• 051 757040
  • info@protezione-dati.eu

Category ArchiveUncategorized

Esami medici, in Italia dati online in chiaro di quasi 6 milioni di pazienti

Greenbone Networks, una società tedesca che si occupa di sicurezza informatica, ha analizzato tra luglio e settembre scorso le misure di sicurezza di 2.300 database medici di tutto il mondo, scoprendo che 590, quindi quasi uno su quattro, sono in chiaro e completamente esposti online. Nel complesso parliamo di ben 24 milioni di dati relativi a pazienti di 52 Paesi diversi e, tra questi, indovinate un po’ chi spicca negativamente in Europa? Esatto, l’Italia. Secondo Greenbone infatti nel nostro Paese sarebbero oltre 5,8 milioni le radiografie incustodite online, tra l’altro salvate assieme a dati fortemente sensibili come nome e cognome del paziente, motivo dell’esame etc. Una situazione di assoluta gravità, tanto da spingere il Garante per la privacy ad avviare un’indagine.

Ma se in Italia con 102.893 data set esposti non ce la passiamo bene, nel mondo ci sono diverse altre nazioni che mostrano scarsa attenzione a questi dati. Restando alla sola Europa infatti la Francia con 5,3 milioni di esami in chiaro non è messa molto meglio di noi, mentre la Repubblica Ceca consente accesso libero a ben 97mila database medici. Male anche Stati Uniti (13, 7 milioni di database), Turchia (4,9 milioni) e Sudafrica (2,3 milioni).

Il problema a quanto pare risiederebbe nei PACS, i sistemi di archiviazione utilizzati solitamente da ospedali e ambulatori per salvare le cartelle cliniche dei pazienti e renderle disponibili in formato digitale per la consultazione da parte di altri medici e basati su protocollo DICOM (Digital Imaging and Communications in Medicine). “Che i server PACS siano vulnerabili agli attacchi o comunque accessibili non è una novità” scrive Greenbone nella sua ricerca “ma nessuna ricerca ha cercato di verificare l’ampiezza e la profondità del problema. […] Questa esposizione di dati a livello globale riguarda tanto le regole di protezione dei dati in Europa (GDPR) che le norme statunitensi (HIPAA), oltre a tutta una serie di regolamentazioni di altri Paesi”.

Non è un problema da poco. Secondo Greenbone infatti questo genere di dati sarebbe facilmente commerciabile sul cosiddetto dark web e, benché ogni singolo data set avrebbe un valore relativamente scarso, pari a circa 50 dollari, globalmente il loro traffico potrebbe generare ricavi per 1,2 miliardi di dollari. Il Governo italiano in carica fortunatamente ha avviato le procedure per stabilire chi è dentro il cosiddetto “perimetro cibernetico nazionale” che imporrà tutta una serie di nuove linee guida a enti pubblici e aziende private in modo da garantire nuovi strumenti di difesa e best practice contro eventuali attacchi informatici. Alla luce di queste ultime scoperte però anche un iter di un anno sembra forse eccessivamente lungo.

Gli incidenti informatici? Per metà causati dai dipendenti

Nonostante la persistente crescita dell’automatizzazione, il fattore umano è ancora in grado di mettere a repentaglio i processi industriali.

Secondo un report di Kaspersky Lab, lo scorso anno gli errori o le azioni accidentali da parte dei dipendenti sono stati la causa del 52% degli incidenti che hanno interessato i sistemi Operational Technology e le reti dei sistemi di controllo industriale (OT/ICS).

Nel nuovo “State of Industrial Cybersecurity 2019”, questa problematica è parte di un contesto ben più ampio e articolato. Infrastrutture industriali sempre più complesse richiedono protezione e competenze all’avanguardia.

Anche in presenza di tali tendenze, le aziende si trovano di fronte alla mancanza di professionisti in grado di gestire le nuove cyberminacce e alla scarsa preparazione da parte dei propri dipendenti.

Nel 2019, l’ARC Advisory Group, per conto di Kaspersky, ha condotto un sondaggio sullo stato della cybersicurezza dei sistemi di controllo industriale (ICS), nonché sulle priorità, le preoccupazioni e le sfide che ciò comporta per tali organizzazioni.

Ebbene, lo studio aiuta a comprendere le misure e i processi coinvolti nella prevenzione di incidenti informatici in infrastrutture critiche e imprese. 282 aziende e organizzazioni in tutto il mondo sono state intervistate, insieme a 20 rappresentanti del settore.

Si evince che sul podio delle preoccupazioni per i manager, in seguito a un incidente, ci sono il danneggiamento della reputazione, il danno fisico o addirittura la morte, la rottura di infrastrutture e dell’hardware.

Quali le priorità per risolvere tale trend? Dedicare un budget di cybersecurity alle OT/ICS, incrementare gli sforzi economici per le operazioni di difesa.

Ovviamente Kasperksy Lab può aiutare in tale percorso di adozione, con il suo know-how in materia di difesa aziendale, con una serie di piattaforme pensate appositamente per proteggere i network e i perimetri industriali.

Falla nel sistema biometrico, a rischio oltre 1 milione di impronte digitali

Una gravissima falla ha esposto le impronte digitali di più di 1 milione di persone, nonché le password non crittografate, informazioni sul riconoscimento facciale e altri dati personali. A fare la scoperta su Biostar 2, un sistema di biometria estremamente diffuso, adottato da moltissime banche, ma anche dalla polizia britannica e da altre aziende private del settore della sicurezza., sono stati due ricercatori di sicurezza israeliani di vpmentor, ‎ Noam Rotem e Ran Locar.

Il sistema, sviluppato dall’azienda di sicurezza Suprema,‎ utilizza ‎‎le impronte digitali‎‎ e la tecnologia di riconoscimento facciale per consentire alle persone l’accesso a determinati edifici. Lo scorso mese la piattaforma è stata integrata in un altro sistema di accesso, AEOS, utilizzato da 5.700 organizzazioni in 83 Paesi.

‎I due ricercatori israeliani si sono imbattuti nella falla durante una scansione di rete ordinaria condotta la scorsa settimana. In questo modo si sono accorti che il database di Biostar 2 era pubblicamente disponibile e che manipolando URL e criteri di ricerca erano in grado di accedere a quasi 28 milioni di record, per un totale di 23 GB di dati, comprese le impronte digitali, ‎‎i dati di riconoscimento facciale, password e altre informazioni sensibili.

A quanto dichiarato da Rotem al The Guardian, ‎la falla consentirebbe di modificare dati e aggiungere nuovi utenti, che avrebbero il permesso di aggiungere la propria impronta digitale al sistema di controllo degli accessi di qualsiasi struttura faccia uso di Biostar 2.

Secondo quanto affermato dai due esperti di sicurezza, la cosa più grave non è la vastità del database e la quantità di dati esposti, ma la natura stessa dei dati, che avrà certamente conseguenze negative in futuro, in quanto se un utente può cambiare una password non può ovviamente possibile sostituire le proprie impronte digitali. ‎

‎Secondo la ricostruzione proposta dai due ricercatori il team ha anche fatto numerosi tentativi per entrare in contatto con Suprema prima di prendere la decisione di divulgare tutto attraverso la stampa, senza mai ottenere risposta. Tuttavia, il responsabile marketing di Suprema, Andy Ahn, ha dichiarato al Guardian che la società nel frattempo ha già corretto la vulnerabilità procedendo a una “valutazione approfondita” della ricerca di vpnmentor, e renderà noto al più presto la presenza di eventuali minacce per i propri clienti.‎

Fonte: The Guardian

Crittografia Omomorfica

La soluzione ai problemi di privacy del mondo potrebbe chiamarsi crittografia omomorfica, una soluzione che per anni è stata fuori portata per via del fatto che erano necessari computer troppo potenti ma che oggi, grazie proprio al continuo miglioramento dell’hardware, comincia a sembrare una via praticabile. E incidentalmente permetterebbe a decine di migliaia, tra aziende private ed enti pubblici, di rispettare le leggi senza mal di testa.

L’idea nasce alla fine degli anni settanta ed è riassunta in un documento firmato da Ron Rivest, Len Adleman, Michael Dertouzos. Vi si descrive un metodo per effettuare calcoli su dati crittografati in origine: a un sistema vengono forniti due valori protetti da crittografia, e ne risulterà un dato anch’esso protetto. Le chiavi di decrittazione sono necessarie solo all’inizio e alla fine del progetto, perché il sistema di calcolo può eseguire il lavoro anche senza conoscerle.

L’implicazione di questo approccio è una tutela assoluta dell’informazione. Diciamo che un ospedale deve elaborare i dati di molti pazienti per estrapolarne valori statistici, e per farlo vuole affidarsi a una società specializzata. Farlo nel pieno rispetto del GDPR, il regolamento europeo per la tutela dei dati personali, è piuttosto difficile. Con la crittografia omomorfica invece sarebbe semplice, perché il consulente non potrebbe vedere i dati, ma potrebbe comunque applicare i suoi algoritmi e generare un risultato. E non servirebbe far firmare il consenso a migliaia di persone.

Alla luce dei nuovi regolamenti, quelli approvati e quelli in fase di approvazione, per un’azienda è praticamente il Santo Graal del trattamento dati. Inoltre la crittografia omomorfica potrebbe anche rendere più solida la sicurezza di Facebook, Google o simili: perché potrebbero concedere l’uso di dati ai propri clienti (non siamo noi i clienti) senza temere abusi. E poi ci sono le migliaia di violazioni informatiche, a cui si potrebbe rispondere in modo efficace con la crittografia omomorfica.

Già, ma allora perché non l’abbiamo già messa in pratica? Semplicemente perché questo tipo di calcolo è decine di migliaia di volte più lento rispetto al calcolo su dati non crittografati. Troppo, ma comunque ci sono stati passi avanti, visto che all’inizio la differenza era nell’ordine delle migliaia di miliardi. Tra il miglioramento degli algoritmi e l’aumentare della potenza hardware, quindi, diciamo che nell’arco di qualche anno forse “si potrebbe fare”.

C’è però un altro ostacolo da superare: affinché sia possibile usare la crittografia omomorfica è necessario cambiare alla radice il modo in cui si manipolano i dati. È necessario sapere in anticipo quali operazioni andranno eseguite sul dato crittografato, affinché questo sistema si possa applicare. Questo metodo richiede dunque una grande prevedibilità sulle azioni, un criterio che ad oggi la maggior parte delle aziende non può soddisfare.

Siamo quindi ancora piuttosto lontani da una vera applicazione di questo approccio, tuttavia le norme sempre più restrittive sull’uso dei dati, e la sempre crescente richiesta di sicurezza, stanno cominciando a far sembrare la crittografia omomorfica un’opzione interessante. Contro gli enormi costi di sviluppo e implementazione, infatti, ci sono quelli per le sanzioni e il possibile blocco delle attività per cause legali.

Informativa Privacy: ecco come redigerla

L'informativa è adempimento obbligatorio e fondamentale per il trattamento dei dati personali.

E' dunque importante avere consapevolezza delle differenze tra informativa ex art. 13 del Codice della privacy (Dlgs. 196/2003, d'ora in poi “TU”, vigente e applicabile) e informativa che dovrà essere resa ai sensi degli artt. 13 e 14 del GDPR - Regolamento UE 2016/679 (d'ora in poi “GDPR”, già vigente ma applicabile dal 25 maggio 2018).

Lo scopo del presente contributo, realizzato in forma di check list, è quello di agevolare il corretto adempimento di questo obbligo prima della ovvero a partire dalla data-spartiacque del 25 maggio 2018: sono redatte due distinte check list, allineate in tabella per consentire gli opportuni raffronti ed evidenziare le differenze.

La redazione delle informative può procedere, così, gradualmente e ordinatamente.

Nulla esclude, peraltro, che i titolari del trattamento già inseriscano nelle proprie informative i contenuti richiesti, in aggiunta, dal GDPR - Regolamento 2016/679 (per scoprire le novità del Regolamento puoi leggere anche l'eBook GDPR: il nuovo regolamento europeo sulla Privacy di Paolo Marini).

(Altalex, 30 aprile 2018. Articolo di Paolo Marini)

http://www.altalex.com/documents/news/2016/10/25/informativa-privacy-e-regolamento-europeo