Trojan colpisce device ospedalieri

Nuovo attacco informatico contro le strutture ospedaliere di tutto il mondo.

Un nuovo gruppo di hacker black hat ha portato una offensiva cybernetica su scala planetaria ai sistemi informatici degli ospedali.

L’attacco mirato è stato realizzato compromettendo dapprima sistemi di industrie fornitrici o produttrici di sistemi medicali, che sono stati successivamente usati come “cavallo di troia” per infiltrarsi nei sistemi informatici di dispositivi X-RAY , TAC e RM.

Come al solito la sicurezza informatica, anche in sistemi costosissimi e vitali, lascia alquanto a desiderare.

In Italia (per adesso) non si registrano casi; saremo più fortunati o ancora non si sono accorti?

Studi medici e DPO

Domanda: uno studio medico deve nominare un DPO?

Aggiornamento
Il Direttore FNOMCeO De Pascale ha chiarito che uno studio medico associato ha l’onere di nominare il D.P.O., qualora sussista “una forma complessa di aggregazione, soprattutto di natura contrattuale, come reti o gruppi”.

Tale obbligo non sussiste (attualmente) per i singoli medici che lavorano in uno studio medico.

Occorre quindi valutare il tipo di struttura, ma sopratutto le architetture di trattamento dei dati personali ed i relativi flussi informativi.

Ancora truffe informatiche

Ecco una altra notizia che conferma la necessità del nuovo GDPR (e l’applicazione delle misure di sicurezza).
Evidenzio una parte della notizia (tralasciando il linguaggio poco tecnico):

... a quanto sembra, le credenziali per entrare nel suo computer e poi nella sua posta elettronica, tra l'altro, non sono state "prese" attraverso un virus inviato via email, ma dopo essere riusciti ad "intrufolarsi" nella rete Wifi del suo negozio di autovetture ed aver inserito sul PC un trojan per manipolare il programma email e cambiare gli Iban ...

Trattasi di caso esemplare, riguardante un grave Data Breach, causato dalla mancanza dei corretti livelli di sicurezza (della rete wifi ma anche del PC compromesso).

Comunque, le banche debbono fare di più per garantire la sicurezza dei loro correntisti, e quindi dell’intero sistema bancario; talvolta occorrono solo volontà di fare e qualche risorsa.

Data Breach

Una delle novità più rilevanti introdotte dal nuovo regolamento UE 2019/679 è senza dubbio la norma riguardante il Data Breach (violazione di dati personali).

Per alcuni settori la normativa riguardante il Data Breach non è una novità; per tutti gli altri un complesso adempimento da adottare entro il prossimo 25 maggio.

Quasi tutti sanno cosa sia un Data Breach, e gli adempimenti da fare nella eventualità che accada (non si tratta di se ma di quando).

Pochi sanno come fare per rilevare il Data Breach nelle infrastrutture I.T. aziendali, che sono sempre più complesse e distribuite; occorrerà predisporre una architettura di controllo ed avviso, che potrà essere passiva oppure reattiva (meglio), centralizzata o distribuita sui vari assets da monitorare.

Abbiamo la competenza e l’esperienza di varie infrastrutture di monitoring/alerting dedicate alla rilevazione ma anche alla mitigazione di cyber attacchi, realizzate sia con componenti commerciali che software open-source; in questo ultimo caso il costo è abbastanza limitato.

Perché è necessario il GDPR in Europa

Lo scandalo colossale relativo alla raccolta illegale di dati personali ad opera di  Cambridge Analytica è emblematico di come sia necessaria una regolamentazione globale per proteggere i dati personali da violazioni ed abusi, specialmente ad opera dei BIG-DATA; il GDPR è un primo passo.

Le persone forniscono ai social informazioni personali, gusti, preferenze, frequentazioni, amicizie, orientamenti sessuali, politici, stati di salute … in pratica la loro intera esistenza, a titolo gratuito. Accettano tutti i disclaimer senza leggere. Vengono profilati con algoritmi da “Grande Fratello” al limite della legalità, anche quando sono collegati con account diversi. 270mila americani hanno scaricato una app (thisisyourdigitallife) e per 1 misero dollaro hanno esposto tutto l’albero dei loro contatti alla acquisizione illegale.

Oggi i social network assomigliano ad un immenso campo di battaglia, dove le persone sono i bersagli e talvolta anche i soldati, forzati tramite campagne pubblicitarie personalizzate verso lo schieramento giusto.

Oggi i vari Governi Nazionali ed i relativi Garanti Privacy si stracciano le vesti; vediamo se tra qualche mese lo scandalo sara finito in una bolla di sapone; qualcuno dice che dopo il 25 maggio cambierà qualcosa; dovremmo sperarlo, per tutti noi ma sopratutto per i nostri figli. Nel frattempo, #deletefacebook.

P.S. ritengo che quanto emerso sino ad oggi, relativo al datagate Cambridge Analytica, sia solo la parte visibile dell’iceberg.