.

.

Ciao

Benvenuta e benvenuto nel Blog di Christian Bernieri. Sei in un posto dove riflettere e rimuginare in libertà su privacy, sicurezza, protezione dei dati personali e sui fatti che accadono nel mondo, sempre in salsa privacy. Con una tempistica assolutamente randomica, con format per nulla omogenei, con un linguaggio decisamente inappropriato, senza alcuna padronanza della grammatica e della sintassi, ti propongo articoli che nessun editore accetterebbe mai di pubblicare... Divertiti.

31 maggio 2024

Extinction Event

 


Extinction Event.  È un pezzo scritto per Ransomfeed.

Qui la pubblicazione ufficiale dell'articolo, bello, impaginato bene, serio...   

https://ransomfeed.it/index.php?page=blog&postID=04



Di seguito il mero testo:


Extinction Event

I cambiamenti ci terrorizzano. Ci vuole un certo grado di maturità per capire quanto siano necessari nella vita e quante opportunità porti con sé l'abbandono dello status quo. I più si spaventano alla sola idea che il loro piccolo mondo possa cambiare, preoccupati dal doversi adattare ad un nuovo e inesplorato scenario. Per questo le novità, in tutti i campi, trovano molte resistenze. Non mi riferisco al nuovo modello di Iphone o al nuovo set di emoji, ma a quelle novità che cambiano le cose, che sparigliano le carte e che costringono le persone a fare una scelta.



“Cosa faccio? 

Se faccio finta di niente posso ignorare questa cosa nuova e non devo fare fatica; magari anche gli altri la ignoreranno e io andrò avanti come sempre, il mio orticello sarà salvo e godrò della rendita di posizione data dalla stasi attorno a me. Ok

Ma, se abbraccio la novità, devo riconsiderare tutto, dovremmo ripartire tutti da zero e dovrei competere con chi è meglio di me senza contare su alcun vantaggio! Addio tran tran, addio routine, addio tutto.

Ma chi me lo fa fare?

Ho deciso, la novità mi fa schifo.”


Purtroppo, le persone non considerano mai il fatto che l’universo non collabora, il mondo attorno a noi non si comporta come vorremmo e le novità ci travolgono, incuranti dei nostri struggimenti. Nel migliore dei casi, il nuovo avanza lasciando i recalcitranti attaccati ad un mondo che non esiste più, anacronistici residuati bellici.


Che ci piaccia, oppure no, l’unica strategia vincente è adattarsi, anzi, potendo, bisognerebbe essere in grado addirittura di anticipare i cambiamenti e di farsi trovare pronti.

In natura, chi intuisce i cambiamenti in arrivo e sa adattarsi velocemente ha un vantaggio enorme, sopravvive e si riproduce. In natura non ci sono molte altre cose che contino.


I cambiamenti epocali avvengono anche nell’ingessato e polveroso mondo della protezione dei dati personali, popolato da mummie, parrucconi, baroni e persone che non escono mai dal proprio studio, affezionate a formulari e ai copia-incolla o che non amano sporcarsi le mani.

Beh, il mondo sta cambiando e forse bisogna farsene una ragione. 

I migliori ne fanno un punto di forza.



Il più recente di questi cambiamenti è sicuramente l’arrivo silenzioso e discreto di RansomFeed Newshttps://ransomfeed.it/ 

Cosa fa ce lo racconta l'homepage: “Monitoriamo i gruppi ransomware, con l'attività di scraping, per memorizzare le rivendicazioni in un feed RSS permanente, dal 12-01-2020”

Ho avuto la fortuna di udire i vagiti di un cucciolo, mi sono avvicinato e mi sono spaventato vedendo il potere dirompente di questa idea, diventata ora una realtà affermata. Nel mio piccolo ho cercato di dare una mano e ho sperimentato come RansomFeed ha progressivamente resto il mondo della data protection un posto migliore.

Altri hanno iniziato a tremare, a temere di perdere qualcosa e hanno fatto di tutto per boicottare questo gioiello, arrivando ad attaccare gli account social di RansomFeed, come si usa fare nelle migliori matrici totalitarie. (si veda https://ransomfeed.it/index.php?page=comunicati


Qual è il cambiamento portato da RansomFeed? 

Lo stesso di un raggio di sole che dissolve la nebbia e rende tutto, di nuovo, visibile agli occhi. RansomFeed ha tolto il velo di opacità dal fenomeno dei ransom, cioè quell’odioso crimine informatico basato sulla compromissione di un sistema, il furto dei suoi contenuti, l’estorsione sotto minaccia di vendere o pubblicare i dati e, successivamente, l’uso dei dati rubati contro tutte le persone coinvolte.

I ransom sono sempre stati visibili a ben poche persone e, in mancanza di denuncia, invisibili anche alle autorità. I numeri ufficiali sono sempre stati fortemente sottostimati rispetto alla reale portata del fenomeno. Persino i bollettini tecnici più blasonati hanno sempre potuto esporre dati di un campione molto limitato.

RansomFeed ci regala la piena visibilità e contezza di un fenomeno, permettendoci di capirne la portata, di ponderare il rischio e di programmare investimenti adeguati in misure di prevenzione. Oltre ai dati grezzi, RansomFeed elabora dei report periodici che dovrebbero essere sul desktop di ogni imprenditore, CISO, DPO e autorità del settore.


Certo, se tutto questo diventa possibile, non prenderne atto e non fare ciò che ora è diventato possibile è una colpa. Forse, agli occhi dei parrucconi imbalsamati e degli imprenditori che amano operare nel torbido, RansomFeed trasforma le vittime in complici, ma questo è solo un alibi per cercare di mistificare la propria inadeguatezza, la paura di fronte al cambiamento. Un’azienda che, oggi, sottovaluta il rischio ransomware, è tanto colpevole quanto il suo aguzzino, colpevole tanto quanto la banda criminale che lo attacca e che compromette i suoi sistemi informatici.


L’imprenditore

RansomFeed per l’imprenditore, come accennato, è un elemento utile per prendere decisioni migliori. Dirigere un'azienda operante in un particolare settore, per esempio la sanità pubblica, necessita di priorità e di valutazione dei rischi. La cybersicurezza e il rischio ransom possono essere correttamente ponderati solo se si percepisce di essere nel mirino di numerose bande criminali. Saperlo significa dare priorità alla sicurezza, programmare interventi migliorativi, rafforzare le difese, rendere i sistemi resistenti agli attacchi o capaci di garantire i servizi essenziali anche in condizioni difficili. Purtroppo, di recente abbiamo visto esempio di enti della sanità pubblica e privata completamente ignari del rischio, coinvolti da eventi tanto banali quanto catastrofici nelle conseguenze. Un disastro originato da una palese sottovalutazione del tema.


L’imprenditore consulta RansomFeed anche per un’altra ragione: i data breach della supply chain. Ogni azienda si appoggia a partner per la gestione di attività ancillari. Ogni azienda, a sua volta, opera per conto di clienti che si avvalgono dei suoi servizi. I data breach, in questi contesti, coinvolgono l’intera filiera e possono estendersi e ramificarsi coinvolgendo un numero molto elevato di soggetti.

Si pensi al caso SYNLAB, recente attacco ransomware che ha paralizzato un importante azienda nota a tutti. Il data breach Synlab comporta necessariamente un data breach anche per ogni CLIENTE di synlab, ogni ente che, per esempio, ha affidato all’azienda compromessa la sorveglianza sanitatia o la gestione degli esami ad essa relativi. Nel data breach stesso sono presenti numerose cartelle e tabelle con lunghi elenchi di aziende clienti, per le quali è stata gestito questo servizio.   Oggi, ciascuna di queste aziende deve fare una notifica al Garante denunciando il proprio data breach. Come possono le centinaia di imprenditori coinvolti attivarsi se non sanno che il loro fornitore è stato coinvolto? Synlab tace, non è andata oltre a qualche blando comunicato sui propri social e sul sito, ma nulla è stato notificato ai clienti. Questo non è certamente un favore, anche perchè le aziende devono notificare il data breach entro 72 ore dal momento in cui ne è venuto a conoscenza… e oggi il velo di omertà non c’è più.

Servizi come RansomFeed permettono la conoscibilità rapida e documentata dei data breach, di tutti i Data Breach, quindi per un imprenditore diventa molto rischioso sostenere di non essere stato avvisato.


Un atteggiamento sciallatissimo che ricorda un po’ la battuta di Ficarra e Picone che si domandano sconsolati “ma chi ce lo doveva dire?”. In teatro fa ridere, con un data breach no, non funziona più e porta all’estinzione naturale perchè il cambiamento non aspetta.


Oggi l’imprenditore deve farsi parte diligente e consultare RansomFeed per monitorare eventuali databreach che abbiano coinvolto soggetti della sua filiera. Questo non deve stupire. Le imprese si abbonano a servizi informativi per poter dimostrare di essere aggiornati rispetto ai propri obblighi di legge. Molte certificazioni prevedono l’aggiornamento continuo come elemento necessario per il loro conseguimento. Beh, Ransomfeed fa esattamente questo, lo fa bene, tempestivamente e con un livello qualitativo altissimo, perchè ogni rivendicazione viene verificata prima di essere pubblicata, evitando falsi positivi che, nell’ambiente, sono piuttosto frequenti.



Il consulente

Beh, il consulente con RansomFeed diventa un Boss.

A meno che non sia uno di quelli che prediligono l’opacità, lo status quo e che amano mettere la polvere sotto il tappeto. Per fortuna sono in via di estinzione anche loro.



L’autorità di vigilanza - il Garante

Questo forse è l’aspetto più interessante da prendere in considerazione. Gli enti della PA sono generalmente immobili, lente come Ent e adorano lo Status Quo. Innovare, come anche digitalizzare, nella PA è un ossimoro e conduce a paradossi che tutti sperimentiamo ogni giorno.

Tuttavia, ci sono dei barlumi di cambiamento che lasciano ben sperare.

Il Garante sa che esiste RansomFeed, non solo, se ne avvale.


In un recente provvedimento relativo ad un DataBreach  (Provv. n. 173 del 21 marzo 2024 - DocWeb 10010621) , Autorità Garante per la protezione dei dati personali si pone in disaccordo con una valutazione effettuata da un titolare del trattamento.

Per l’azienda, il data breach non era poi così grave… pochi dati, poco visibili, solo nel dark web… chi vuoi che li veda?

Il Garante ha un parere differente per varie ragioni, una delle quali riguarda proprio l’esistenza di RansomFeed: "Da un esame effettuato dall’Ufficio risulta altresì che siti internet dedicati alla raccolta e diffusione di rivendicazioni di attacchi ransomware – cfr. a titolo di esempio quanto all’indirizzo web https://lnkd.in/dpHHcG5v – abbiano dato pubblicità dell’avvenuta esfiltrazione dei dati oggetto di attacco e della loro potenziale pubblicazione online."


EXTINCTION EVENT!

Da oggi, la tecnica dello struzzo non funziona più. Ricordiamolo, lo struzzo è quell’animale che, se attaccato, infila la testa in un buco nel terreno, convinto di scomparire alla vita del predatore. Peccato che la parte che resta esposta sia decisamente vulnerabile.

Da oggi, chi fa lo struzzo, si estinguerà.


La mia personalissima opinione è che il Garante, all’interno del quale operano alcune menti colte e raffinate, si renda perfettamente conto che nello scontro con la realtà, solitamente, questa tende a prevalere e, quindi, è incline ad accettare le evidenze che non è possibile ignorare.


Nei criteri di valutazione del rischio,  il Regolamento chiede di prendere in considerazione sia la probabilità quanto la gravità dei rischi per i diritti e le libertà degli interessati, e che tali rischi siano determinati in base a una valutazione oggettiva (cfr. cons. nn. 75 e 76). RansomFeed News esiste, c’è. Pertanto, volendo essere oggettivi, nessuno può più sperare che un ransomware rimanga visibile ai quattro gatti che tradizionalmente si sarebbero occupati di insabbiare e abbassare i toni, in modo da diminuire l’impatto e scomparire, piccini piccini, in silenzio, in un angolino.


Un’altro di questi cambiamenti si chiama Wayback Machine - Internet Archive -  web.archive.org , il noto portale di archiviazione di pagine e contenuti web. Si tratta di un archivio molto vasto di ciò che è stato pubblicato in passato e  di ciò che viene pubblicato ogni giorno dai maggiori siti, dai blog più frequentati fino alla più scalcagnata paginetta accessibile in rete. Molti dei contenuti sono storicizzati in automatico, altri a richiesta e questo ne fa una risorsa di fondamentale importanza per tutti… anche se per alcuni è una spina nel fianco.

Premetto, non mi piace affatto. Archive.org viola il GDPR in così tanti modi che non saprei nemmeno da che parte cominciare per fare una lista, ma c’è. Esiste. Fare finta che non ci sia è stupido e controproducente.


Il Garante lo sa bene e ha tenuto in considerazione il fatto che determinati contenuti siano archiviati su archive.org in diversi momenti, lo utilizza nelle istruttorie e compare in alcuni provvedimenti. Anche alcuni reclami lo hanno citato come fonte. Web Archive è ben lungi dal costituire una prova forense ma esiste, c’è e non si può fare finta di niente.

Si veda qui (https://x.com/prevenzione/status/1597280494189965312)

Si veda qui (https://x.com/prevenzione/status/1598379285240315904)

Si veda qui (https://x.com/prevenzione/status/1597280500594638848)

Si veda qui (https://gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9827153)

Si veda qui (https://gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/3473991)

Si veda qui (https://gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/2642366


Infine, voglio citare un cambiamento meno recente, avvenuto con l’arrivo di Shodan, il motore di ricerca di tutto ciò che è collegato all’Internet: non i siti web ma tutto il resto, dispositivi fisici, videocamere, sistemi di videosorveglianza, server, NAS, sistemi domotici, macchine a controllo numerico, sistemi di monitoraggio, sistemi di gestione centrali elettriche… è agghiacciante ciò che si può trovare su Shodan. “Shodan è il primo motore di ricerca al mondo per dispositivi connessi a Internet. Scoprite come la raccolta e l'analisi delle informazioni pubbliche può aiutarvi a prendere decisioni migliori aumentando la consapevolezza, il numero delle opzioni e più potere strategico.


Ciò che è online, e non è adeguatamente protetto, viene documentato da Shodan e diventa, di fatto, esposto, conoscibile, rintracciabile, accessibile a chiunque e facile da trovare. Fare finta di niente non serve a molto. Dire che tanto nessuno conosce il tuo IP o che non è indicizzato, sperare di essere al sicuro semplicemente rimanendo in un angolino non è più una buona idea.

Si trovano sistemi connessi senza alcuna protezione, direttamente accessibili a chiunque. Mettono molta tristezza perché dietro c’è una persona talmente inadeguata da non rendersi conto di ciò che sta facendo oppure una persona talmente pigra da meritarsi il male che lo attende.


Si trovano anche sistemi con una parvenza di protezione che chiedono username e password ma spesso sono quelle di default oppure quelle che compaiono nella lista delle 10 password più usate. A titolo di esempio, basta cercare “pippo” per trovare https://www.shodan.io/host/109.71.236.244 , un fantastico NAS collegato alla rete da Grosseto con una miriade di servizi aperti. Un QNAP, uno dei maggiori vendor in circolazione, facilmente bucabile…  La pagina di Shodan evidenzia diligentemente le vulnerabilità dovute a patch non installate, sistemi non aggiornati. Come farà, mi chiedo, il proprietario di questo NAS a sostenere di essere la vittima di un aggressore organizzato e invincibile quando basta un ragazzino per bucare il suo sistema e trafugare ogni genere di contenuto? 


Shodan è, in pratica, un nsecam.org sotto steroidi.


Queste tre novità, questi tre cambiamenti disegnano un nuovo mondo, in cui non c’è spazio per la commiserazione della vittima dell’attacco informatico.

La vittima farà molta fatica a dimostrare di aver fatto abbastanza, di aver protetto i dati in modo adeguato, di aver attuato lo stato dell’arte rispetto ad un rischio pervasivo e ubiquitario, dai contorni sempre più definiti e ben noto agli esperti.


Le tre novità che ho descritto determinano l'estinzione immediata del vecchio pensiero assolutorio, secondo il quale chi subisce il data breach debba essere aiutato perché i criminali informatici sono potentissimi e invincibili.


La vittima è solo ed esclusivamente la persona i cui dati sono stati rubati e che sono ora online.

Le aziende che subiscono un data breach sono i complici dei criminali che ne hanno sfruttato le colpevoli vulnerabilità.



Prosit






SEI UN PROFESSIONISTA?



SI


FANTASTICO! Fammi sapere come la pensi, il confronto è essenziale per migliorarsi.


Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di merda con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?


bene... allora mi devi una birra.

NO


Se sei arrivato fino a qui meriti un plauso. Complimenti!

Se ti è piaciuto l'articolo, se ti ha dato spunti utili per la tua vita privata o professionale, prendi in considerazione l'idea di ringraziarmi e puoi farlo in due modi:


- Condividendo il mio lavoro sui tuoi social. Questo aiuterà altre persone

- Con una donazione. Questo aiuterà me.




👇 👇 Clicca qui 👇 👇






 

 


La sanità deve fare a meno dei dati personali.


La sanità deve fare a meno dei dati personali.







Articolo preparato e pubblicato in esclusiva su RANSOMFEED

https://ransomfeed.it/index.php?page=blog&postID=03

 

Li trovate la versione bella, impaginata bene, in PDF.

Qui il mero testo.

SEI UN PROFESSIONISTA?



SI


FANTASTICO! Fammi sapere come la pensi, il confronto è essenziale per migliorarsi.


Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di merda con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?


bene... allora mi devi una birra.

NO


Se ti è piaciuto l'articolo, se ti ha dato spunti utili per la tua vita privata o professionale, prendi in considerazione l'idea di ringraziarmi e puoi farlo in due modi:


- Condividendo il mio lavoro sui tuoi social. Questo aiuterà altre persone

- Con una donazione. Questo aiuterà me.




👇 👇 Clicca qui 👇 👇






La sanità deve fare a meno dei dati personali.









Indice dei contenuti:


Premessa

Un caso immaginario, ma non troppo

Tanti casi reali che superano l’immaginazione

Tsunami

La dura verità

Criminali dal cuore d’oro

La grande abbuffata






Premessa

I baci non sono tutti uguali, così come gli amori non sono tutti uguali.


Ci sono situazioni che si ricordano per tutta la vita, che si distinguono dalle altre e che, lo sai già sin dall’inizio, non saranno mai più eguagliate da nulla di ciò che ti potrà capitare in futuro.


Sono sensazioni uniche e si vive per quei momenti, si spera che ogni giorno nasconda una di quelle perle, di quei personalissimi tesori per i quali si affronta con gioia e speranza ogni mattina, come se fosse un nuovo inizio.


Purtroppo, certe volte capita di pescare una carta “imprevisti” e le cose prendono una piega decisamente differente.


Le delusioni e i dolori non sono tutti uguali.


Alcuni passano in fretta.

Altri non si cancellano mai e sono senza rimedio.


I dati personali non sono tutti uguali e questo vale anche per i data breach.

Certi data breach sono senza rimedio, in particolare lo sono quelli che riguardano i dati relativi alla salute, alla vita sessuale o all’orientamento sessuale.


Questi dati particolari, questi dati sensibili, ci rendono particolarmente vulnerabili in modi che spesso non sappiamo prevedere e che dipendono da chi li avrà a disposizione e dall’uso malizioso/deteriore/deprecabile che saprà escogitare.

Siamo tutti bravi ragazzi e mediamente poco abili nell’uso degli strumenti informatici; per questo facciamo fatica a immaginare che ci siano persone malvagie e capaci di fare miracoli con un computer, ma la realtà è questa.


Un caso immaginario, ma non troppo

Prendiamo, per esempio, il caso di Ingenuolo, l’ottavo nano. Ingenuolo usa il computer solo al lavoro e pensa che il massimo che si possa fare sia saper usare bene un foglio Excel e nuotare nell’immenso mare del web. Ingenuolo non sa, però, che c’è tanta gente in gamba, capace di navigare con destrezza in rete con strumenti che lui nemmeno conosce, capace di estrarre dati da posti di cui ignora l’esistenza e di fare del male ben oltre le remore morali di Ingenuolo.


Quando i dati sensibili di Ingenuolo saranno nelle mani di un criminale informatico, inizierà quello che, in gergo, si chiama “Pig Butchering”: la macellazione del porco. Rende l’idea? Ingenuolo sarà devastato in tutti i modi possibili, con totale noncuranza di ogni conseguenza. L’unico obiettivo sarà spolparlo fino all’ultimo brandello di valore.


Ingenuolo dovrà pagare per non far arrivare al suo datore di lavoro le sue cartelle cliniche, contenenti i dati relativi a quella brutta malattia che lo renderà sempre meno produttivo nei prossimi anni.

Una malattia invalidante, in molti Paesi, è discriminante per il datore di lavoro.


Ingenuolo dovrà pagare per non far sapere a sua moglie/figlia/madre/colleghi/tutto-il-mondo che soffre di questa o quella patologia o disfunzione imbarazzante. O che ne ha sofferto in passato.

Essere portatori di una patologia particolare può minare autostima e produttività, finanche diventare motivo di bullismo o mobbing.


Ingenuolo dovrà pagare per non far arrivare alle sue assicurazioni la documentazione che annullerà ogni copertura.

Stipulare una polizza assicurativa senza dichiarare di soffrire di una certa malattia, costituisce anche un reato e pregiudica qualsiasi tipo di copertura. Presente, futura e, spesso, anche passata.


Ingenuolo  dovrà cambiare casa perché non gli è stato rinnovato l’affitto. Pare che il proprietario non gradisca affittare a persone con un particolare orientamento sessuale che, adesso, tutti conoscono. Purtroppo la banca non approverà mai il mutuo che è stato chiesto perché Ingenuolo non è un cliente come gli altri, è completamente trasparente a chi deve valutare il rischio connesso alla restituzione del denaro. La fede calcistica, il titolo di studi, il nome da nubile della madre non sono discriminanti ma lo stato di salute sì, eccome. 


Ingenuolo si era anche candidato in un partito che professa posizioni radicali rispetto ad alcuni trattamenti sanitari. Ingenuolo dovrà rinunciare perché i criminali hanno venduto al partito avversario informazioni e documenti che testimoniano il suo ricorso a quelle stesse pratiche mediche che pubblicamente avversa.


Ingenuolo potrà essere ricattato in modi che solo una mente perversa può immaginare e che lo sorprenderanno. Non si capaciterà di quanto possa essere cattivo un essere umano.


Ingenuolo sarà disperato e probabilmente cliccherà su ogni email amica che gli proporrà un prestito in denaro oppure una consulenza per difendersi dai criminali informatici, installerà qualsiasi software di analisi per vedere se i suoi sistemi sono sicuri e pagherà cifre importanti per farsi aiutare. Ingenuolo non riuscirà a capire che dietro queste offerte ci sono proprio i suoi aguzzini.


Ah, naturalmente, mentre Ingenuolo si interfaccerà con i suoi macellai, si esporrà anche ad invisibili attacchi diretti e, senza accorgersene, il suo computer verrà compromesso, le sue password saranno note ai criminali, i suoi account saranno a lui preclusi e nelle mani dei cattivi, il contenuto del suo hard disk verrà copiato e poi bloccato.

A questo punto Ingenuolo potrebbe cominciare a capire come funzionano gli ingranaggi di questa arancia meccanica digitale e immaginare che domani, appena i criminali avranno setacciato bene i dati rubati, troveranno le foto porno che ha scaricato da internet, la sua cronologia su quei siti molto espliciti e molto particolari, le chat private in cui ha chiamato la moglie “troia”, la figlia “stronza” e il capo “coglione” … e intuirà che cosa lo aspetta. Ingenuolo vorrà smettere di esistere perché capirà che, purtroppo, non c’è altro modo per liberarsi di questo invincibile e spietato nemico invisibile.


Quella mattina Ingenuolo si era svegliato sperando di incontrare il più bel bacio ed il più bel giorno della sua vita ma, senza alcuna colpa, è precipitato all’inferno. 



Tanti casi reali che superano l’immaginazione

Eccoci. Ingenuolo siamo noi, oggi.

Abbiamo tutti pescato una carta sfortunata e le conseguenze sono irrimediabili. Forse per questo stiamo tutti facendo finta che non sia successo nulla, che nulla stia capitando, ma ci siamo dentro fino alle orecchie.


“Don’t look up”. 

È profetico e parla di noi, clienti e utenti di aziende travolte dalla propria cialtronaggine. Noi, inermi vittime di data breach che hanno compromesso ciò che di più caro abbiamo: i nostri dati sensibili, affidati a soggetti incapaci di tutelarli come meritano e nel modo richiesto dalla legge.


I data breach sono tragedie collettive e devono essere valutati con i freddi parametri previsti dalla legge.


Questi stessi eventi, a livello individuale, vengono percepiti da ciascuno in modo molto diverso, a seconda delle ragioni che hanno portato i nostri dati a confluire nei database compromessi.


“Mannaggia a me”:

 molti hanno deciso di fare prevenzione con un test diagnostico, di sottoporsi a cure volontarie o non strettamente necessarie. Hanno quindi deciso liberamente di registrarsi: fornire nome, cognome, dare l’assenso per essere inseriti in un database, nel gestionale di una clinica, tra i file di un dermatologo, ecc.

Chiunque si trovi in questa situazione dovrebbe biasimare se stesso, tuttavia siamo inclini a non farlo. Per questo valutiamo come la gravità di questi eventi in modo blando: “non è grave”, “capita sempre”, “tanto non ci fanno niente con quei dati”. Minimizziamo anche perché, se la valutazione fosse più rigorosa e il giudizio più grave, faremmo molta fatica ad assolverci dalla nostra responsabilità. Se la colpa ci lambisce, se non possiamo più additare il fato, ci sentiamo molto stupidi. Non sia mai!


“Pure questo mi tocca”:

 una fitta schiera di lavoratori, di assicurati che hanno denunciato un sinistro, di sportivi agonisti e di altre persone nella medesima situazione hanno dovuto fare visite e accertamenti, non per scelta, ma per obbligo di legge.

Molti lavoratori non hanno scelta e si devono sottoporre periodicamente a visite ed esami, spesso in centri medici o cliniche. Fa parte del lavoro ed è una misura di prevenzione obbligatoria.

Ogni rimborso assicurativo comporta la verifica di cartelle cliniche, referti medici, esami, a volte anche visite di controllo.

Sono in tanti, tra lavoratori, agonisti professionisti, a vivere sotto costante controllo medico. Poi ci sono anche gli amatori, che si iscrivono in palestra o ad un'associazione sportiva dilettantistica e, anche solo per questo, devono fare visite, accertamenti ed esami. L’unica alternativa per evitarlo sarebbe dedicarsi ad altro, ma non sarebbe certamente la stessa cosa.

In questi casi la rabbia aumenta, non si ha alcun motivo per minimizzare e si cercano responsabilità tra quei soggetti che ci hanno obbligato ad avere a che fare con la sanità: il datore di lavoro, l’assicurazione, il centro sportivo. Rabbia che, tuttavia, sbiadisce rapidamente anche perché ci si rende conto che il problema si sarebbe manifestato identico anche con un altro datore di lavoro, un'altra assicurazione o un altro sport.


“Che stronzi":

 a volte non c’è scelta e ci si deve curare. Ciascuno, sotto sotto, si sente il primo di una nuova stirpe di immortali, ciascuno pensa di essere immune a tutto e di poter fare come il fantomatico nonno che è campato 103 anni fumando, bevendo e imprecando. Purtroppo non è così. I dati sanitari ci sono e crescono di anno in anno, ciascuno li alimenta con le piccole e grandi cose della vita e ogni informazione viene registrata. Chi ha dovuto affrontare la malattia è provato, esasperato, forse esausto ma non può tollerare di sentirsi una cavia, un semplice numero senza valore, una vittima designata dell’inettitudine o della cialtroneria. La rabbia scorre potente quando la colpa sta tutta sulle spalle di chi avrebbe dovuto prendersi cura di noi, aiutarci, assisterci.


“Questi sono scemi nella testa”:

a volte le cose si complicano. A volte, per due spicci, per poter usufruire di una micro deduzione dello zero virgola per cento, su un massimale di un pugno di €, da recuperare in millemila mini rate di rimborso, oppure per maturare ambitissimi “punti fregala*”, in pratica, per un’inezia decidiamo di strisciare il codice fiscale ad ogni acquisto, di registrarci ad ogni promozione e, così facendo, di lasciar proliferare i nostri dati in modo esponenziale. Forse, anche la nostra testa, giusta giusta non è.


*ironic mode on



Tsunami

A prescindere dalla percezione individuale, mettendo per un attimo da parte considerazioni del tenore di “io non l’ho mai visto” e “a me non è mai capitato”,   l’entità del fenomeno deve fare spavento.


Alla mia famigerata memoria viene in soccorso Ransomfeed che tutto registra e documenta. Questi sono i data breach occorsi negli ultimi mesi



Synlab, 04.05.2024 

https://ransomfeed.it/index.php?page=post_details&id_post=15161 

Uno dei peggiori della storia, ancora in corso nel momento della scrittura di questo pezzo. I criminali informatici (Blackbasta) hanno copiato 1,5 TERABYTE di dati per la consueta estorsione (paga o li pubblichiamo) e hanno messo KO tutti i sistemi informatici dell’azienda. Per alcune settimane, non ha funzionato nulla, computer, server, sito web, centralino, sistemi di posta… niente. Non hanno risparmiato niente. Non possiamo prevedere come si svilupperà questo data breach ma una cosa è certa: in quei 1.500 Gigabyte di dati, ci sono i dati sensibili di centinaia di migliaia di persone, forse milioni.

  


Croce Rossa, presunto aprile 2024

https://breachforums.st/Thread-Italian-Red-Cross-Breach 

Un data breach interno ad una sezione della Croce Rossa che ha esposto tutti i dati contenuti in un computer accessibile dall’esterno. Password banali, utilizzate identiche su vari sistemi, protezioni assenti. Non si può nemmeno parlare di violazione dei sistemi: sono praticamente aperti su internet, basta entrare.



Farmacia Ettore Florio, 08.04.2024

https://ransomfeed.it/index.php?page=post_details&id_post=14162

A livello locale, una farmacia colleziona i dati di un'intera città. Tutti ci passano, acquistano, prenotano farmaci, accedono a servizi, attivano tessere a punti, prenotano esami. Su scala locale, una tragedia e, in questo caso, una tragedia ancora più estesa dato che la farmacia colpita ha una intensa attività di vendita online: 300 Gigabyte di dati personali sensibili.



Associazione Veterinari ed Igienisti Italiani, 19.02.2024

https://ransomfeed.it/index.php?page=post_details&id_post=13363

Un database di cui non si sa molto ma collegato al mondo della sanità. Un'associazione di categoria del settore.



Azienda Sanitaria Locale Basilicata, 15.02.2024

https://ransomfeed.it/index.php?page=post_details&id_post=13301

Una bomba atomica sulla sanità della Basilicata ed una delle pagine più tristi della comunicazione di crisi. In pochi istanti, la sanità regionale è tornata all’età della pietra, senza alcuna infrastruttura funzionante. Niente più email, niente agenda, niente prenotazioni, niente cartelle cliniche, niente di niente. I dati (circa mezzo terabyte) sono stati compromessi, copiati ed è scattata l’estorsione per non pubblicarli. 



Azienda Sanitaria Locale Modena, 11.12.2023

https://ransomfeed.it/index.php?page=post_details&id_post=12315

Altra incredibile pagina di mistificazione collettiva: enti ed istituzioni che hanno fatto di tutto per minimizzare, per rassicurare e per negare l’esistenza di un rischio. In questa situazione, le persone coinvolte, le vere vittime, non meritavano di essere prese in giro da dichiarazioni e comunicati stampa raccapriccianti.

Anche in questo caso, sistemi bloccati per settimane, dati rubati e pubblicati.



Centro Ortopedico Il Quadrante, Ospedale COQ, 05.11.2023

https://ransomfeed.it/index.php?page=post_details&id_post=11682

Piccolo centro ospedaliero che, a livello locale, raggruppa i dati relativi alla salute di ogni persona della valle.


ASL Verona, Ottobre 2023

https://www.larena.it/news/veneto/attacco-hacker-ospedale-verona-1.10348922

Blocco di ogni sistema, accessibilità dei servizi online e all’interno delle strutture, settimane di lavoro per recuperare operatività.



Ordine degli Psicologi della Lombardia, 10.10.2023

https://ransomfeed.it/index.php?page=post_details&id_post=11269

Da uscire di testa: 5 gigabyte di dati rubati e relativi ai professionisti iscritti all’Ordine.



Istituto Prosperius, 26.09.2023

https://ransomfeed.it/index.php?page=post_details&id_post=11084

Rubati e venduti online i dati del noto centro medico, di lavoratori e pazienti.



Clear MediCare, 26.06.2023

https://ransomfeed.it/index.php?page=post_details&id_post=8552

Data breach nel settore privato che, sebbene meno colpito, non è decisamente immune.



Azienda Sanitaria Locale Avezzano, Sulmona L’Aquila 1, 03.05.2023

https://ransomfeed.it/index.php?page=post_details&id_post=7658 

Uno dei data breach più eclatanti e più discussi: 500 Gigabyte di dati di utenti e pazienti, praticamente tutta la sanità regionale compromessa. Tutti i dati sono stati pubblicati nonostante l’intervento di ogni possibile autorità pubblica. Anche in questo caso la ASL ha minimizzato, anzi, nascosto gli eventi, al punto da richiedere un intervento diretto del Garante per obbligare i dirigenti a informare le persone coinvolte del fatto.



Gruppo MultiMedica, 27.04.2023

https://ransomfeed.it/index.php?page=post_details&id_post=7559

Grande azienda che gestisce ambulatori e centri ospedalieri, centinaia di migliaia di utenti coinvolti e dati pubblicati online. Una tragedia.



Hospital Service, 14.02.2023

https://ransomfeed.it/index.php?page=post_details&id_post=6049 

50 gigabyte di dati rubati ad un grande centro della sanità romana.



Azienda Ospedaliera di Alessandria, 28.12.2022

https://ransomfeed.it/index.php?page=post_details&id_post=5625 

1 TERABYTE (1000 Gigabyte) di dati rubati all’Azienda Ospedaliera.



Ospedale Macedonio Melloni, 21.06.2022

https://ransomfeed.it/index.php?page=post_details&id_post=4058

Grande ospedale nel cuore di Milano, dati 



Azienda Sanitaria di Messina, 21.04.2022

https://ransomfeed.it/index.php?page=post_details&id_post=3441 



ASL Cosenza, Febbraio 2022 

https://www.asp.cosenza.it/?p=articoli&id=1943-a-tutti-i-dipendenti-asp-cosenza-alcuni-servizi-interni-dell-asp-di-cosenza-sono-interrotti-per-pr 

Disservizi, blocchi e dati rubati. Periodaccio per le ASL.



Farmacia Statuto, 10.04.2022

https://ransomfeed.it/index.php?page=post_details&id_post=3293



Unità Locale Socio Sanitaria di Padova, 24.01.2022

https://ransomfeed.it/index.php?page=post_details&id_post=2490



Azienda Sanitaria Locale Napoli 3, 14.01.2022

https://ransomfeed.it/index.php?page=post_details&id_post=2490



Azienda Sanitaria Locale Veneto 6, 01.01.2022

https://ransomfeed.it/index.php?page=post_details&id_post=2490



E via perdendosi nella notte dei tempi.





La dura verità

La verità, purtroppo, è che dietro ad ogni data breach c’è solo la spietata legge dei grandi numeri.

Siamo tanti, tantissimi, siamo troppi da gestire con le scarse risorse che abbiamo a disposizione. I grandi numeri richiedono logiche di analisi, efficientamento e razionalizzazione che di umano conservano ben poco e che richiedono molti dati, anzi, TUTTI i dati.

La gestione della spesa sanitaria è governata dall’analisi dei dati. I protocolli di cura sono fortemente condizionati dai dati. L’organizzazione stessa delle risorse è basata sui dati. Gli unici investimenti che vengono realizzati riguardano proprio gli strumenti di acquisizione, condivisione e analisi dei dati sanitari, prima ancora che le risorse necessarie per l’erogazione delle cure. Questo perché la legge dei grandi numeri implica la necessità di ottenere il massimo risultato con il minimo sforzo. 


Oggi, in tutto questo, la protezione dei dati non è affatto contemplata.

Ma tutto ciò è anche una precisa scelta politica e, quindi, può cambiare.


La complessità dei sistemi, la quantità di dati sia a livello periferico che centralizzato, la loro condivisione tra soggetti variamente affidabili, la cialtronaggine che, per natura, si incontra lungo la propria strada, la scarsità di risorse investite nella protezione e il costante, sempiterno primato dell'approccio reattivo,  a danno dell'approccio preventivo, completano il quadro della catastrofe introducendo ogni possibile vulnerabilità nota all’uomo.. e infinite altre, non ancora rivelate.



Criminali dal cuore d’oro

Come se questo non bastasse, nemmeno le vulnerabilità sono tutte uguali. Alcune sono peggiori di altre, alcune meno note di altre, alcune più recenti di altre e ve ne sono alcune, talmente costose da gestire, che ci si rifiuta persino di volerle prendere in considerazione. Purtroppo, la solidità di un sistema è pari al suo anello più debole e, quindi, sarà sempre la peggiore tra le vulnerabilità, la più trascurata a mettere in crisi tutti i dati personali contenuti nei sistemi della sanità pubblica e privata. Di solito, questa vulnerabilità  coincide con il “fattore umano”.



Per parafrasare il manifesto della convention hacker del 2009 di Wellington, possiamo dire serenamente che i criminali dal cuore d’oro appartengono ad un immaginario confortante ma irreale.

Ad un criminale informatico non importa proprio nulla di tante cose...


Dello scopo meritorio e importantissimo del tuo sistema informatico

Se è  gestito da un fornitore terzo, magari inadeguato

Se è un sistema obsoleto o ereditato dalla precedente gestione

Se è un sistema troppo critico per intervenire con migliorie che potrebbero creare dei blocchi

Del DOWN time, ovvero di quanto dovrai tenere fermo un sistema per ripristinarlo

Del tuo budget

Se hai sempre fatto in un certo modo

Della data prevista dai tuoi piani di sviluppo

Se un sottosistema vulnerabile è solo un esperimento o una prova per vedere come funziona

Degli accordi di non divulgazione e riservatezza e di tutta la carta firmata tra i partner

Se nel contratto non sono indicati alcuni requisiti essenziali di protezione

E nemmeno se nel contratto era stato previsto ogni requisito, magari non ancora attuato

Se è un sistema solo interno, non destinato a finire online

Se è davvero difficile cambiare qualcosa perchè lo sviluppatore non c’è più

Se è dovuto a sostituzioni e cambiamenti in corsa e in emergenza

Se non sei sicuro di come fare a migliorare o proteggere i dati

Se è gestito nel Cloud

Di come hai stimato il rischio

Se il tuo fornitore non supporta una determinata configurazione e, per questo, hai aperto porte che dovevano restare chiuse

Se attualmente gira una soluzione temporanea, in attesa di quella fighissima e definitiva

Se hai una certificazione ISO UNI EN… [inserire qui standard a piacimento]

Se i dati sono crittografati solo durante il trasferimento

Se il bilanciamento costi benefici è sfavorevole

Se diremo «Nessuno mai poteva immaginarselo»

Se non puoi sacrificare «il Business» per un rischio potenziale e solo teorico

Se hai altre priorità oppure se il problema compete a qualcun altro 

Dell'affidabilità e della competenza del tuo staff

Se non hai alcuna motivazione commerciale o di mercato per migliorare 

Se non puoi calcolare un Return on Investment

Se hai esternalizzato un determinato rischio


Un criminale informatico è e sarà sempre in vantaggio su di noi, illusi che esista compassione.



La grande abbuffata

Per non soccombere è necessario un cambio radicale di prospettiva: è necessario che ogni server ed ogni computer aggredito sia vuoto o che esponga al rischio solo un contenuto minimale. 


I dati, semplicemente, non ci devono essere.


Oggi facciamo il contrario e abbiamo una bulimia di dati, così abbondanti che il solo quantificarli richiederebbe calcoli quantici.




Un esempio per tutti:


Poco tempo fa, mia moglie è stata ricoverata in ospedale per il parto di nostra figlia.

All’accettazione la zelante signorina ci ha accolto con le domande di rito.

“Buongiorno e benvenuta.”

“Mi dia pure la sua tessera sanitaria.”

“Intanto che la registro, le do alcuni moduli da leggere..”

“Ah, vedo che è già stata ricoverata qui da noi.”


SDENG!


“No, guardi, si sbaglia, sarà un’omonima, io non sono mai stata ricoverata, glielo garantisco.”

“Ma sì, signora, qui c’è la sua scheda, vede? Dimessa il 1 gennaio 1975, peso 2,050 chilogrammi…“

“Signora, guardi che è quando sono nata.”


:-0 


Ecco, non sarà un po' troppo?

È veramente necessario che dati come questi siano nel server, immediatamente disponibili, accessibili e in linea dopo 40 anni? Che fine ha fatto il principio della minimizzazione dei dati previsto dall’art 5 del GDPR?

Attenzione: nessuno pensa che i dati debbano scomparire, ma che senso ha renderli tutti permanentemente online? 

È questo che dovrà cambiare se vogliamo davvero proteggerci dal disastro.


Dobbiamo smettere di pensare che le macchine ci possano tutelare meglio di quanto possiamo fare noi. I nostri dati devono essere in casa nostra, in una cartellina. Possono essere anche in ospedale, ma sempre in una cartellina o in un sistema di archiviazione segregato e distinto da quelli in produzione. Minimizzare i rischi significa fare in modo che, se c’è un furto di dati, ne vengano rubati il meno possibile. Esporre al rischio TUTTI i dati è una follia perché qualsiasi danno scala ad un livello collettivo. 


Pensare che un software, un gestionale o un server possa proteggere i nostri dati in modo adeguato significa non rendersi conto che quel programma e quella macchina rispondono a logiche differenti, che sono stati predisposti da persone con obiettivi differenti e che la protezione è solo uno dei tanti task che il programmatore doveva realizzare, non certo quello prioritario e, anzi, probabilmente antitetico rispetto ad altri task come la velocità del sistema, la fluidità dei processi, l’assenza di blocchi, la minimizzazione delle chiamate di assistenza, ecc.


Meno dati = meno rischi


La prossima volta che andremo in un grande centro diagnostico, in uno studio odontoiatrico, in una clinica, dovremo provare a fare caso a quanti dati sono già in loro possesso, online, nel computer accessibile dalla prima persona che ci accoglie e da tutte le altre persone che seguiranno il nostro trattamento.

Perchè chi ci stampa i referti deve poter vedere anche i referti precedenti?

Perché nella nostra area utente del fighissimo portale online, per scaricare i referti in autonomia, possiamo vedere più informazioni su di noi di quelle che conosce nostra madre?

Perchè all’accettazione vedono la cartella clinica di quando è nata mia moglie?


Già… la prossima volta. Di nuovo speriamo in un roseo domani, in una nuova alba di gioia e speranza. 


Iniziamo oggi. Iniziamo negando il consenso. Sempre e comunque. 


E all’obiezione “Signora, è per la sua comodità, così trova tutto nella sua area utente” potremo tranquillamente rispondere “APPUNTO!”


Un tempo, le automobili venivano pubblicizzate facendo leva sulla velocità massima raggiunta, l’accelerazione, i cavalli.

Oggi le pubblicità riguardano la sicurezza, l’affidabilità, l’autonomia o i costi di esercizio, l’impatto ambientale.


Quando le persone cominceranno a manifestare consapevolezza su questi temi, a comportarsi in modo più attento, quando le autorità di controllo faranno il loro lavoro (creando cultura della protezione dei dati personali, sanzionando chi non rispetta i principi del GDPR e orientando l’attività legislativa), quando “la privacy” diventerà una figata, un valore da tutelare, allora le aziende inizieranno a vendere privacy e garantiranno maggiori standard di protezione dei dati personali. 


Prosit






SEI UN PROFESSIONISTA?



SI


FANTASTICO! Fammi sapere come la pensi, il confronto è essenziale per migliorarsi.


Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di merda con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?


bene... allora mi devi una birra.

NO


Se ti è piaciuto l'articolo, se ti ha dato spunti utili per la tua vita privata o professionale, prendi in considerazione l'idea di ringraziarmi e puoi farlo in due modi:


- Condividendo il mio lavoro sui tuoi social. Questo aiuterà altre persone

- Con una donazione. Questo aiuterà me.




👇 👇 Clicca qui 👇 👇