I sistemi informatici del San Raffaele di Milano sono stati depredati a seguito di un “databreach” verificatosi nel marzo scorso. La notizia dell’intrusione fraudolenta arriva dal gruppo italiano LulzSec, noto alle cronache per scorribande di vario genere e in tempi recenti protagonista di una plateale campagna di smascheramento di pedofili che scambiavano materiale di pornografia infantile tramite canali Telegram.
Nessuno, fatte poche debite eccezioni, parla di questo nemmeno troppo ipotetico episodio. Nonostante la gravità di un eventuale incidente del genere, il vuoto pneumatico caratterizza lo scenario dell’informazione.
Il tweet di LulzSec, che avrebbe dovuto far saltare dalla sedia chi si occupa di cybersecurity e anche il semplice cittadino, è passato inosservato.
Beh che dire.. @SanRaffaeleMI, avete comunicato al Garante il #databreach di due mesi fa? Visto che avete già chiuso tutte le vulnerabilità.. anche se troppo tardi :D #StayTuned #GDPR #Hacked #Anonymous #LulzSecITA pic.twitter.com/ulu0CUBPxh
— LulzSecITA (@LulzSec_ITA) May 20, 2020
I pirati domandano se il San Raffaele abbia diligentemente segnalato al Garante la circostanza entro le fatidiche 72 ore concesse dal Gdpr. Al loro quesito viene da aggiungere se sono stati informati anche i soggetti cui i dati personali sottratti si riferiscono…
Alle domande si affianca anche una preoccupazione tutt’altro che marginale. Ma i file in questione sono stati soltanto copiati oppure è stata apportata qualche modifica così da inquinare irrimediabilmente gli archivi presi di mira?
Nella desolante indifferenza globale, persino gli hacker si lamentano. Possibile che non freghi nulla a nessuno? Dove è finito il brioso parterre delle tante convention in materia di cybersecurity? Sono finite le tartine al salmone o i tramezzini prosciutto e formaggio?
Nel frattempo i birbaccioni di LulzSec cominciano a pubblicare piccoli assaggi come qualche elenco di file in loro possesso.
L’immagine viene lanciata su Twitter e l’indifferenza regna sovrana.
Non contenti di aver fatto sapere di avere l’elenco di chi si è presentato in accettazione con tanto di codice fiscale (alla faccia della linea gialla che tiene lontani gli sguardi indiscreti), i briganti aggiungono altri screenshot tutt’altro che rassicuranti contenenti un impietoso elenco di account, parole chiave e altri dati (che nel frattempo gli interessati – riconoscendosi – speriamo abbiano modificato).
E’ l’opportunità per scoprire la ridotta fantasia degli utenti abilitati ad accedere ai sistemi del San Raffaele: le password visualizzate dai pirati informatici comprovano una ridotta attenzione al problema della sicurezza e rendono ben comprensibile il verificarsi di “scippi” digitali di questa natura.
Il problema non è limitato ai singoli utilizzatori (medici, infermieri…) ma è esteso anche e soprattutto ad un management irresponsabile che crede – negando ogni evidenza – che certi misfatti passino inosservati.
La mancata adozione di misure di sicurezza non solo comporta l’applicazione di severe sanzioni in tema di privacy, ma vanifica la configurabilità di qualunque reato informatico in danno all’Ospedale. La legge – e i consulenti del San Raffaele dovrebbero saperlo – prescrive (in ogni articolo del codice penale che tratta comportamenti criminali di questo genere) un ferreo “protetti da misure di sicurezza” in assenza delle quali i sistemi bersaglio sono terra di nessuno e chiunque vi può indebitamente pascolare…
In tutto questo bailamme il San Raffaele non smentisce e il Csirt (la struttura di sicurezza cibernetica del DIS alla Presidenza del Consiglio) non sembra dare segni di vita come già aveva fatto in occasione dell’attacco ai supercomputer del Cineca che lavoravano per la ricerca sul Covid-19.
C’è solo da augurarsi che LulzSec smetta di tirare fuori altre prove dell’avvenuta incursione che a quanto pare non interessano nessuno.
Riceviamo e pubblichiamo la seguente replica dell’IRCCS Ospedale San Raffaele
La situazione a cui si fa riferimento, riportata da fonte non attendibile, si riferisce a un tentativo di intrusione avvenuto mesi fa che non ha comportato l’accesso ad alcun dato sensibile. I nominativi di molti operatori sono pubblici per ragioni di servizio e le informazioni pubblicate sono relative a un’applicazione dedicata alla formazione online dismessa da anni con utenze e password di accesso altrettanto obsolete e dismesse. La direzione dell’Ospedale è già in contatto con gli organi competenti per fornire ogni utile chiarimenti.
Controreplica dell’autore
L’attendibilità della fonte – nel mondo dell’intelligence, dell’investigazione e del giornalismo – è stabilita da regole che prescindono dalle qualità etiche, morali, legalitarie della stessa. Viene classificata tecnicamente con lettere alfabetiche (dove dalla lettera A a seguire ci si riferisce al soggetto che informa) e numeriche (da 1 a scendere per qualificare la notizia). Trattandosi di una sorta di confessione documentata, forse con un po’ di leggerezza si sarebbe portati a qualificare A1 l’input scovato su Twitter.
Mi si permetta quindi di divergere con il “da fonte inattendibile” di cui si fa cenno nel laconico comunicato stampa. Se valesse il principio per il quale un, per così dire, “poco di buono” non possa essere a conoscenza di dettagli di eventi criminosi, il fenomeno dei “pentiti” e delle indicazioni da loro fornite per il buon esito delle indagini non avrebbe mai trovato radice.
Intanto si apprende che un tentativo di intrusione c’è stato. Il fatto “che non ha comportato l’accesso ad alcun dato sensibile” lascia libertà di interpretazione e permette legittimamente di pensare che il tentativo non sia fallito e che l’accesso si sia limitato a dati “non sensibili”. Sarebbe interessante quindi avere qualche dettaglio in più, così da tranquillizzare l’opinione pubblica e in maniera da evitare voli pindarici aiutati dalla corrente ascensionale degli screenshot pubblicati dal gruppo di hacker “LulzSec”.
P.S. L’Ufficio Stampa del San Raffaele ha modificato il suo comunicato aggiungendo a “I nominativi di molti operatori sono pubblici per ragioni di servizio” il pezzo di frase “e le informazioni pubblicate sono relative a un’applicazione dedicata alla formazione online dismessa da anni con utenze e password di accesso altrettanto obsolete e dismesse”. La precisazione conferma quindi l’avvenuta intrusione e non il compimento di un semplice tentativo. Quando si fa riferimento alle “informazioni pubblicate” si tengono anche in considerazione quelle esibite nel tweet con cui gli hacker mostrano presunti dati relative all’operazioni di accettazione nel nosocomio. Rientrano anche quelle nella “applicazione dedicata alla formazione online dismessa da anni”?