NEWSSICUREZZA DIGITALE

Pazienti in terapia ricattati dopo il furto dei loro dati sanitari

A maggio 2020 altri hacker avevano saccheggiato i sistemi del San Raffaele

E’ successo in Finlandia, ma non ci si può lasciare andare in un impietoso “meno male” o ad un cinico “fortunatamente”.

Una simile tragedia – che potrebbe accadere (e purtroppo accade) ovunque e quindi anche dalle nostre parti – è un segnale terribile che consacra negativamente la ridotta attenzione che si dedica alla riservatezza delle informazioni e l’infima priorità assegnata all’adozione di misure di sicurezza a tutela di procedure e archivi elettronici.

le conseguenze della non idoneità delle misure di sicurezza

Molti pazienti di una grande struttura clinica finlandese sono stati contattati personalmente da un estorsore entrato in possesso dei loro dati sanitari relativi a cartelle psicoterapeutiche.

E’ capitato in questi giorni a chi aveva fruito di cure ed altri servizi da Vastaamo, una delle più grandi realtà nel settore medico nella regione scandinava con una ventina di aree di intervento e migliaia e migliaia di “clienti”.

Vastaamo – subito chiamata in causa da chi è stato brutalmente ricattato – ha invitato i propri pazienti a rivolgersi alle forze di polizia per denunciare l’accaduto e ha spiegato di aver subito un furto di dati a novembre del 2018, episodio poi ripetutosi presumibilmente nella primavera successiva.

I dati sanitari sfruttati per l’azione estorsiva si profilerebbero di estrema criticità: non si limitano agli elementi di identificazione anagrafica (comunque pericolosamente riutilizzabili da chi intenda perpetrare un ben congegnato furto di identità) ma vanno ad includere il contenuto dell’intero fascicolo di chiunque sia stato visitato e sottoposto a terapia. La scheda di ciascuno era infatti corredata di tutti gli appunti presi nel corso delle visite e delle sedute terapeutiche. Non è quindi difficile immaginare quale delicatezza possa caratterizzare un simile contenuto che – finito nelle mani sbagliate – costituisce un grimaldello per scardinare la già fragile situazione in cui versa chi si era rivolto a Vastaamo per superare le proprie difficoltà e per curare il proprio disagio.

l’ammissione di colpa

Il Centro di Psicoterapia Vastaamo ha recitato un solenne mea culpa pubblicando un comunicato stampa sul proprio sito in cui ha cercato di far luce sul devastante episodio di “hacking”.

Vastaamo palesa di brancolare nel buio e dichiara che “non è stato possibile ottenere la piena certezza sullo svolgimento dell’indagine”. Riesce solo a precisare che “è ovvio che ci sono state carenze nella sicurezza di Vastamo che hanno consentito ai criminali di entrare nel database prima della metà di marzo 2019”.

Certamente non consola chi adesso viene ricattato il poter leggere “Siamo profondamente dispiaciuti per quello che è successo e per conto dei nostri clienti che sono stati compromessi. Ci scusiamo per le carenze nella sicurezza dei dati, le cui conseguenze e il cui costo umano sono diventati estremamente pesanti”.

Il Consiglio di Amministrazione senza esitazione ha ammesso testualmente che “c’è stata una mancanza di protezione nel sistema informativo dei clienti della corrispondenza, a cui i criminali hanno avuto accesso in quel momento. E, come è ovvio che sia, ha licenziato in tronco l’amministratore delegato Ville Tapio ritenuto perfettamente a conoscenza delle vulnerabilità delle protezioni a difesa dei sistemi informatici di Vastaamo e ovviamente al corrente delle avvenute violazioni compiute dai pirati informatici.

ma al San Raffaele di Milano invece cosa è successo?

Viene in mente che a maggio scorso il San Raffaele è stato bersaglio di analoga incursione. Gli stessi pirati avevano dato l’annuncio su Twitter e nessuno mostrò particolare apprensione.

Viene legittimamente da chiedersi se – tra due anni – qualcuno sfrutterà le informazioni sgraffignate. Quasi i dati fossero litri di buon vino e gli hacker sopraffini sommelier, dopo un minimo invecchiamento in qualche barrique digitale potrebbe saltar fuori qualcuno pronto a mescere dettagli sanitari la cui diffusione certo non è auspicabile.

Il San Raffaele ha sempre detto che la situazione era ed è sotto controllo, Anonymous e LulzSec – invece – si sarebbero mostrati di diverso avviso.

Cosa ha scoperto il Garante della privacy nel frattempo?

Tags
Back to top button
Close
Close