Un cyber-attacco ai database della sanità italiana per evidenziarne le criticità e la scarsa sicurezza: sarebbero queste le motivazioni che avrebbero spinto alcuni membri di Anonymous Italia, gruppo di cyber-attivisti e hacker senza volto, a violare i database di alcune ASL ed enti correlati al sistema sanitario nazionale nella giornata del 24 dicembre. Nello specifico, sarebbero stati colpiti una decina di siti di associazioni di categoria, ospedali e uffici amministrativi e pubblici.
Dritto al cuore
L'ensemble di hacker ha pubblicato sul suo blog ufficiale i risultati dell'operazione di intrusione informatica, sottolineando come "[…] chi ci governa e chi dovrebbe trattare con cura i nostri dati/privacy, non fa il lavoro per cui viene profumatamente pagato".
Sulla pagina degli attivisti sono comparsi numerosi dati di tipo strutturale ed interno alle singole istituzioni, ma nessun dato sensibile e di carattere personale dei pazienti è stato diffuso. La scelta sembrerebbe l'effettiva concretizzazione di una volontà mirata del collettivo di "dimostrare" la debolezza del sistema senza provocare in alcun modo "danni collaterali".
"Oltre ad essere un diritto imprescindibile, la 'salute', sempre di più, significa anche la privacy dei nostri dati sensibili", hanno dichiarato gli hacker nel lungo post comparso sul loro blog. L'attacco, già grave di per sé, aumenta notevolmente di peso se si pensa che il sistema sanità rientra nelle priorità indicate a fine giugno dal Nis, la nuova regolamentazione europea che stabilisce degli standard piuttosto severi per quanto riguarda la cyber-sicurezza di enti e istituzioni classificati come "critici" per la sicurezza nazionale.
Vittime ma non troppo
Il cyber-attacco avrebbe avuto come obiettivo dieci enti del sistema sanitario, fra cui le ASL di Rieti e Viterbo, sui cui siti è comparsa una foto che ritrae una "rivisitazione" in chiave politica del presepe di cristiana memoria, l'Istituto superiore di sanità, l'Agenzia Nazionale per i servizi sanitari Regionali (Agenas), Federfarma, l'ospedale San Giovanni di Roma, Difarma (azienda che si occupa della distribuzione di prodotti farmaceutici), l'ASL di Caserta, l'azienda sanitaria lariana (operativa nell'area del lago di Como) e l'unità sanitaria locale di Legnano (Milano).
L'operazione condotta dai cyber-attivisti rientrerebbe in una strategia ben precisa, pubblicamente dichiarata alcuni giorni or sono sul blog del collettivo. Nella fattispecie, gli hacker di Anonymous hanno ufficialmente lanciato l’operazione "Paperstorm", una sorta di "chiamata alle armi" rivolta a tutti i cittadini al fine di sfiduciare e sbugiardare i media tradizionali, rei di fornire "notizie edulcorate, censurate o distorte" attraverso la creazione di murales, volantini o manifesti recanti gli slogan ed i simboli più famosi del collettivo di hacker.
Non è il primo ballo
L'ensemble di pirati informatici, per chi non lo sapesse, si è formata nel 2003 su di un blog di lingua inglese chiamato 4chan, dove il nickname "Anonymous" viene assegnato ad ogni visitatore non registrato al sito. Da qui si è arrivati ad elaborare il concetto di "identità condivisa", volta a combattere nell'ombra con mezzi più o meno leciti i "poteri forti", che ha portato gli affiliati al collettivo a definire come "Anonymous" un preciso stile di comportamento che si ispira a principi quali la libertà di pensiero ed espressione, piuttosto che un'organizzazione vera e propria.
Il collettivo di "hacktivisty" non è nuovo ad attacchi aventi come obiettivo figure chiave della pubblica amministrazione e dello Stato.
Basti pensare che, in collaborazione con altri collettivi di pirati informatici quali LulzSec Ita e AntiSec, tra il 29 ottobre e il 5 novembre scorsi hanno attaccato una serie di istituzioni italiane, dalle università ai sindacati, al Ministero dello Sviluppo Economico fino al sito della Polizia di Stato. Lo scopo, in questo caso, era sottolineare lo stato in cui versava la politica e l'impegno sociale dei partiti, da loro giudicato come "il motivo per cui il sistema Italia è ormai allo sbando ed in ginocchio", pubblicando una serie di dati e informazioni sensibili inerenti soprattutto i fondi dirottati su di essi dai partiti stessi.
La nostra privacy è a rischio?
La sicurezza dei nostri dati personali è probabilmente la sfida più importante che i big della tecnologia moderna affrontano e dovranno affrontare ogni giorno, in un mercato hi-tech in perenne evoluzione.
Se negli ultimi giorni l'argomento è tornato alla ribalta a causa delle vicende che hanno visto coinvolte Facebook e, alcuni giorni prima, Amazon, la domanda resta sempre la stessa: la nostra privacy è a rischio? Non è facile rispondere ad una domanda che, in sostanza, è una questione di carattere etico da un lato, ma prettamente tecnico dall'altro.
I principali indiziati della nostra "insicurezza" sono proprio i nostri compagni di vita hi-tech, gli smartphone. Si tratta, infatti, di strumenti estremamente versatili, quasi dei mini-assistenti tascabili, equipaggiati di tutta una serie di funzionalità e sensori, come ad esempio quelli di movimento o altri deputati alla raccolta di dati relativi al tempo atmosferico che, spesso, raccolgono dati senza il nostro diretto consenso.
Cosa fare in questo caso? La soluzione è, come al solito, il buonsenso, e consta di almeno due rapidi passaggi: il primo è la fonte delle applicazioni. Sia su Android che su iOS esistono delle applicazioni ufficiali verificate da Google e Apple, che evidenziano "in chiaro" a quali funzionalità accedono durante il loro funzionamento e cosa fanno dei dati raccolti.
Quindi è sempre bene diffidare di applicazioni non provenienti da fonti ufficiali e che, spesso, non forniscono dati sufficienti, o che magari richiedono l'accesso a funzionalità non logicamente correlate alla loro funzione primaria (se scarico un'app per registrare video, non servirà l'accesso alle chiamate e ai messaggi). La seconda regola prevede il dotarsi di un efficiente anti-virus fra i tanti nomi blasonati, come ad esempio Avast, Kaspersky, ecc., i quali consentiranno, nelle loro versioni gratuite, la possibilità di scandagliare (si consiglia di farlo almeno un paio di volte alla settimana) il proprio apparecchio alla ricerca di file infetti o pericolosi che sono sempre in agguato.
