostanziale le ombre del peggiore antagonista rispetto alla protezione: l’indifferenza. E se l’interessato recede proprio sulla difesa dei propri diritti, gli scenari sono tutt’altro che rassicuranti. Sotto scroscianti applausi per chi ha voluto rappresentare la privacy come burocrazia. E con demerito anche di chi ha voluto fare della privacy una burocrazia – o paper compliance – in nome di un business model piuttosto spregiudicato.
Non di solo phishing vive il rischio, ma di ogni impiego illecito dell’informazione che sia stata esfiltrata o che sia deducibile in seguito alla violazione.
Vero: il phishing rappresenta il rischio più evidente e segnalato nelle comunicazioni relative a un data breach. Purtroppo, talvolta viene fatto in modo fin troppo generico per poter consentire all’interessato di tutelarsi in maniera autonoma ed efficace. Inoltre, esiste un ampio mondo di rischi annoverabili ben oltre il phishing o i tentativi di frode. Ma esploriamo cosa è possibile fare quando un cybercriminale entra in possesso di alcuni dei nostri dati sanitari. Soprattutto per l’ingegnerizzazione di un attacco che punti a far scaricare un file malevolo.
Buongiorno sig./sig.a […], l’esito della visita/esami presso […] è ora disponibile, si prega di scaricare l’allegato in oggetto.
Attenzione: la presente email è stata generata automaticamente dal sistema di […] e dunque escluderà in automatico ogni risposta alla stessa. I contatti per ricevere maggiori informazioni sono all’interno del file allegato.
Ecco dunque come semplicemente avendo nominativo, dato di contatto e Ospedale (o centro medico) presso cui sono state svolte delle prestazioni sanitarie è possibile già ingegnerizzare un attacco di phishing a bassissimo costo. E già questo è un rischio più consistente se l’attacco viene diretto su una larga scala di interessati per cui è possibile una migliore opera di profilazione, individuando ad esempio informazioni relative all’esame o alla visita effettuati. In questo caso l’effetto sarà conferire una maggiore affidabilità alla comunicazione e dunque indurre l’interessato ad aprire l’allegato malevolo.
Un ulteriore esempio può essere fornito invece dalla richiesta di informazioni e di un pagamento, come ad esempio:
Buongiorno sig./sig.a […], il pagamento delle prestazioni presso […] risulta irregolare. Si prega di rettificare inserendo i propri dati al link […].
In questo caso la richiesta può consistere tanto nel conferimento di ulteriori dati, quanto nell’esecuzione di un pagamento sfruttando la leva di evitare ulteriori aggravi di costi. Anche in questo caso, maggiori informazioni sono deducibili circa la prestazione maggiore sarà l’efficacia dell’attacco in quanto impattante sull’attendibilità della comunicazione.
Ma non c’è solo il phishing. Esiste anche l’estorsione, il ricatto, o la molestia. Le fattispecie criminali che possono fare riferimento ai dati sanitari si giovano di una posizione emblematicamente vulnerabile dell’interessato e della sua volontà di non voler vedere divulgati i propri dati sanitari. Alcune malattie possono richiamare forti imbarazzi sociali (così è nelle sessualmente trasmissibili, ad esempio), ma anche aumentare i costi assicurativi o addirittura impedire l’accesso a determinate coperture, volendo fare i due esempi di maggiore impatto.
Diventa quindi necessario porsi una domanda: come mai questa insostenibile leggerezza circa le sorti dei dati sanitari, nel momento che gli stessi vengono compromessi da un attacco informatico? Leggerezza che – repetita iuvant – si può riscontrare a più livelli: istituzionale, mediatico, vulgata.
Se a livello istituzionale si può comprendere la volontà di allontanare ogni responsabilità da ruoli dirigenziali o politici, molto meno si comprende come mai questa leggerezza riguardi il mondo mediatico che dovrebbe (il condizionale è d’obbligo) rappresentare il cane da guardia della democrazia. Cane che forse è stato fin troppo ben addestrato e riempito di premi per fare alcuni esercizi a comando? Chissà.
Quel che è certo è che la vulgata ancora pensa che siano dati la cui compromissione non può causare alcun problema. E così forse è e sarà, almeno fintanto che qualcuno non ne verrà colpito. Perché il problema non è che non se ne parla abbastanza, ma che se ne parla fin troppo indignandosi nelle bolle social di “esperti” di privacy o information security, e per nulla al di fuori.
E forse la colpa è un po’ anche di chi si parla troppo addosso e ben poco divulga. Anche perché non si diventa divulgatori aggiornandosi un immaginifico job title su LinkedIn, ma facendolo in modo efficace. O scegliendo di tacere se non si è in grado. Ma quel bel tacer che non fu mai scritto, men che meno sembra trovare una propria ragion d’essere sui new media. Purtroppo.
Stefano GazzellaLe Google dorks, sono diventate sinonimo di hacking, che può essere appreso da qualsiasi utente del World Wide Web. Anche se il termine si concentra su Google, ci sono alcuni comandi che funzionano a...
Recentemente, un avviso sul noto forum underground “DarkForum” ha riacceso i riflettori sul crescente e pericoloso mercato della compravendita di documenti d’identità rubati o falsificati. L’...
Cisco ha reso note due vulnerabilità critiche che interessano i propri firewall Secure Firewall Adaptive Security Appliance (ASA) e Secure Firewall Threat Defense (FTD), oltre ad altri prodotti di re...
Il ricercatore Nicholas Zubrisky di Trend Research ha segnalato una vulnerabilità critica nel componente ksmbd del kernel Linux che consente ad aggressori remoti di eseguire codice arbitrario con i m...
Il Dipartimento di Giustizia degli Stati Uniti e la polizia britannica hanno incriminato Talha Jubair, 19 anni, residente nell’East London, che gli investigatori ritengono essere un membro chiave di...
