Sanità fuori dalla cybersecurity nazionale. Cosa mai potrà andare storto?

E’ allo studio lo schema di decreto del Presidente del Consiglio dei ministri in materia di perimetro di sicurezza nazionale cibernetica (http://documenti.camera.it/apps/nuovosito/attigoverno/Schedalavori/getTesto.ashx?file=0177.pdf&leg=XVIII#pagemode=none)

Con tale atto si individuano i soggetti che sono tenuti ad una serie di obblighi, al fine di garantire la sicurezza informatica nazionale (cibernetica).

Il motivo è semplice: avere una strategia unica e stabilire delle misure minime da adottare  per garantire che pezzi importanti dello Stato (p.es.: esercito) non subiscano attacchi hacker tali da compromettere la sicurezza nazionale.

In tale perimetro, che dovrebbe costituire una sorta di “barriera cibernetica” per lo Stato, sono stati compresi i seguenti settori: difesa, spazio e aerospazio, energia, telecomunicazioni, economia e finanza, trasporti, servizi digitali, tecnologie critiche, enti previdenziali/lavoro.

Bene sembrano esserci tutti…emmmmh, no non ci sono tutti: manca la Sanità.

Siiii, ma mi vuoi dire che la Sanità è un settore cruciale per la vita di uno Stato?

Secondo me sì. Immaginate, facendo uno sforzo notevole, che ad un certo punto un’emergenza sanitaria metta sotto pressione lo Stato, bloccando le attività economiche, minando la coesione sociale. Ci siete? Quando mai potrà accadere una cosa del genere?

Ma continuiamo ad immaginare.

Immaginate ora che, con gli ospedali pieni e il personale sotto pressione e il Sistema Sanitario sull’orlo del collasso, le apparecchiature salva-vita tutte impegnate e quasi nessuna disponibile, ci sia un attacco hacker che blocchi gli ospedali.

Siiii, direte voi, ma quando mai potrà accadere! Beh, in effetti è già accaduto nel 2017 ( https://tecnologia.libero.it/ransomware-blocca-il-sistema-sanitario-britannico-ospedali-fuori-uso-11924 ). Un virus, che si scaricava tramite un link da una mail, infettava tutti i computer dell’ospedale, anche senza nessuna interazione con l’utente dei pc, e li bloccava. Chiaramente, poteva bloccare anche tutte le apparecchiature salva-vita collegate in rete.

Vabbè, ma vuoi dire che qualcuno possa essere così senza scrupoli da attaccare i computer degli ospedali durante un’epidemia?

Beh, diciamo che è accaduto, secondo le autorità degli USA.

Ok, direte voi, qualche hacker sparso ci può essere, ma non sono attacchi sistematici portati avanti da grosse organizzazioni, tali da mettere in pericolo la sicurezza nazionale

No, la famosa National Security Agency degli USA, in un comunicato congiunto con le corrispondenti Agenzie Britannica e Canadese del 16 luglio, ha rilasciato un report attestante che i Servizi Segreti Russi hanno lanciato attacchi hacker a strutture inglesi e del Nord-America, cercando di sottrarre importanti informazioni sul vaccino per il COVID-19 (https://media.defense.gov/2020/Jul/16/2002457639/-1/-1/0/NCSC_APT29_ADVISORY-QUAD-OFFICIAL-20200709-1810.PDF)

Inoltre, sempre gli USA, stavolta il Dipartimento della Difesa, ha rilasciato il 21 luglio un altro comunicato dicendo che hackers, riconducibili ai Servizi della Cina, hanno attaccato strutture statunitensi al fine di sottrarre informazioni sulla ricerca e lo sviluppo del vaccino  per il COVID-19 ( https://www.justice.gov/opa/press-release/file/1295981/download )

Insomma, ancora non siamo usciti dallo stato di emergenza, i Servizi di Intelligence occidentali (USA, UK, Canada) ci avvertono che sono in corso attacchi hacker contro strutture sanitarie al fine di sottrarre informazioni sulla ricerca contro il COVID-19, e l’Italia non fa rientrare la Sanità nel perimetro di cibernetica nazionale.

Già, cosa mai potrà andare storto?

Inps, sito in tilt: il Garante privacy avvia l’istruttoria

A seguito delle numerose segnalazioni pervenute e della notifica di data breach effettuata dall’INPS, in relazione alla violazione di dati personali che ha riguardato il suo sito istituzionale, il Garante per la protezione dei dati personali ha avviato un’istruttoria allo scopo di effettuare opportune verifiche e valutare l’adeguatezza delle contromisure adottate dall’Ente e gli interventi necessari a tutelare i diritti e le libertà degli interessati.
Al fine di non amplificare i rischi per le persone i cui dati personali sono stati coinvolti nel data breach e non incorrere in possibili illeciti, l’Autorità richiama l’attenzione sulla assoluta necessità che chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli, ad esempio sui canali social, rivolgendosi piuttosto allo stesso Garante per segnalare eventuali aspetti rilevanti.

Virus vs Privacy? Il gioco vale la candela?

Tutti noi utilizziamo Google Maps e siamo stati subito pronti a cedere i nostri dati a Google pur di evitare la coda in macchina.
Google traccia i movimenti di tutti gli utenti del mondo, così è in grado di dirci se in una determinata via c’è traffico, cosi che noi possiamo evitarlo.
Certo sarebbe bello poter fare la stessa cosa con il coronavirus: Google ci dice se in un determinato centro aggregazione, che sia un market o un cinema o la via centrale del paese, vi sono stati tanti positivi, in modo da evitare quella zona ed evitare di essere contagiati.
Ma tutto ciò è proprio quello che è stato proposto fin dall’inizio da preparati professori del  Politecnico di Milano della Business School della Bocconi, cioè il tracciamento dei positivi mediante gli smartphone.
A fronte di ciò c’è stata una levata di scudi di tanti giuristi, esperti di privacy e cittadini che hanno detto che sarebbe stato un invasione eccessiva nella privacy di ciascuno di noi.
Senza scendere nei dettagli tecnici ( per cui rinvio alle proposte effettuate da chi è più competente di me), osservo solamente che noi siamo pronti a cedere i nostri dati per evitare una coda in auto, oppure per permettere l’installazione di un’applicazione di videogiochi, ma non per evitare una pandemia.
Ma chi di noi si è mai fermato veramente a vedere i dati a cui hanno accesso le applicazioni sul nostro telefono?
Già ordinariamente tante applicazioni, non solo Google, hanno accesso ai nostri dati georeferenziati, ai nostri contatti, hanno possibilità addirittura di scrivere sul nostro dispositivo, di creare ed eliminare file, di prendere files e mandarli chissà dove.
Inoltre anche sui social sostanzialmente esponiamo i nostri dati riguardante le nostre opinioni e la nostra rete di relazioni, tutto per qualche like.
Perché allora non cedere i nostri dati allo stesso modo in cui lo facciamo per tante e tante e  tante app, per cercare di evitare i luoghi di contagio e per cercare di capire come possono essere stati contagiati i soggetti positivi?
A me piacerebbe un’app che mi dicesse quali sono i luoghi dove ho più probabilità di essere contagiato. E cederei facilmente i miei dati sugli spostamenti.