skip to Main Content

Covid-19

Data breach San Raffaele di Milano, che cosa è successo (anche a Burioni)

Tutti i dettagli sul data breach all'Ospedale San Raffaele di Milano. On line anche i dati del virologo Roberto Burioni. L'articolo di Umberto Rapetto per Infosec

La notizia arriva da un tweet. Potrebbe sembrare poca roba.

Il tweet è accompagnato da una immagine eloquente, uno “screenshot” che testimonierebbe la fondatezza della provocazione sui social da parte del gruppo di pirati informatici italiani “LulzSec”.

https://twitter.com/LulzSec_ITA/status/1263116071197958144

C’è stato davvero un data breach? E se sì, quali dati sono finiti nelle mani dei malintenzionati che hanno by-passato le misure di sicurezza che avrebbero dovuto rendere inaccessibili gli archivi elettronici della struttura sanitaria?

Il San Raffaele – come ogni altra realtà del settore sanitario – custodisce informazioni sensibili inerenti la salute di chi è stato sottoposto a visita, è stato ricoverato, ha subìto interventi chirurgici…

Se veramente c’è stata una violazione dei dati, oltre all’esecuzione della comunicazione all’Autorità Garante è obbligatorio anche il tempestivo allertamento dei soggetti cui le informazioni fuoriuscite si riferiscono. Anche qui i tempi sono fissati dalle fatidiche 72 ore che scattano dal momento in cui ci si è resi conto dell’avvenuto disastro che – lasciando presumere l’inidoneità delle cautele adottate a tutela della riservatezza – è destinato ad avere conseguenze penali e civili catastrofiche.

Se i briganti del gruppo “LulzSec” non hanno detto una bugia, per quale motivo non ha funzionato la macchina della sicurezza cibernetica nazionale?

Se l’annuncio risponde al vero, dove erano e cosa hanno fatto gli specialisti dello CSIRT ossia del “Computer Security Incident Response Team” istituito presso il Dipartimento delle informazioni per la Sicurezza (DIS) della Presidenza del Consiglio dei Ministri?

Non è forse compito loro “ottimizzare l’efficacia della prevenzione e della risposta del Paese a fronte di eventi di natura cibernetica a danno di soggetti pubblici e privati”.

Quando ci si accorgerà che la sicurezza informatica non è una vetrina per esibirsi o uno dei tanti temi congressuali per perdere tempo in chiacchiere?

Se il San Raffaele è davvero stato “bucato” a quali dei tanti supertecnici in giacca, cravatta e slide dobbiamo dire grazie?

(Estratto di un articolo pubblicato su Infosec; qui la versione integrale)

 

Back To Top