Cyber Security e dati sanitari: circa 5 milioni e 800 mila immagini sanitarie sono liberamente accessibili tramite Internet
Da uno studio compiuto da una Società di Cyber Security tedesca è emerso come l’accesso a 590 archivi informatici contenenti dati sanitari sia libero e non protetto.
Greenbone Networks GmbH è una Società tedesca con sede a Osnabrück, specializzata in sicurezza informatica. Il 16 settembre 2019 è stato pubblicato e reso disponibile sul sito internet dell’azienda un Report (Information Security Report – Confidential patient data freely accessible on the internet) riguardante la diffusione e disponibilità in Internet di dati sanitari. Il quadro fornito è fonte di numerosi spunti di riflessione sullo stato attuale della protezione dei dati sanitari a livello globale.
L’azienda tedesca tra luglio e settembre di quest’anno ha analizzato circa 2300 archivi informatici connessi a Internet contenenti immagini sanitarie (esiti di esami radiografici). I dati vengono archiviati tramite server PACS (Picture Archiving and Communication Systems) e resi disponibili ai medici tramite il protocollo DICOM (Digital Imaging and Communications in Medicine). La mancanza di sicurezza e la libera fruibilità di questi dati non sono una novità, anzi, da anni ne viene denunciata la vulnerabilità.
Il protocollo DICOM viene utilizzato a livello globale come standard per la gestione, l’archiviazione la stampa e la trasmissione di immagini sanitarie. Include un formato di file apposito e un protocollo ad hoc per la trasmissione dei file in rete. Il protocollo viene utilizzato per l’archiviazione dei dati e per la trasmissione delle informazioni tra gli archivi e gli utilizzatori delle immagini.
Vediamo nel dettaglio cosa emerge dal documento. Dei 2300 archivi analizzati in tutto il mondo, 590 sono risultati accessibili da Internet: il numero di dati archiviati in questi server è pari a 24 milioni, suddivisi tra 52 Paesi. Ci sino più di 737 milioni di immagini connesse al nome del paziente e circa 400 di queste sono facilmente accessibili e scaricabili tramite Internet.
Le precedenti informazioni potenzialmente potrebbero essere oggetto di un facile attacco informatico che metterebbe a rischio informazioni quali: nome, cognome, immagini radiografiche, ed eventuali patologie che affliggono il paziente. Il danno che la diffusione di queste informazioni potrebbe arrecare è enorme: ricordiamo, infatti, che in molti Paesi il sistema sanitario non è pubblico, ma privato (collegato ad assicurazioni).
La Società di cyber security ha affermato che si tratti “di uno dei più grandi data glitch globali con 52 Stati globalmente coinvolti”. I Paesi coinvolti sono: Argentina, Australia, Brasile, Canada, Cina, Egitto, Francia, Germania, India, Iran, Italia, Giappone, Corea, Messico, Olanda, Russia, Sud Africa, Spagna, Svizzera, Turchia, Regno Unito e U.S.A.
In Italia la falla riguarda 10 sistemi di archiviazione delle immagini, con correlate 5.843.319 immagini.
Da quanto riportato dalla rivista Wired “La società ha inoltrato i risultati delle ricerche alle autorità responsabili dei paesi coinvolti, come ha fatto sapere un portavoce a Wired. E in Italia il Garante per la privacy si è mosso con un’indagine, visto che i server fallati violano sia le regole del Gdpr, sia quelle della direttiva Nis e del perimetro cibernetico nazionale, che impongono a enti e aziende che forniscono servizi essenziali per la vita di una nazione di alzare le barriere di difesa dagli attacchi informatici. E ospedali, cliniche e laboratori di analisi rientrano in questo campo”.
I dati potrebbero, infatti, essere utilizzati per furti di identità o frodi finanziarie.
Attendiamo ora quali saranno le ripercussioni del problema nel nostro Paese e che impatto avranno sugli Interessati.