SICUREZZA DIGITALE

I dati dell’Ospedale “San Raffaele” di Milano rubati dagli hacker?

La notizia arriva da un tweet. Potrebbe sembrare poca roba.

Il tweet è accompagnato da una immagine eloquente, uno “screenshot” che testimonierebbe la fondatezza della provocazione sui social da parte del gruppo di pirati informatici italiani “LulzSec”.

“Tanta roba” direbbero in Toscana.

Il “cinguettio” non si presta ad interpretazioni e suona fin troppo chiaro.

Beh che dire.. @SanRaffaeleMI, avete comunicato al Garante il #databreach di due mesi fa? Visto che avete già chiuso tutte le vulnerabilità.. anche se troppo tardi”.

Il messaggio è esplicito e, se risponde al vero, il nosocomio sarebbe stato oggetto di una grave violazione informatica (“data breach”, ovvero una breccia nella struttura perimetrale di protezione dei dati) che avrebbe avuto luogo nel mese di marzo. Gli hacker chiedono con tono sarcastico se i manager del San Raffaele hanno provveduto a fare la prevista comunicazione al Garante per la Protezione dei dati personali, che – secondo il Regolamento Europeo 679/2016 (o GDPR che dir si voglia) – deve essere effettuata entro le 72 ore dalla constatazione dell’incidente per non incorrere in pesanti sanzioni.

Il testo si chiude con la linguaccia degli emoticons ante litteram (le faccine realizzate con i semplici caratteri ASCII) che si “scrive” con i due punti e la lettera D maiuscola…

L’hashtag #StayTuned – che invita il pubblico a restare sintonizzato – lascia intendere che a breve ci saranno rivelazioni su quanto sarebbe accaduto.

A questo punto è legittimo porsi alcune domande d’obbligo.

C’è stato davvero un data breach? E se sì, quali dati sono finiti nelle mani dei malintenzionati che hanno by-passato le misure di sicurezza che avrebbero dovuto rendere inaccessibili gli archivi elettronici della struttura sanitaria?

Il San Raffaele – come ogni altra realtà del settore sanitario – custodisce informazioni sensibili inerenti la salute di chi è stato sottoposto a visita, è stato ricoverato, ha subìto interventi chirurgici…

Se veramente c’è stata una violazione dei dati, oltre all’esecuzione della comunicazione all’Autorità Garante è obbligatorio anche il tempestivo allertamento dei soggetti cui le informazioni fuoriuscite si riferiscono. Anche qui i tempi sono fissati dalle fatidiche 72 ore che scattano dal momento in cui ci si è resi conto dell’avvenuto disastro che – lasciando presumere l’inidoneità delle cautele adottate a tutela della riservatezza – è destinato ad avere conseguenze penali e civili catastrofiche.

Se i briganti del gruppo “LulzSec” non hanno detto una bugia, per quale motivo non ha funzionato la macchina della sicurezza cibernetica nazionale?

Se l’annuncio risponde al vero, dove erano e cosa hanno fatto gli specialisti dello CSIRT ossia del “Computer Security Incident Response Team” istituito presso il Dipartimento delle informazioni per la Sicurezza (DIS) della Presidenza del Consiglio dei Ministri? Come già ci è toccato in sorte di spiegare già qualche giorno fa, non è forse compito loro “ottimizzare l’efficacia della prevenzione e della risposta del Paese a fronte di eventi di natura cibernetica a danno di soggetti pubblici e privati”.

Quando ci si accorgerà che la sicurezza informatica non è una vetrina per esibirsi o uno dei tanti temi congressuali per perdere tempo in chiacchiere? Adesso che i convegni aperti al pubblico non si possono fare per evitare assembramenti, invece di fare inutili webinar in cui cercare tristemente di soddisfare il proprio ego mortificato dal distanziamento sociale, perché gli addetti ai lavori e le tante autoreferenziali associazioni dei security manager non pensano di mettersi a lavorare per evitare disastri epocali come potrebbe essere quello vantato da “LulzSec”? Se il San Raffaele è davvero stato “bucato” a quali dei tanti supertecnici in giacca, cravatta e slide dobbiamo dire grazie?

Forse è venuto il momento di congratularsi reciprocamente di meno e di rimboccarsi le maniche. Come a poker, qualcuno ha detto “vedo” e tocca mostrare le carte…

Tags
Back to top button
Close
Close