Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Federico II di Napoli: Libero e Gmail per le prenotazioni di screening gratuito non vanno bene

Giovanni Pollola : 22 Maggio 2023 07:51

L’Azienda Ospedaliera Universitaria Federico II di Napoli, ai più nota come Policlinico o Nuovo Policlinico di Napoli, mostra di avere delle abitudini operative particolari del proprio personale in ambito IT.

Le anomalie emergono sia sul materiale di comunicazione degli eventi promossi dall’Azienda, come le recenti campagne di prevenzione, che invitiamo a consultare (20 e 21 Maggio), le stesse precedenti, documenti e pagine ufficiali del proprio sito web “policlinico.unina.it”.

Avere sempre cura delle modalità di comunicazione

Nella recente campagna di prevenzione “La Ricerca del Benessere” pubblicizzata anche dal web Magazine dell’Azienda, emerge una cattiva abitudine, ovvero quella di utilizzare account mail non aziendali, molto probailmente “consumer”, sia Libero che GMail.

Vuoi diventare un Ethical Hacker?
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
375 593 1011  per richiedere informazioni dicendo che hai trovato il numero sulle pagine di Red Hot Cyber

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Gli account vengono indicati per procedere alla prenotazione delle prestazioni e vengono indicati 22 indirizzi e-mail, dove solo CINQUE risultano essere aziendali, su dominio ufficiale “unina.it”.

Ricordiamo che A.O.U. Federico II utilizza il dominio accademico in quanto essa nasce da un protocollo d’intesa tra l’Università degli Studi di Napoli “Federico II” e la Regione Campania.

Ma non è un caso isolato

Anche in una precedente campagna  di prevenzione “Open Week” promossa analogamente, sono presenti 17 indirizzi e-mail dei quali solo 5 aziendali.

Il problema fondamentale, oltre alle dovute considerazioni normative in ambito GDPR, è la totale impossibilità di controllo, sorveglianza ed analisi dei flussi dei dati di questi account.

In sostanza, se un account venisse utilizzato in modo improprio (coscientemente o incoscientemente dal personale), se fosse oggetto di phishing (e simili), oppure se venisse compromesso (a livello puntuale di account o più in generale di provider) l’azienda molto probabilmente potrebbe non venirne facilmente a conoscenza e non avere alcuna possibilità di azione se non chiedendo assistenza al provider (dove entrerebbe in gioco anche la legittimità di tali richieste).

Ma non avendo traccia (sorveglianza diretta) di questi account un’eventuale compromissione o intrusione non sarebbe diagnosticata, poiché la gestione totale degli account è demandata al personale sanitario che quasi certamente non può avere consapevolezza o tali capacità e sensibilità, anche solo per far eventualmente presente all’Azienda un evento critico.

Prevenzione, bonifica e standardizzazione

E’ apprezzabile come negli ultimi anni l’Azienda si sia sforzata di stare al passo con i tempi in termini di “user experience” ammodernando i canali di comunicazione, semplificando ed avvicinando i pazienti alle attività assistenziali. In alcuni casi alcune iniziative potevano essere migliorate.

Ad esempio, potrebbe essere il caso del sito web di un U.O.C. (https://www.dermatologiafederico2.it/) dove non viene utilizzato un dominio di terzo livello su quello accademico, ma uno intestato ad un dipendente dell’Azienda ed hosting che non è identificabile con quello accademico/aziendale.

Il sito web in questione è chiaramente riconosciuto dall’Azienda essendo anche linkato nel sito aziendale.

E’ possibile notare come anche su questo sito dei 21 indirizzi e-mail solo OTTO siano di tipo aziendale. Un’abitudine che è troppo spesso frequente.

Conclusioni

Ci duole scrivere che sono indicizzati tanti e vari documenti, di qualsiasi natura, riguardanti l’Azienda, in cui i sanitari utilizzano QUALSIASI tipo di provider mail.

Non pochi documenti sono anche abbastanza “vecchi”, inutili per il pubblico utilizzo ed andrebbero “bonificati”, archiviati, così molte sezioni dei vari sottodomini. A tal proposito consigliamo di riconfigurare/rivedere i servizi Apache (e simili) disabilitando il listing delle directory.

In molte situazioni la buona pratica di utilizzare SOLO il provider di posta aziendale viene rispettato, questo si evince anche da sezioni/pagine del sito ufficiale e documenti pubblici, ma è una pratica che va estesa al 100% dei dipendenti.

Più in generale ci auguriamo che la comunicazione e la trasmissione dei dati sensibili dei pazienti sia uniformata per tutto il personale, garantendo ai dipendenti adeguata formazione e maturata consapevolezza che la sicurezza digitale dei dati dei pazienti.

Sarebbe importante contattare ogni singolo proprietario di indirizzo non aziendale e cercare di bonificare eventuali e-mail, dati e documenti relativi ai pazienti (per scongiurare eventuali problemi attuali e futuri), fornire (eventualmente non sia già stato fatto) ed obbligare gli stessi all’utilizzo esclusivo degli strumenti aziendali.

Potrebbe essere utile ai fini organizzativi suddividere il traffico delle comunicazioni scindendo o gestendo due servizi di posta uno strettamente accademico ([email protected]) ed uno strettamente ospedaliero su dominio di terzo livello (tipo [email protected], [email protected]) o un altro di secondo livello.

Ad onor di cronaca, purtroppo, queste situazioni, queste cattive abitudini, sono ben radicate in tante realtà aziendali sia private che pubbliche, ma questo non deve essere motivo per non prendere adeguati provvedimenti e cinturare al meglio la privacy degli utenti che, in quanto pazienti, può essere ancora più drammaticamente sensibile.

Ricordiamo che determinati servizi di messaggistica istantanea siano inadeguati ed inopportuni per scambiare dati sensibili come quelli sanitari, oltre alla problematica gestione materiale dei dispositivi su cui questi vengono utilizzati, nonostante questi servizi possano risultare di semplice utilizzo e praticità per i pazienti (oltre che per i dipendenti) anche in ambito di telemedicina. Qualora il personale sanitario ne faccia ingenuamente utilizzo, ne sconsigliamo vivamente l’utilizzo.

Siamo qui a chiederci anche se l’Azienda possa collaborare più strettamente con la propria HackAdemy universitaria nell’individuazione, segnalazione e miglioramento di tali ed altre eventuali criticità ed abitudini.

Come nostra consuetudine, lasciamo spazio ad una dichiarazione dell’azienda qualora voglia darci degli aggiornamenti su questa vicenda e saremo lieti di pubblicarla con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono accedere utilizzare la mail crittografata del whistleblower.

Giovanni Pollola
Il suo percorso accademico in Ingegneria Meccanica non è riuscito a tenerlo lontano dal mondo IT, abbandonato per scelta dopo alcune esperienze immature. La presa di coscienza, la passione per tutta la tecnologia ed suo hacking, la contezza delle loro implicazioni nel mondo reale lo riportano nel mondo IT. La consapevolizzazione delle persone comuni per le potenzialità dell'IT è il principale motivo di ricerca e divulgazione.