Italia: immagini diagnostiche e dati personali non protetti accessibili via internet

Privacy, Sicurezza, Vulnerabilità

Alcune strutture medico-sanitarie italiane con quasi 6 milioni di immagini diagnostiche, raggi X – TC e MRI, non protette da password o non crittografate risultano accessibili via internet e potrebbero essere visionate da chiunque.

Per archiviare e accedere alle immagini diagnostiche le strutture medico-sanitarie utilizzano sistemi di archiviazione conosciuti come server PACS (Picture Archiving and Communication Systems) basati sullo standard DICOM (Digital Imaging and COmmunications in Medicine), le immagini diagnostiche servono ai medici per fare diagnosi e per elaborare piani di trattamento mirato sui pazienti.

Per i test, iniziati la metà di luglio 2019 e terminati ad inizio settembre, sono stati utilizzati sistemi automatizzati indispensabili per la ricerca dei dispositivi collegati alla rete internet. I laboratori di sicurezza informatica tedeschi della Greenbone Networks, hanno analizzato 2300 server a livello mondiale rilevandone 590 non protetti che contenevano oltre 730 milioni di immagini radiologiche mediche non protette. Di queste, quasi 400 milioni potevano essere visualizzate e scaricate.

Nella classifica stilata dalla Greenbone Networks, fra tutti i Paesi al mondo l’Italia occupa i primi posti per mancanza di standard di sicurezza. Detiene purtroppo il primo posto in Europa per la più alta quantità di sistemi non protetti e potenzialmente preda del cybercrimine.

Greenbone
Fonte: Greenbone Networks

I record esposti e quindi alla mercè di chiunque sono circa 23,4 milioni e comprendono i seguenti dettagli personali e medici:

  • Nome e cognome
  • Data di nascita
  • Data dell’esame
  • Portata dell’indagine
  • Tipo di procedura di imaging
  • Medico curante
  • Istituto / clinica
  • Numero di immagini generate

Tutti i dati disponibili potrebbero essere usati dai criminali informatici per molteplici scopi:

  • Furto d’identità medica
  • Truffe alle assicurazioni sanitarie
  • Pishing
  • Compromissione di e-mail aziendali

il furto delle informazioni mediche dei pazienti potrebbero portare anche a:

  • Estorsione
  • Aggiungere o modificare i dati per colpire qualcuno
  • Colpire personalità pubbliche

Quanto potrebbe valere una quantità così enorme di dati se venissero venduti all’interno delle darknet?

Una cifra esatta è impossibile ipotizzarla, ma alcuni dati ci possono aiutare a comprende meglio il motivo per il quale dati del genere non dovrebbero mai finire nelle mani sbagliate.

Lo scorso aprile l’HHS, il Dipartimento americano della salute e dei servizi umani, ha pubblicato un documento dove veniva descritto che il valore medio/massimo di un libretto sanitario elettronico (EHR) era pari a 250/1000 dollari.
Se a questo aggiungiamo che un singolo set di dati recuperabili attraverso i server PACS non protetti potrebbe essere venduto in una darknet ad un prezzo medio di 50 dollari, il valore di tutti i 23,4 milioni di record salirebbe ad oltre 1,2 miliardi di dollari.
Fonte: Greenbone Networks

Lascia un commento