Lo scandalo del presunto data breach all’ospedale San Raffaele – sbandierato da hacker, negato dagli interessati – è un giallo tutt’altro che risolto.
Ne sapremo di più probabilmente con eventuali indagini del Garante Privacy, un po’ come con il data breach Inps, l’altro grande incidente di cyber security che ha caratterizzato istituzioni italiane durante la pandemia.
Si possono però già fare alcune considerazioni sul caso San Raffaele. Imparare qualcosa.
Indice degli argomenti
Databreach San Raffaele, le falle aperte
Tutto nasce da qui, da questo screenshot collegato ad un account Twitter, appena più sotto il tweet
C’è, ovviamente, un tono ironico (e come dargli torto?) nel tweet di LulzSec, gruppo di hacker italiani noto alle cronache per scorribande di vario genere e in tempi recenti protagonista di una plateale campagna di smascheramento di pedofili che scambiavano materiale di pornografia infantile tramite canali Telegram. Perché? Perché chiede se i tecnici avevano “chiuso” tutti i “buchi” di sicurezza di sistema, rilevati due mesi prima, di una delle perle nel panorama ospedaliero italiano. Ma, e lo screenshot è eloquente, le falle non sono state ben chiuse.
Ovviamente, non ci è dato sapere come gli hacker in questione abbiano fatto ad entrare; forse hanno fatto “enumeration”, ovvero elencato gli oggetti della rete interna e quale vulnerabilità sia stata sfruttata per fare “escalation”, ovvero, partendo da un account utente normale, siano riusciti a prendere possesso del sistema. Fatto sta che ci sono riusciti. O così pare. Sempre se non si voglia – a dispetto delle apparenze – credere alle dichiarazioni dell’ospedale, secondo cui nessun dato personale è stato colpito e quindi non era necessario fare la notifica ex Gdpr.
Nonostante questa poca chiarezza di fondo, una qualche lezione dalla vicenda è possibile già trarla.
Il problema di fondo della cyber
Negli anni ’80 e ’90 era piuttosto facile controllare la sicurezza di un perimetro aziendale, perché il perimetro corrispondeva all’azienda stessa. Poi sono nati, con l’avvento degli smartphone (ma appena prima c’erano “data bank” e un’altra pletora di marchingegni ormai buoni per i collezionisti di materiale elettronico) lo smartphone aziendale e il BYOD, “Bring Your Own Device”, dove l’azienda metteva lo smartphone a disposizione dei dipendenti (non tutti, spesso era un benefit) oppure configurava lo smartphone o il tablet dei dipendenti per poter utilizzare la posta elettronica ed altri servizi aziendali anche in movimento, dove magari nemmeno con il laptop si riusciva ad arrivare (anni fa l’autore stesso scriveva email aziendali mentre da autobus a treno ad autobus andava e tornava dall’ufficio e sarebbe stato scomodo con il laptop). Poi sono arrivati i social media, che presto sono diventati un’estensione dell’azienda (per fare un esempio, è possibile utilizzare la pagina Facebook di Fastweb per segnalare guasti alle apparecchiature) ma, di nuovo, il perimetro si allarga. Infine, il perimetro si è ulteriormente allargato con l’avvento del Cloud, e, nonostante il livello di sicurezza dei maggiori player di settore sia indiscutibilmente alto, basta un errore umano, anche semplice, per far sì che gli account possano venire rubati. Quindi, se il budget, sia informatico sia relativo alla sicurezza informatica sia aumentato anche a livello esponenziale in determinati casi, purtroppo non sono aumentati se non di poco (in molti casi, ovviamente) i budget destinati all’awareness e quelli destinati all’assunzione di personale informatico qualificato, per non parlare poi dei corsi di formazione, che se di livello, in ambito Infosec possono costare anche diverse migliaia di Euro a persona.
Molte aziende non seguono le più banali best practice durante gli incidenti di sicurezza, altre, non correlando i log (che per i neofiti sono quella serie di schermate testuali che comunicano tutto il traffico di rete) non si accorgono nemmeno di avere un incidente di sicurezza in casa, se non quando questo viene rivendicato per “farsi belli” e guadagnare rispetto nel settore se non, ahimè, per riscuotere un riscatto in cambio.
Utenti e pazienti San Raffaele, i rischi per loro
Se per la maggior parte delle aziende coinvolte (ad esempio qualche giorno fa EasyJet, una compagnia aerea low-cost, ha comunicato che le sono stati sottratti dati personali e carte di credito di circa 90.000 passeggeri) un data breach risulta poi confluire in un elevato danno di immagine ed eventualmente qualche multa dal Garante della Privacy locale (nonché il posto di lavoro per qualche manager) nel caso di una struttura sanitaria, non è affatto facile quantificare il danno che potrebbe essere, in alcuni casi, alla stregua di un iceberg: quello che vediamo è in realtà soltanto una piccola parte del danno possibile. Ad esempio, mentre gli hacker di EasyJet stanno cercando di rivendere le carte di credito nel DarkWeb, probabilmente altri stanno cercando di vendere, più o meno negli stessi posti, le cartelle cliniche, che ormai stanno assumendo un valore molto elevato (un hacker, potrebbe, tecnicamente ricattare il paziente, o la struttura ospedaliera o entrambi).
Durante un furto di dati, un malintenzionato, ad esempio, avrebbe potuto aver accesso alle configurazioni e alle password di sistema degli apparati elettromedicali e poter prenderne il controllo on line (possiamo ipotizzare – e non è fantascienza – che, prendendo il controllo di un Tomografo – l’apparato con cui si fa la TAC – possa alterarne i valori per guastarlo, o per creare degli atti terroristici su uno o più pazienti). Oppure, prendere il controllo dei respiratori nelle unità di terapia intensiva, e infine, potrebbe aver avuto accesso alle configurazioni, che non spiccano per sicurezza già di loro, dei piccoli apparati impiantati, come ad esempio, i pacemaker.
La nostra cara (chi più, chi meno) Comunità Europea, stava, qualche settimana fa, per lanciare le nuove linee guida relative alle apparecchiature elettromedicali, con regole molto più severe rispetto a quelle, molto lasche, in essere, relative al 2012, che, in termini informatici significa più o meno un paio di ere geologiche. Purtroppo, però, a causa del Coronavirus e degli strascichi in corso, è stato deciso di lasciare gli attuali regolamenti ancora in vigore per un anno.
Quindi, il San Raffaele è stato hackerato?
L’opinione dello scrivente – come si poteva già fin qui intuire – è che il San Raffaele, checché ne dica un loro comunicato stampa nel quale si evidenzia dove “non sono stati toccati dati sensibili” ed è stata presa di mira “un’applicazione con nomi utenti e password ormai obsolete”, è stato hackerato e prova ne sono le schermate come quella sottostante, di un file contenente codici fiscali.
Le povere password del San Raffaele
E il problema non è solo questo. Se ne desumono lacune cyber più profonde e generalizzate, dato che da altre schermate, dove vengono mostrate le password degli addetti, si intuisce che al di là dei sistemi, le password utilizzate sono oggettivamente deboli; si intuisce che non è stata mai presa in considerazione l’adozione di uno standard di sicurezza formale quale ISO 27001. Ovviamente, se i nostri dati sensibili e le nostre cartelle cliniche scorrazzano nella parte buia del web, non è colpa degli operatori che hanno scelto password facili e facilmente hackerabili.
