Il databreach dell’Ospedale San Raffaele non è una bella pagina della digitalizzazione nazionale e ancor meno della difesa cibernetica del Paese.
L’Ufficio Stampa della struttura sanitaria ha faticosamente cercato di smentire la notizia, agevolata da un giornalismo pigro che non ama tirare le orecchie a chi sbaglia e che non capisce che certi argomenti vanno approfonditi perché la gente ha diritto di sapere e di capire.
Ho scritto due articoli sull’incidente informatico. L’ho fatto immedesimandomi in un paziente, un famigliare, un infermiere, un medico di quella struttura. Provando i loro stessi timori, sentendo la paura crescere dinanzi all’assenza di spiegazioni plausibili di quel che stava succedendo o – purtroppo – era già successo. Ho sperato – come ogni volta – che qualcuno prendesse sul serio il problema della sicurezza informatica almeno a seguito di un attacco ad un contesto fragilissimo.
Ho visto i tweet dei pirati informatici, riconoscendone la delusione nel vedere tanta indifferenza dinanzi alla loro spontanea autodenuncia, osservando le prove delle loro malefatte sprofondare nelle sabbie mobili dell’oblio.
Ho guardato le immagini, gli “screenshot” che costituiscono il moderno scalpo strappato al sistema informatico del nosocomio. E per un attimo ho avuto paura di trovarmi dinanzi a informazioni che dovevano rimanere riservate.
Pur sentendomi un pochino ridicolo, ho pensato di scrivere ai “banditi” un po’ come fanno i parenti disperati che implorano i rapitori di liberare il loro congiunto tenuto in ostaggio.
Sono rimasto impressionato per i tweet che riproducevano porzioni di videate in cui apparivano in chiaro nomi, cognomi, password e altri elementi più o meno significativi. Tra questi una pagina in cui appariva un elenco di persone, con i nomi cancellati in maniera un pochino maldestra che permetteva comunque l’identificazione dei soggetti interessati, che faceva riferimento alla “accettazione” inducendo a pensare che si trattasse dell’operazione di ingresso per ricovero o visita. Leggendo con attenzione la prima riga di quella immagine, ho facilmente riconosciuto la sequenza dei “campi” (ovvero delle “voci”) che strutturavano i “record” (ovvero le “schede”) di quell’archivio. Si legge “iscritto_ad_almeno_un_corso” e allora ho cominciato a credere che fosse un estratto di un database del personale interno o non dei pazienti.
La pubblicazione di quegli “screenshot” riporta ad una storia di mezzo secolo fa e più precisamente al rapimento di Paul Getty III avvenuto il 10 luglio 1973. Le immagini equivalgono alla porzione di orecchio che gli uomini della ‘ndrangheta spedirono alla famiglia per dare prova di avere l’ostaggio e per pretendere il riscatto.
Non ho idea di quale possa essere stato l’effettivo bottino dell’incursione digitale. Non mi importa se si tratta di “vecchia roba” come dice l’Ufficio Stampa o se invece “c’è dell’altro”.
L’intrusione c’è stata. Il databreach c’è stato. In ogni caso – siano informazioni sensibili oppure no – la violazione dei dati personali è evidente e le comunicazioni (al Garante e agli interessati) erano d’obbligo perché la legge (il Regolamento Europeo in materia di privacy) non fa distinzione tra dati “vecchiotti” o “freschi di giornata”. Anzi la presenza sui sistemi di informazioni “stagionate” confligge con i principi di “limitazione della conservazione” (che stabilisce che questa si limiti al tempo strettamente necessario) e di “esattezza” (che vuole che i dati siano esatti e aggiornati, con l’adozione di tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati).
Non divaghiamo. Sarà il Garante a valutare l’accaduto e lo farà con la serietà e la severità che lo contraddistinguono. Sarà la coscienza di chi ha trascurato le misure di sicurezza a far ammettere di avere incassato un goal che era oggettivamente preferibile non finisse in porta.
Questa però non è una partita, dove il tabellone – anche se a qualcuno nega il punteggio – segna un antipatico 1-0 a favore degli aggressori.
La sottrazione di dati personali non colpisce chi li detiene (magari incautamente), ma i soggetti (sicuramente innocenti) cui le informazioni si riferiscono. Sono quelle persone le vere vittime dell’incursione.
Proprio per questo chiedo a LulzSec e ad Anonymous di evitare la reiterazione dell’esibizione dello “scalpo” informatico del San Raffaele.
Qualunque cosa abbiate “copiato” da quei sistemi non deve essere diffusa. Basta così, anzi forse è stato fin troppo.
L’hacker si distingue dal criminale perché non specula, non trae profitto.
Per tanti anni ho fatto il “cacciatore” di chi come voi ne combinava di tutti i colori, riconoscendo lo spirito sportivo di una disciplina pericolosa in cui l’azzardo giovanile porta qualche equilibrista hi-tech a mettersi nei guai.
Quanto è successo spero serva di lezione a tutti. A chi – politico o manager – continua a sottovalutare la fragilità del mondo digitale. A chi gestisce i sistemi informatici, perché eviti disastri di qualunque portata. Alla gente comune perché abbia maggior cura dei propri dati personali che invece “sperpera” con tanta leggerezza.
E anche a voi. Se adesso guardate negli occhi la vostra preda (sbirciando le varie informazioni) vi accorgete che non è il San Raffaele, ma il dottor Tizio, l’infermiere Caio o il paziente Sempronio che non hanno nessuna colpa dell’incompetenza di chi doveva tutelare quegli archivi elettronici.
