Quanto valgono i dati sanitari in vendita nel dark web

(Via la Repubblica)

Dai 500 a pochi dollari. Ecco quanto può fruttare ai criminali informatici statunitensi vendere i dati sanitari nel dark web. Un bottino che rende le strutture ospedaliere un bersaglio privilegiato dei cracker: delle reali El Dorado in cui rubare facilmente delle informazioni che possono valere oro. Lo documenta una ricerca pubblicata da Carbon Black, società Usa che sviluppa software con l’obiettivo di proteggere le organizzazioni dagli attacchi informatici, e condotta con il contributo di 20 responsabili alla sicurezza delle principali industrie sanitarie d’oltreoceano.

500 euro per un certificato di laurea in medicina
Non è un caso se l’83% delle organizzazioni sanitarie sentite per il report ha dichiarato di aver notato un incremento degli attacchi informatici durante lo scorso anno. Un dato che trova conferma anche nell’ultimo rapporto presentato dal Clusit, l’associazione italiana della sicurezza informatica, in cui si legge che “il mondo sanitario è stato al centro di numerosissimi attacchi” e nel 2018 il “numero di casi censiti a livello globale, orientati soprattutto a finalità di cybercrime e di furto di dati personali, è aumentato del 99% rispetto al 2017”. Attacchi che sono in grado di avere serie ripercussioni nella vita quotidiana, come dimostra il caso WannaCry che nel 2017 mandò in tilt i nosocomi britannici, e di cui i pirati informatici si servono per rubare tutte le informazioni sensibili riguardanti la nostra salute, ma non solo. Sembra che a valere di più nel mercato nero siano i dati dei medici, venduti anche per 500 dollari. Si trovano certificati di laurea in medicina, documenti amministrativi e ogni altro attestato che l’acquirente può utilizzare per spacciarsi per il dottore in questione e commettere frodi ai danni, ad esempio, del sistema assicurativo. Ci sono poi le informazioni che possono servire a creare delle false ricette mediche e i dati sul nostro stato di salute che potrebbero essere sfruttati per ricattarci. Di poco valore sono, invece, le credenziali usate per accedere ai sistemi informatici sanitari per via del fatto che possono essere cambiate rapidamente quando la compromissione viene scoperta.

La compravendita sul dark web
Prezzi e ragioni della compravendita sono sicuramente differenti nel nostro paese, dove – diversamente dagli Stati Uniti  – il servizio sanitario nazionale non è in mano a compagnie private ma gestito dallo Stato italiano. Tuttavia il mercato è globale, avverte Andrea Zapparoli Manzoni, membro del consiglio direttivo del Clusit. Questi dati vengono venduti dai pirati informatici nel dark web, spesso tramite un intermediario, e acquistati dai soggetti più disparati. Potenzialmente si va da piccole imprese interessate a una serie di informazioni, non altrimenti reperibili e utili per lo sviluppo di un nuovo farmaco, a chi si occupa di truffe finanziarie, o assicurative. 

Come rubare in un negozio di caramelle
C’è un altro aspetto da tenere conto, quando si parla dell’incremento di attacchi nei confronti delle strutture sanitarie: l’estrema facilità con cui si riesce a compromettere i loro sistemi informatici. “Come dimostra l’efficacia di attacchi pensati per colpire gli utenti domestici, ad esempio WannaCry, è semplice come rubare in un negozio di caramelle”, commenta Stefano Zanero, professore di sicurezza informatica del Politecnico di Milano. In Italia, in particolare, manca trasparenza in merito alla vulnerabilità dei sistemi e, “aneddoticamente, i casi isolati che abbiamo avuto modo di valutare indicano che la sicurezza è carente sia per quel che riguarda le applicazioni che le Reti. La conformità al Gdpr (il nuovo regolamento europeo per la protezione dei dati personali che impone di trattare i dati sanitari come sensibili ndr) è per lo più pro-forma”. Nell’ultima relazione annuale, quella di fine mandato per Antonello Soro, anche il garante per la privacy è intervenuto sull’argomento: “La carente sicurezza dei dati sanitari e dei sistemi che li ospitano può rappresentare una causa di malasanità”, ha avvertito Soro.

Fonte: la Repubblica