Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Giovanni Pollola : 22 Maggio 2023 07:51
L’Azienda Ospedaliera Universitaria Federico II di Napoli, ai più nota come Policlinico o Nuovo Policlinico di Napoli, mostra di avere delle abitudini operative particolari del proprio personale in ambito IT.
Le anomalie emergono sia sul materiale di comunicazione degli eventi promossi dall’Azienda, come le recenti campagne di prevenzione, che invitiamo a consultare (20 e 21 Maggio), le stesse precedenti, documenti e pagine ufficiali del proprio sito web “policlinico.unina.it”.
Nella recente campagna di prevenzione “La Ricerca del Benessere” pubblicizzata anche dal web Magazine dell’Azienda, emerge una cattiva abitudine, ovvero quella di utilizzare account mail non aziendali, molto probailmente “consumer”, sia Libero che GMail.
Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)
Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà
la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.
La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Gli account vengono indicati per procedere alla prenotazione delle prestazioni e vengono indicati 22 indirizzi e-mail, dove solo CINQUE risultano essere aziendali, su dominio ufficiale “unina.it”.
Ricordiamo che A.O.U. Federico II utilizza il dominio accademico in quanto essa nasce da un protocollo d’intesa tra l’Università degli Studi di Napoli “Federico II” e la Regione Campania.
Ma non è un caso isolato
Anche in una precedente campagna di prevenzione “Open Week” promossa analogamente, sono presenti 17 indirizzi e-mail dei quali solo 5 aziendali.
Il problema fondamentale, oltre alle dovute considerazioni normative in ambito GDPR, è la totale impossibilità di controllo, sorveglianza ed analisi dei flussi dei dati di questi account.
In sostanza, se un account venisse utilizzato in modo improprio (coscientemente o incoscientemente dal personale), se fosse oggetto di phishing (e simili), oppure se venisse compromesso (a livello puntuale di account o più in generale di provider) l’azienda molto probabilmente potrebbe non venirne facilmente a conoscenza e non avere alcuna possibilità di azione se non chiedendo assistenza al provider (dove entrerebbe in gioco anche la legittimità di tali richieste).
Ma non avendo traccia (sorveglianza diretta) di questi account un’eventuale compromissione o intrusione non sarebbe diagnosticata, poiché la gestione totale degli account è demandata al personale sanitario che quasi certamente non può avere consapevolezza o tali capacità e sensibilità, anche solo per far eventualmente presente all’Azienda un evento critico.
E’ apprezzabile come negli ultimi anni l’Azienda si sia sforzata di stare al passo con i tempi in termini di “user experience” ammodernando i canali di comunicazione, semplificando ed avvicinando i pazienti alle attività assistenziali. In alcuni casi alcune iniziative potevano essere migliorate.
Ad esempio, potrebbe essere il caso del sito web di un U.O.C. (https://www.dermatologiafederico2.it/) dove non viene utilizzato un dominio di terzo livello su quello accademico, ma uno intestato ad un dipendente dell’Azienda ed hosting che non è identificabile con quello accademico/aziendale.
Il sito web in questione è chiaramente riconosciuto dall’Azienda essendo anche linkato nel sito aziendale.
E’ possibile notare come anche su questo sito dei 21 indirizzi e-mail solo OTTO siano di tipo aziendale. Un’abitudine che è troppo spesso frequente.
Ci duole scrivere che sono indicizzati tanti e vari documenti, di qualsiasi natura, riguardanti l’Azienda, in cui i sanitari utilizzano QUALSIASI tipo di provider mail.
Non pochi documenti sono anche abbastanza “vecchi”, inutili per il pubblico utilizzo ed andrebbero “bonificati”, archiviati, così molte sezioni dei vari sottodomini. A tal proposito consigliamo di riconfigurare/rivedere i servizi Apache (e simili) disabilitando il listing delle directory.
In molte situazioni la buona pratica di utilizzare SOLO il provider di posta aziendale viene rispettato, questo si evince anche da sezioni/pagine del sito ufficiale e documenti pubblici, ma è una pratica che va estesa al 100% dei dipendenti.
Più in generale ci auguriamo che la comunicazione e la trasmissione dei dati sensibili dei pazienti sia uniformata per tutto il personale, garantendo ai dipendenti adeguata formazione e maturata consapevolezza che la sicurezza digitale dei dati dei pazienti.
Sarebbe importante contattare ogni singolo proprietario di indirizzo non aziendale e cercare di bonificare eventuali e-mail, dati e documenti relativi ai pazienti (per scongiurare eventuali problemi attuali e futuri), fornire (eventualmente non sia già stato fatto) ed obbligare gli stessi all’utilizzo esclusivo degli strumenti aziendali.
Potrebbe essere utile ai fini organizzativi suddividere il traffico delle comunicazioni scindendo o gestendo due servizi di posta uno strettamente accademico ([email protected]) ed uno strettamente ospedaliero su dominio di terzo livello (tipo [email protected], [email protected]) o un altro di secondo livello.
Ad onor di cronaca, purtroppo, queste situazioni, queste cattive abitudini, sono ben radicate in tante realtà aziendali sia private che pubbliche, ma questo non deve essere motivo per non prendere adeguati provvedimenti e cinturare al meglio la privacy degli utenti che, in quanto pazienti, può essere ancora più drammaticamente sensibile.
Ricordiamo che determinati servizi di messaggistica istantanea siano inadeguati ed inopportuni per scambiare dati sensibili come quelli sanitari, oltre alla problematica gestione materiale dei dispositivi su cui questi vengono utilizzati, nonostante questi servizi possano risultare di semplice utilizzo e praticità per i pazienti (oltre che per i dipendenti) anche in ambito di telemedicina. Qualora il personale sanitario ne faccia ingenuamente utilizzo, ne sconsigliamo vivamente l’utilizzo.
Siamo qui a chiederci anche se l’Azienda possa collaborare più strettamente con la propria HackAdemy universitaria nell’individuazione, segnalazione e miglioramento di tali ed altre eventuali criticità ed abitudini.
Come nostra consuetudine, lasciamo spazio ad una dichiarazione dell’azienda qualora voglia darci degli aggiornamenti su questa vicenda e saremo lieti di pubblicarla con uno specifico articolo dando risalto alla questione.
RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono accedere utilizzare la mail crittografata del whistleblower.
Giovanni PollolaL’imageboard di 4chan è praticamente inattivo da lunedì sera (14 aprile), apparentemente a causa di un attacco hacker. I membri dell’imageboard Soyjak party (noto anche semplic...
Apple ha rilasciato patch di emergenza per correggere due vulnerabilità zero-day. Secondo l’azienda, questi problemi sono stati sfruttati in attacchi mirati ed “estremamen...
Quanto accaduto in questi giorni deve rappresentare un campanello d’allarme per l’Europa.Mentre il programma CVE — pilastro della sicurezza informatica globale — rischiava ...
Il 16 aprile 2025, Spotify ha subito un’interruzione del servizio che ha colpito numerosi utenti in Italia e nel mondo. A partire dalle ore 14:00, migliaia di segnalazioni sono state re...
Fourlis Group, il gestore dei negozi IKEA in Grecia, Cipro, Romania e Bulgaria, ha dichiarato di aver subito un attacco ransomware prima del Black Friday del 27 novembre 2024, che ha causato...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
