350 mila PaceMakers vulnerabili

Da pochi giorni è stata resa pubblica la notizia di gravi vulnerabilità presenti nel firmware di alcune tipologie di “pacemakers” (le dizioni corrette sono ICDs e CRT-Ds).

Sono state scoperte oltre ottomila vulnerabilità conosciute , il che rende bene l’idea di come sia stata verificata la sicurezza del firmware di questi  dispositivi medicali.

Quando la insicurezza diventa lo standard, e la sopravvivenza delle persone viene messa a rischio, occorre fare uno stop per interrogarsi; come vogliamo procedere, in futuro?
Compriamo un portafortuna e speriamo che capiti sempre a qualcun altro?

Buon compleanno, WEB

Oggi il world wide web compie 25 anni e voglio celebrare un grande uomo, Sir Tim Berners-Lee che con la sua incredibile intuizione, capacità e lungimiranza ha creato il web libero.

Io c’ero; si respirava l’aria frizzante dei grandi eventi, delle innovazioni che sconvolgono; ognuno dei pochi pionieri era consapevole dell’importanza del proprio ruolo, del proprio piccolo contributo.

C’era una volta, purtroppo; oggi tutto è cambiato; il web non è quasi più libero.

Non solo, è diventato un luogo distopico, traviante, falso, nel quale è difficile vedere rispettati gli elementari diritti umani; anzi, in tutte le occasioni possibili le persone sono sfruttate.

Quale sarà il futuro della rete? Nessuno lo sà; abbiamo constatato che il far west selvaggio non funziona, mentre governarne ogni singolo aspetto funzionerà?

Un banco di prova è costituito dalla introduzione della nuova regolamentazione GDPR; sono piuttosto scettico, Google, FaceBook & Company hanno già mostrato la loro strategia: prendere o lasciare.

Coloro che sono social network addicted lasceranno o prenderanno? Alcuni dicono già che il GDPR, per i grandi di internet, fallirà i propri scopi; anzi, qualcuno ne trarrà vantaggi.

Trojan colpisce device ospedalieri

Nuovo attacco informatico contro le strutture ospedaliere di tutto il mondo.

Un nuovo gruppo di hacker black hat ha portato una offensiva cybernetica su scala planetaria ai sistemi informatici degli ospedali.

L’attacco mirato è stato realizzato compromettendo dapprima sistemi di industrie fornitrici o produttrici di sistemi medicali, che sono stati successivamente usati come “cavallo di troia” per infiltrarsi nei sistemi informatici di dispositivi X-RAY , TAC e RM.

Come al solito la sicurezza informatica, anche in sistemi costosissimi e vitali, lascia alquanto a desiderare.

In Italia (per adesso) non si registrano casi; saremo più fortunati o ancora non si sono accorti?

Gmail ed il GDPR

Talvolta rilevo che una azienda privata utilizzi il servizio “gratuito” di Gmail per le proprie attività.

Ma come si inquadra detto utilizzo in relazione all’introduzione del Regolamento Europeo sulla Protezione dei Dati Personali 679/2016?

Intanto, rileviamo che il servizio gmail.com è basato su sistemi I.T. localizzabili attualmente in America (Mountain View, California); quindi quando si invia o riceve una e-mail usando Gmail, si configura un trasferimento di dati personali verso un paese extra-UE.

Questo determina diversi effetti, due dei quali sono:

  • occorre nominare Google responsabile del trattamento di tali dati personali;
  • occorre indicare, nelle informative aziendali, che i dati personali conferiti potranno essere trasferiti ad di fuori dello spazio comunitario e memorizzati nei sistemi informatici di Google.

Ognuno condurrà le proprie valutazioni su come si possa ottenere la nomina di Google quale responsabile del trattamento.

Inoltre, dato che nella versione gratuita di Gmail si ritiene che Google effettui procedure di “content extraction” (leggasi profilazione) non ritengo assolutamente aderente a svariati dettami del GDPR l’utilizzo di Gmail per il trattamento di dati personali, effettuato da un Titolare del Trattamento soggetto al Regolamento 679/2016.

Da ultimo, vorrei portare a riflettere i miei 4 casuali visitatori del blog sulla opportunità dell’utilizzo di un servizio riservato ad un uso personale per scopi invece professionali.

Svizzera e GDPR

Quando mancano esattamente 30 giorni all’applicazione del GDPR, la tensione stà aumentando.

Mi scrive un caro amico che lavora in Svizzera: “meno male che qui il GDPR non ha effetto”.

Caro amico, ma ne sei sicuro?

GDPR Art.3
 2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:
 a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
 b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.

Quindi quando un cittadino europeo è un cliente di una organizzazione svizzera, il GDPR ha applicazione; penso alle banche, ma anche ai semplici negozi che vendono agli europei, per non parlare degli e-commerce.

Poi c’è il settore turistico; un hotel che ha un sito che profila gli interessi e le preferenze di un europeo, anche se non è stato mai cliente, è soggetto? Certamente si.

E per quanto riguarda i dipendenti “frontalieri” di una società svizzera? Siamo assolutamente certi che il GDPR non abbia effetto?

Oltretutto, alcune organizzazioni dovranno nominare un DPO (esempio le banche, ma anche chi lavora nell’ambito sanitario e alla cura della persona, dettagli qui).

Comunque, in Svizzera stanno lavorando alla revisione della loro legge sulla protezione dei dati (LPD); a breve è attesa la attuazione.

In passato ho frequentato la Svizzera per motivi di studio, lavoro e turismo, e ne ho un bellissimo ricordo; quasi quasi verrei a farvi consulenza.

GDPR e scuola guida

Pervengono domande in merito agli adempimenti delle scuole guida rispetto al GDPR.

Tutte le scuole guida (ovviamente) trattano dati personali, in quanto vengono forniti dai clienti che frequentano i loro corsi per conseguire l’abilitazione di guida.

Talvolta questi dati sono di natura particolare (es. quando la persona ha una patologia o una inabilità); inoltre molte scuole guida effettuano al loro interno le famose visite del medico per il rinnovo delle patenti; questi sono dati personali sanitari.

Il GDPR impatta quindi in modo sistematico sulla intera organizzazione, che dovrà verificare la rispondenza degli attuali trattamenti di dati personali alla luce del nuovo regolamento europeo.