Autore: wp_6910267

Lo scorso 15 gennaio la Personal Data Protection Commission (PDPC), l’Autorità Garante per la Protezione dei Dati Personali di Singapore, ha sanzionato alcune organizzazioni appartenenti al sistema sanitario pubblico del paese orientale.

L’indagine ha riguardato la società dei servizi sanitari (Singapore Health Services Pte Ltd) e la società che gestisce il sistema informativo integrato dei servizi sanitari (IHIS – Integrated Health Information Systems Pte Ltd); la prima è stata condannata al pagamento di 250.000 $ mentre la seconda al pagamento di 750.000 $.

L’indagine della PDPC ha scoperto che:

• sono stati sottratti nome, cognome, data di nascita, codice sanitario, razza, sesso ed indirizzo di quasi un milione e mezzo di pazienti;
• sono state sottratte le prescrizioni terapeutiche di quasi 150.000 pazienti;
• l’attacco ha avuto efficacia perché un utente interno della società dei servizi sanitari ha abboccato ad una e‑mail di phishing cliccando sul link che gli proponeva;
• la password amministrativa del sistema era P@ssw0rd ed è stata facilmente scoperta dall’attaccante.

Naturalmente, appena scoperta la violazione, la IHIS ha provveduto a mettere in atto misure di contenimento che, tuttavia, non hanno potuto limitare i danni già fatti:

• ha resettato per due volte, in successione ripetuta, gli account di accesso al sistema informativo;
• ha rivisto le regole del firewall;
• ha ripulito i server per assicurarsi che non ci fossero residui di software malevolo al loro interno;
• ha implementato una politica di cambiamento obbligatorio delle password degli utenti e degli amministratori;
• ha rafforzato il monitoraggio sulle attività degli amministratori.

Tutto questo per aver curato i pazienti ma non aver curato a sufficienza i meccanismi di riduzione dei rischio per i dati personali.

I più giovani non possono ricordare l’origine del bollino blu. Era (ed è) il tratto distintivo di una nota società di importazione di frutta esotica che decise, nel 1963, di certificare la qualità della propria merce attraverso l’applicazione di un bollino adesivo.

È un po’ quello che auspica l’ENISA (l’Agenzia Europea per la Sicurezza delle Reti e dell’Informazione) nell’ultimo rapporto pubblicato il 15 gennaio scorso. Il rapporto si occupa di uno specifico ambito del Reg. UE 910/2014, noto come regolamento eIDAS, che disciplina le modalità di identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nell’Unione Europea. In particolare, il rapporto affronta la fiducia che i navigatori devono avere in un sito web. Questo aspetto è disciplinato dall’art. 45 del regolamento eIDAS che stabilisce che i certificati qualificati di autenticazione dei siti web debbano essere conformi all’allegato IV dello stesso regolamento.

Ma, per il navigatore comune, che significa? Significa che, durante la navigazione, il browser dell’utente ed il sito web si scambiano informazioni utilizzando un particolare insieme di regole (protocollo SSL/TLS) attraverso il quale lo stesso sito web presenta una carta d’identità rilasciata da un particolare ente di certificazione. Il problema è che gli enti di certificazione non sono autorità pubbliche e, quindi, quale credito dare alle carte d’identità che rilasciano? Come possiamo essere sicuri che non rilascino false carte d’identità?

In questo momento, questa assicurazione è fornita dai browser (Internet Explorer, Mozilla Firefox, Google Chrome, ecc.) che hanno una lista di enti di certificazione che considerano affidabili. Questo, per l’ENISA non basta: serve un meccanismo che sottoponga gli enti di certificazione a verifiche puntuali secondo requisiti stabiliti da appositi istituti di standardizzazione: nel caso specifico dall’European Telecommunications Standards Institute (ETSI). Ma non basta: l’utente deve poter avere evidenza del fatto che le carte d’identità siano effettivamente state rilasciate da enti certificati secondo gli standard previsti.

Quindi, bollino blu non solo sulle banane: anche sui siti web.