Stefano Gazzella : 9 Gennaio 2024 07:28
Le notizie riguardanti esfiltrazioni di dati sanitari sono purtroppo fin troppo ricorrenti. Eppure, apparentemente, l’unico allarme diffuso è quello degli esperti di privacy e information security in quanto per il resto c’è un assordante silenzio a riguardo. Anche mediatico. Tant’è che ci è stata segnalata in redazione proprio l’esigenza di voler approfondire tale aspetto.
Tutto questo rientra forse nel profondo vulnus culturale della privacy, di cui tanto si parla ma che non prevede cura al di fuori di proclami di buoni – anzi: ottimi – intenti? Insomma: il dato sanitario rientra emblematicamente all’interno del novero di quei dati sensibili per cui è prevista una particolare esigenza di protezione. Già presente nella normativa della Direttiva 95/46/CE e mantenuto nel sistema del GDPR fra le particolari categorie di dati.
Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. (considerando n. 51 GDPR)
FINO AL 31 DICEMBRE, sconti estremi sui corsi Red Hot Cyber
Affrettati!
Fino al 31 dicembre potrai acquistare a prezzi scontati i nostri corsi cliccando sui seguenti coupon:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Ma se quella meritevolezza di tutela resta solo all’interno del dettato normativo, ecco che tutto è destinato assumere sul piano operativo e sostanziale le ombre del peggiore antagonista rispetto alla protezione: l’indifferenza. E se l’interessato recede proprio sulla difesa dei propri diritti, gli scenari sono tutt’altro che rassicuranti. Sotto scroscianti applausi per chi ha voluto rappresentare la privacy come burocrazia. E con demerito anche di chi ha voluto fare della privacy una burocrazia – o paper compliance – in nome di un business model piuttosto spregiudicato.
Non di solo phishing vive il rischio, ma di ogni impiego illecito dell’informazione che sia stata esfiltrata o che sia deducibile in seguito alla violazione.
Vero: il phishing rappresenta il rischio più evidente e segnalato nelle comunicazioni relative a un data breach. Purtroppo, talvolta viene fatto in modo fin troppo generico per poter consentire all’interessato di tutelarsi in maniera autonoma ed efficace. Inoltre, esiste un ampio mondo di rischi annoverabili ben oltre il phishing o i tentativi di frode. Ma esploriamo cosa è possibile fare quando un cybercriminale entra in possesso di alcuni dei nostri dati sanitari. Soprattutto per l’ingegnerizzazione di un attacco che punti a far scaricare un file malevolo.
Buongiorno sig./sig.a […], l’esito della visita/esami presso […] è ora disponibile, si prega di scaricare l’allegato in oggetto.
Attenzione: la presente email è stata generata automaticamente dal sistema di […] e dunque escluderà in automatico ogni risposta alla stessa. I contatti per ricevere maggiori informazioni sono all’interno del file allegato.
Ecco dunque come semplicemente avendo nominativo, dato di contatto e Ospedale (o centro medico) presso cui sono state svolte delle prestazioni sanitarie è possibile già ingegnerizzare un attacco di phishing a bassissimo costo. E già questo è un rischio più consistente se l’attacco viene diretto su una larga scala di interessati per cui è possibile una migliore opera di profilazione, individuando ad esempio informazioni relative all’esame o alla visita effettuati. In questo caso l’effetto sarà conferire una maggiore affidabilità alla comunicazione e dunque indurre l’interessato ad aprire l’allegato malevolo.
Un ulteriore esempio può essere fornito invece dalla richiesta di informazioni e di un pagamento, come ad esempio:
Buongiorno sig./sig.a […], il pagamento delle prestazioni presso […] risulta irregolare. Si prega di rettificare inserendo i propri dati al link […].
In questo caso la richiesta può consistere tanto nel conferimento di ulteriori dati, quanto nell’esecuzione di un pagamento sfruttando la leva di evitare ulteriori aggravi di costi. Anche in questo caso, maggiori informazioni sono deducibili circa la prestazione maggiore sarà l’efficacia dell’attacco in quanto impattante sull’attendibilità della comunicazione.
Ma non c’è solo il phishing. Esiste anche l’estorsione, il ricatto, o la molestia. Le fattispecie criminali che possono fare riferimento ai dati sanitari si giovano di una posizione emblematicamente vulnerabile dell’interessato e della sua volontà di non voler vedere divulgati i propri dati sanitari. Alcune malattie possono richiamare forti imbarazzi sociali (così è nelle sessualmente trasmissibili, ad esempio), ma anche aumentare i costi assicurativi o addirittura impedire l’accesso a determinate coperture, volendo fare i due esempi di maggiore impatto.
Diventa quindi necessario porsi una domanda: come mai questa insostenibile leggerezza circa le sorti dei dati sanitari, nel momento che gli stessi vengono compromessi da un attacco informatico? Leggerezza che – repetita iuvant – si può riscontrare a più livelli: istituzionale, mediatico, vulgata.
Se a livello istituzionale si può comprendere la volontà di allontanare ogni responsabilità da ruoli dirigenziali o politici, molto meno si comprende come mai questa leggerezza riguardi il mondo mediatico che dovrebbe (il condizionale è d’obbligo) rappresentare il cane da guardia della democrazia. Cane che forse è stato fin troppo ben addestrato e riempito di premi per fare alcuni esercizi a comando? Chissà.
Quel che è certo è che la vulgata ancora pensa che siano dati la cui compromissione non può causare alcun problema. E così forse è e sarà, almeno fintanto che qualcuno non ne verrà colpito. Perché il problema non è che non se ne parla abbastanza, ma che se ne parla fin troppo indignandosi nelle bolle social di “esperti” di privacy o information security, e per nulla al di fuori.
E forse la colpa è un po’ anche di chi si parla troppo addosso e ben poco divulga. Anche perché non si diventa divulgatori aggiornandosi un immaginifico job title su LinkedIn, ma facendolo in modo efficace. O scegliendo di tacere se non si è in grado. Ma quel bel tacer che non fu mai scritto, men che meno sembra trovare una propria ragion d’essere sui new media. Purtroppo.
Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009