il caso

Data breach San Raffaele e le sue password: che ci insegna il nuovo scandalo cyber italiano

LuzSec accusa l’ospedale San Raffaele di avere gravi vulnerabilità e apporta prove, tra cui password di utenti, le quali di per sé dimostrerebbero una scarsa attenzione alla cyber security. L’ospedale nega e il caso è ancora in divenire. Ma alcune lezioni è già possibile trarle

22 Mag 2020
R
Walter Rocchi

Trainer, GDPR, ISO27001 LI/LA

Lo scandalo del presunto data breach all’ospedale San Raffaele – sbandierato da hacker, negato dagli interessati – è un giallo tutt’altro che risolto.

Ne sapremo di più probabilmente con eventuali indagini del Garante Privacy, un po’ come con il data breach Inps, l’altro grande incidente di cyber security che ha caratterizzato istituzioni italiane durante la pandemia.

Si possono però già fare alcune considerazioni sul caso San Raffaele. Imparare qualcosa.

Databreach San Raffaele, le falle aperte

Tutto nasce da qui, da questo screenshot collegato ad un account Twitter, appena più sotto il tweet

Visualizza l'immagine su Twitter

C’è, ovviamente, un tono ironico (e come dargli torto?) nel tweet di LulzSec, gruppo di hacker italiani noto alle cronache per scorribande di vario genere e in tempi recenti protagonista di una plateale campagna di smascheramento di pedofili che scambiavano materiale di pornografia infantile tramite canali Telegram. Perché? Perché chiede se i tecnici avevano “chiuso” tutti i “buchi” di sicurezza di sistema, rilevati due mesi prima, di una delle perle nel panorama ospedaliero italiano. Ma, e lo screenshot è eloquente, le falle non sono state ben chiuse.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

Ovviamente, non ci è dato sapere come gli hacker in questione abbiano fatto ad entrare; forse hanno fatto “enumeration”, ovvero elencato gli oggetti della rete interna e quale vulnerabilità sia stata sfruttata per fare “escalation”, ovvero, partendo da un account utente normale, siano riusciti a prendere possesso del sistema. Fatto sta che ci sono riusciti. O così pare. Sempre se non si voglia – a dispetto delle apparenze – credere alle dichiarazioni dell’ospedale, secondo cui nessun dato personale è stato colpito e quindi non era necessario fare la notifica ex Gdpr.

Nonostante questa poca chiarezza di fondo, una qualche lezione dalla vicenda è possibile già trarla.

Il problema di fondo della cyber

Negli anni ’80 e ’90 era piuttosto facile controllare la sicurezza di un perimetro aziendale, perché il perimetro corrispondeva all’azienda stessa. Poi sono nati, con l’avvento degli smartphone (ma appena prima c’erano “data bank” e un’altra pletora di marchingegni ormai buoni per i collezionisti di materiale elettronico) lo smartphone aziendale e il BYOD, “Bring Your Own Device”, dove l’azienda metteva lo smartphone a disposizione dei dipendenti (non tutti, spesso era un benefit) oppure configurava lo smartphone o il tablet dei dipendenti per poter utilizzare la posta elettronica ed altri servizi aziendali anche in movimento, dove magari nemmeno con il laptop si riusciva ad arrivare (anni fa l’autore stesso scriveva email aziendali mentre da autobus a treno ad autobus andava e tornava dall’ufficio e sarebbe stato scomodo con il laptop). Poi sono arrivati i social media, che presto sono diventati un’estensione dell’azienda (per fare un esempio, è possibile utilizzare la pagina Facebook di Fastweb per segnalare guasti alle apparecchiature) ma, di nuovo, il perimetro si allarga. Infine, il perimetro si è ulteriormente allargato con l’avvento del Cloud, e, nonostante il livello di sicurezza dei maggiori player di settore sia indiscutibilmente alto, basta un errore umano, anche semplice, per far sì che gli account possano venire rubati. Quindi, se il budget, sia informatico sia relativo alla sicurezza informatica sia aumentato anche a livello esponenziale in determinati casi, purtroppo non sono aumentati se non di poco (in molti casi, ovviamente) i budget destinati all’awareness e quelli destinati all’assunzione di personale informatico qualificato, per non parlare poi dei corsi di formazione, che se di livello, in ambito Infosec possono costare anche diverse migliaia di Euro a persona.

Molte aziende non seguono le più banali best practice durante gli incidenti di sicurezza, altre, non correlando i log (che per i neofiti sono quella serie di schermate testuali che comunicano tutto il traffico di rete) non si accorgono nemmeno di avere un incidente di sicurezza in casa, se non quando questo viene rivendicato per “farsi belli” e guadagnare rispetto nel settore se non, ahimè, per riscuotere un riscatto in cambio.

Utenti e pazienti San Raffaele, i rischi per loro

Se per la maggior parte delle aziende coinvolte (ad esempio qualche giorno fa EasyJet, una compagnia aerea low-cost, ha comunicato che le sono stati sottratti dati personali e carte di credito di circa 90.000 passeggeri) un data breach risulta poi confluire in un elevato danno di immagine ed eventualmente qualche multa dal Garante della Privacy locale (nonché il posto di lavoro per qualche manager) nel caso di una struttura sanitaria, non è affatto facile quantificare il danno che potrebbe essere, in alcuni casi, alla stregua di un iceberg: quello che vediamo è in realtà soltanto una piccola parte del danno possibile. Ad esempio, mentre gli hacker di EasyJet stanno cercando di rivendere le carte di credito nel DarkWeb, probabilmente altri stanno cercando di vendere, più o meno negli stessi posti, le cartelle cliniche, che ormai stanno assumendo un valore molto elevato (un hacker, potrebbe, tecnicamente ricattare il paziente, o la struttura ospedaliera o entrambi).

Durante un furto di dati, un malintenzionato, ad esempio, avrebbe potuto aver accesso alle configurazioni e alle password di sistema degli apparati elettromedicali e poter prenderne il controllo on line (possiamo ipotizzare – e non è fantascienza – che, prendendo il controllo di un Tomografo – l’apparato con cui si fa la TAC – possa alterarne i valori per guastarlo, o per creare degli atti terroristici su uno o più pazienti). Oppure, prendere il controllo dei respiratori nelle unità di terapia intensiva, e infine, potrebbe aver avuto accesso alle configurazioni, che non spiccano per sicurezza già di loro, dei piccoli apparati impiantati, come ad esempio, i pacemaker.

La nostra cara (chi più, chi meno) Comunità Europea, stava, qualche settimana fa, per lanciare le nuove linee guida relative alle apparecchiature elettromedicali, con regole molto più severe rispetto a quelle, molto lasche, in essere, relative al 2012, che, in termini informatici significa più o meno un paio di ere geologiche. Purtroppo, però, a causa del Coronavirus e degli strascichi in corso, è stato deciso di lasciare gli attuali regolamenti ancora in vigore per un anno.

Quindi, il San Raffaele è stato hackerato?

L’opinione dello scrivente – come si poteva già fin qui intuire – è che il San Raffaele, checché ne dica un loro comunicato stampa nel quale si evidenzia dove “non sono stati toccati dati sensibili” ed è stata presa di mira “un’applicazione con nomi utenti e password ormai obsolete”, è stato hackerato e prova ne sono le schermate come quella sottostante, di un file contenente codici fiscali. 

Immagine

Le povere password del San Raffaele

E il problema non è solo questo. Se ne desumono lacune cyber più profonde e generalizzate, dato che da altre schermate, dove vengono mostrate le password degli addetti, si intuisce che al di là dei sistemi, le password utilizzate sono oggettivamente deboli; si intuisce che non è stata mai presa in considerazione l’adozione di uno standard di sicurezza formale quale ISO 27001. Ovviamente, se i nostri dati sensibili e le nostre cartelle cliniche scorrazzano nella parte buia del web, non è colpa degli operatori che hanno scelto password facili e facilmente hackerabili.

17 novembre, milano
Scopri Insight e Tips & Tricks dai migliori professionisti di settore: un evento unico ti aspetta!
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr