La rivendicazione degli hacker del data breach all'Ospedale San Raffaele passa inosservata
I sistemi informatici del San Raffaele di Milano sono stati depredati a seguito di un “databreach” verificatosi nel marzo scorso. La notizia dell’intrusione fraudolenta arriva dal gruppo italiano LulzSec, noto alle cronache per scorribande di vario genere e in tempi recenti protagonista di una plateale campagna di smascheramento di pedofili che scambiavano materiale di pornografia infantile tramite canali Telegram.
Nessuno, fatte poche debite eccezioni, parla di questo nemmeno troppo ipotetico episodio. Nonostante la gravità di un eventuale incidente del genere, il vuoto pneumatico caratterizza lo scenario dell’informazione.
Il tweet di LulzSec, che avrebbe dovuto far saltare dalla sedia chi si occupa di cybersecurity e anche il semplice cittadino, è passato inosservato.
I pirati domandano se il San Raffaele abbia diligentemente segnalato al Garante la circostanza entro le fatidiche 72 ore concesse dal Gdpr. Al loro quesito viene da aggiungere se sono stati informati anche i soggetti cui i dati personali sottratti si riferiscono…
Alle domande si affianca anche una preoccupazione tutt’altro che marginale. Ma i file in questione sono stati soltanto copiati oppure è stata apportata qualche modifica così da inquinare irrimediabilmente gli archivi presi di mira?
(Nella foto: Il Generale Umberto Rapetto)
Nella desolante indifferenza globale, persino gli hacker si lamentano. Possibile che non freghi nulla a nessuno? Dove è finito il brioso parterre delle tante convention in materia di cybersecurity? Sono finite le tartine al salmone o i tramezzini prosciutto e formaggio?
Nel frattempo i birbaccioni di LulzSec cominciano a pubblicare piccoli assaggi come qualche elenco di file in loro possesso.
L’immagine viene lanciata su Twitter e l’indifferenza regna sovrana.
Non contenti di aver fatto sapere di avere l’elenco di chi si è presentato in accettazione con tanto di codice fiscale (alla faccia della linea gialla che tiene lontani gli sguardi indiscreti), i briganti aggiungono altri screenshot tutt’altro che rassicuranti contenenti un impietoso elenco di account, parole chiave e altri dati (che nel frattempo gli interessati – riconoscendosi – speriamo abbiano modificato).
E’ l’opportunità per scoprire la ridotta fantasia degli utenti abilitati ad accedere ai sistemi del San Raffaele: le password visualizzate dai pirati informatici comprovano una ridotta attenzione al problema della sicurezza e rendono ben comprensibile il verificarsi di “scippi” digitali di questa natura.
Il problema non è limitato ai singoli utilizzatori (medici, infermieri…) ma è esteso anche e soprattutto ad un management irresponsabile che crede – negando ogni evidenza – che certi misfatti passino inosservati.
La mancata adozione di misure di sicurezza non solo comporta l’applicazione di severe sanzioni in tema di privacy, ma vanifica la configurabilità di qualunque reato informatico in danno all’Ospedale. La legge – e i consulenti del San Raffaele dovrebbero saperlo – prescrive (in ogni articolo del codice penale che tratta comportamenti criminali di questo genere) un ferreo “protetti da misure di sicurezza” in assenza delle quali i sistemi bersaglio sono terra di nessuno e chiunque vi può indebitamente pascolare…
In tutto questo bailamme il San Raffaele non smentisce e il Csirt (la struttura di sicurezza cibernetica del DIS alla Presidenza del Consiglio) non sembra dare segni di vita come già aveva fatto in occasione dell’attacco ai supercomputer del Cineca che lavoravano per la ricerca sul Covid-19.
C’è solo da augurarsi che LulzSec smetta di tirare fuori altre prove dell’avvenuta incursione che a quanto pare non interessano nessuno.
di Umberto Rapetto (Il Fatto Quotidiano)
