Ci risiamo, anzi stavolta la situazione appare molto più tragica.
Lo scorso dicembre ad Erba, in Lombardia, vi fu uno dei più importanti data breach mai effettuato nei confronti di strutture ospedaliere, con oltre 30mila radiografie scomparse: un ransomware diffuso via email criptò i dati dei pazienti impedendo al nosocomio di erogare le prestazioni di routine e ricorrendo alle procedure manuali per tutti gli interventi improrogabili, in attesa che fosse rimessa in piedi l’infrastruttura di rete.
Questa volta, dopo due mesi, un nuovo, e ben più grave, caso di attacco hacker in campo sanitario. Dopo l’Italia, stavolta è toccato ai cugini transalpini.
Alcuni giorni fa i ricercatori Noam Rotem e Ran Locar del team di VPN Mentor hanno scoperto un database di circa 900mila dati, contenente foto e video di pazienti sottoposti a chirurgia estetica.
Video total body, pre e post intervento, fotografie, anche di genitali, e fatture delle prestazioni con i dettagli ed i costi sostenuti dai clienti alla mercé di chiunque fosse stato a conoscenza dell’indirizzo IP per poter accedere ai database della società francese NextMotion, una realtà di riferimento nel settore, che si vanta sul proprio sito di avere come clienti oltre 170 cliniche in 35 paesi del globo.
La falla nel cloud della società è stata prontamente riparata e l’azienda ha smentito fossero dati sensibili, catalogandolo come “incidente minore”, ma si pensa siano solo frasi di circostanza. Secondo vpnMonitor molte delle immagini mostrano i volti dei pazienti, alcune delle fatture descrivono in dettaglio i tipi di procedure che i pazienti hanno ricevuto, come la rimozione delle cicatrici da acne e l’addominoplastica, i nomi dei pazienti e altre informazioni identificative.
Il sito web di NextMotion assicura di fornire un “cloud medico sicuro”, in conformità alle più importanti leggi sulla sicurezza dei dati, tra cui il Health Insurance Portability and Accountability Act (HIPAA) degli Stati Uniti e il General Data Protection Regulation (GDPR) dell’Unione Europea nonché le certificazioni sulla sicurezza delle informazioni Iso 27001.
Questo data breach rappresenta soltanto l’ultima esposizione, in ordine cronologico, di dati provenienti da un database cloud non protetto, un problema globale che riguarda una moltitudine di informazioni sensibili non adeguatamente controllate. Come confidato dai due informatici, lo stato della protezione della privacy, soprattutto nell’assistenza sanitaria, è davvero deplorevole. Il problema riguarda innumerevoli banche dati, poiché le aziende trasferiscono le informazioni sensibili dei loro clienti nel cloud senza l’adozione di adeguati protocolli di privacy, magari puntando ai servizi più economici invece che a quelli più sicuri.
Occorre ricordarsi che, come dice un vecchio detto “chi più spende, meno spende”.
