5 milioni di esami medici online senza protezione, indaga il Garante della privacy

Articolo di Luca Zorloni su Wired del 10/10/2019

Italia maglia nera in Europa per numero di radiografie esposte in rete senza protezione. Dopo la scoperta di una società tedesca, l’Autorità italiana indaga

Oltre 5,8 milioni di radiografie, salvate con una serie di dati personali molto sensibili, come nome e cognome del paziente e motivo dell’esame, su server non protetti. E accessibili via internet anche a curiosi non autorizzati. È questa la scoperta fatta in Italia da Greenbone Networks, società tedesca di sicurezza informatica, che tra luglio e settembre ha analizzato le misure di protezione di 2.300 database medici, scoprendo che quasi uno su quattro, 590 per la precisione, è accessibile online. Offrendo a occhi indiscreti, o peggio, a malintenzionati, 24 milioni di dati relativi a pazienti da 52 Paesi nel mondo. Tra cui l’Italia, che spicca in Europa con il triste primato di immagini e data set esposti.

Il Garante della privacy ha aperto un’indagine sul caso. Come può anticipare Wired, l’autorità guidata da Antonello Soro ha un’istruttoria in corso per fare luce sulla falla nelle misure di protezione, stabilire le responsabilità e capire quanti pazienti italiani si ritrovati con i loro esami sbandierati ai quattro venti. Il Garante sta lavorando, per ora sotto traccia, per definire il perimetro del buco nei server e mettere in sicurezza informazioni sensibili. Per questo la partita è quanto mai delicata.

I buchi nel sistema

Ospedali e ambulatori ricorrono a sistemi di archiviazione e comunicazione delle immagini, detti in inglese Pacs, che servono a salvare le radiografie dei pazienti e a renderle disponibili nelle cartelle cliniche digitali per la consultazione da parte di vari medici, attraverso il protocollo Dicom (digital imaging and communications in medicine). Non è una novità che i server Pacs siano vulnerabili. Ma finora nessuno aveva provato a censire i database fallati.

Lo ha fatto Greenbone, che ha scoperto in tutto il mondo archivi accessibili online: 13, 7 milioni di data set negli Stati Uniti, 4,9 milioni in Turchia, 2,3 milioni in Sudafrica. In Europa la maglia nera va all’Italia, con 102.893 data set esposti, per un totale di oltre 5,8 milioni di immagini e 1,15 milioni di accessi. In Repubblica Ceca ci si può intrufolare in 97mila data set, in Francia si possono spiare 5,3 milioni di esami. L’Italia ha anche il più alto numero di sistemi esposti: 10, seguita dalla Francia con 7 e dalla Germania con 6.

Indagine sui responsabili

“Questa fuga di dati a livello globale colpisce i regolamenti sulla protezione delle informazioni in Europa (Gdpr), così come negli Stati Uniti (Hipaa)”, scrivono i ricercatori dell’azienda tedesca. I responsabili, insomma, dovranno rispondere del perché dati così sensibili era visibili online senza alcuna tutela. I record contengono nome e cognome dei pazienti, data di nascita, giorno dell’esame e motivo, tipo di analisi, medico responsabile, istituto o clinica e numero di immagini generate.

Dati che possono essere rivenduti nel dark web, da pochi dollari fino a 500 a botta, come ha evidenziato una ricerca della società di sicurezza informatica statunitense Carbon Black. Greenbone ha calcolato che questi data set potrebbero valere 50 euro l’uno, generando un giro d’affari di 1,2 miliardi di dollari.

Quanto è emerso dal rapporto redatto da Greenbone è sconcertante. La disponibilità di dati sensibili online, come quelli sanitari, potrebbe offrire molteplici opportunità a un attore malevolo”, spiega a Wired Pierluigi Paganini, responsabile tecnologico della società di sicurezza informatica Cybaze e membro di Enisa, l’agenzia europea della cybersecurity. E aggiunge: “I dati potrebbero essere utilizzati da gruppi criminali per organizzare frodi di vario tipo, oppure per finalità estorsive, minacciando per esempio i pazienti di divulgare le proprie patologie con ovvie ripercussioni sul loro vissuto quotidiano. I dati potrebbero anche essere illegalmente acquisiti da aziende, che potrebbero utilizzarli per discriminare i pazienti, per esempio non assumendo un individuo a causa della patologia di cui è affetto”.

Attivare gli scudi

La società ha inoltrato i risultati delle ricerche alle autorità responsabili dei paesi coinvolti, come ha fatto sapere un portavoce a Wired. E in Italia il Garante per la privacy si è mosso con un’indagine, visto che i server fallati violano sia le regole del Gdpr, sia quelle della direttiva Nis e del perimetro cibernetico nazionale, che impongono a enti e aziende che forniscono servizi essenziali per la vita di una nazione di alzare le barriere di difesa dagli attacchi informatici. E ospedali, cliniche e laboratori di analisi rientrano in questo campo.

Il governo si è dato un anno per decidere chi è dentro, ma l’impennata delle intrusioni nei sistemi sanitari, del 98% tra 2017 e 2018, come evidenzia il rapporto dell’associazione italiana di cybersecurity, Clusit, detta una marcia a tappe serrate. Se poi i dati sono abbandonati a loro stessi online, senza alcuna protezione, la situazione si fa ancora più grave. E l’impressione è che questo sia solo l’inizio.