Se hai un pacemaker gli hacker ti possono colpire dritto al cuore
Un dispositivo medico, dal pacemaker al defibrillatore, una connessione wireless e adesso l'hacker può non limitarsi più a una "semplice" violazione della privacy, ma si apre piuttosto la porta a un nuovo e più crudele tipo di cybercrime per poter manipolare i software medicali e creare un serio pericolo proprio al cuore del bersaglio, nel verso senso della parola. L'obiettivo del cyber criminale può essere l'azienda che produce i dispositivi medici, ma anche lo stesso paziente che li indossa. Già Dick Cheney quando era vice presidente degli Usa chiese ai suoi cardiologi di rimuovere la funzione wireless dal proprio defibrillatore per paura di poter subire un attacco terroristico nei suoi confronti, ma se allora quella sembrò una mossa da 'spy story', oggi la minaccia ai dispositivi medici è diventata un filone da osservare con molta attenzione. A spiegarlo all'Adnkronos Salute, è Gaetano Marrocco, professore ordinario di Campi Elettromagnetici dell'Università Tor Vergata di
Nel mirino del Garante Privacy gli enti locali che non hanno ancora nominato il Data Protection Officer
Il Garante privacy ha avviato un’indagine nei confronti di grandi enti locali per verificare il rispetto dell’obbligo di comunicazione dei dati di contatto del Responsabile della protezione dei dati (RPD, o Data protection officer, DPO, nell’accezione inglese). Questa attività di controllo interessa enti di grandi dimensioni che effettuano trattamenti di dati personali rilevanti per qualità e quantità ed è volta all’adozione di specifici interventi. Il Garante ha avviato, nei confronti di alcuni di questi enti inadempienti, appositi procedimenti volti all’adozione di provvedimenti correttivi e sanzionatori. In futuro le stesse verifiche potranno essere estese anche agli enti locali più piccoli e ad altri soggetti pubblici. Per essere in linea con il Regolamento Ue, il Garante ricorda che quando il trattamento dei dati personali è effettuato da soggetti pubblici (ad es. amministrazioni dello Stato, Regioni, Province, Comuni, università, CCIAA, aziende del Servizio sanitario nazionale etc.), ad eccezione delle autorità giurisdizionali nell’esercizio delle loro funzioni, i titolari
H&M sanzionata per violazione della privacy tramite i sistemi di videosorveglianza installati nei propri punti vendita
50 mila euro di sanzione sono state comminate dal Garante privacy alla nota società del settore dell'abbigliamento H&M Hennes & Mauritz s.r.l. per aver installato sistemi di videosorveglianza in violazione del Regolamento europeo, del Codice privacy e dello Statuto dei lavoratori. L’indagine del Garante è partita a seguito della segnalazione di un sindacato che lamentava il trattamento illecito di dati personali attraverso sistemi di videosorveglianza in diversi punti vendita della società. Nel corso dell’istruttoria è emerso infatti che la società, presente in Italia con oltre 160 negozi, non aveva rispettato la normativa in materia di controllo a distanza, la quale prevede che l’installazione di impianti audiovisivi non possa avvenire in assenza di un accordo con i rappresentanti dei lavoratori o di una autorizzazione dell’Ispettorato del lavoro, procedure indispensabili anche per bilanciare la sproporzione esistente tra la posizione datoriale e quella di lavoratore. La società aveva giustificato l’installazione delle apparecchiature con la necessità di difendersi da
La classificazione degli incidenti sulla sicurezza delle informazioni per intervenire in caso di data breach
Un’efficace strategia di gestione degli incidenti relativi alla sicurezza delle informazioni, e dei data breach in particolare, si gioca sull’equilibrio tra la riduzione dell'impatto degli incidenti e la loro elaborazione nel modo più efficiente possibile; un valido approccio si basa sullo sviluppo di un piano. Ciò comporta, a livello macro: - identificazione delle risorse necessarie per la pianificazione e gestione (anche post) degli incidenti; - sviluppo e condivisione dei processi di rilevamento e segnalazione per rispondere agli eventi avversi della sicurezza; - identificazione dei punti deboli associati ai sistemi, che possono portare ad eventi critici se non affrontati in modo appropriato. A monte di tutto ciò è però necessario definire cosa si intenda per “incidenti”, i criteri per la loro classificazione ed il loro trattamento; bisogna approfondire le differenze rispetto agli eventi “comuni”, identificando come devono essere trattati gli “incidenti” rispetto a questi. L’obiettivo di questo articolo è quello di comprendere le ragioni e modalità per
Il Garante Privacy dopo l’attacco hacker al servizio sanitario: chi scarica i dati dei pazienti dal Dark Web commette reato
La ASL 1 Abruzzo ha reso noto di aver subìto un grave attacco informatico in cui sono stati sottratte informazioni sensibili dei pazienti delle province di Avezzano, Sulmona, e L’Aquila. Si tratta di un massiccio attacco ransomware avvenuto lo scorso 3 maggio, di cui ancora oggi la regione Abruzzo paga le conseguenze. Per diversi giorni infatti le prenotazioni delle prestazioni sanitarie sono rimaste bloccate, creando notevole confusione tra i pazienti. A quanto risulta, gli autori sarebbero stati gli hacker del gruppo Monti, che avrebbero sottratto 522 gigabyte di dati violando la privacy di migliaia di pazienti, compresi quelli oncologici e i neonati, ma anche documenti legali, dati personali dei dipendenti, backup del sistema, e anche dei pazienti sieropositivi. Tra i dati trafugati vi sono inoltre gli esami medici dei detenuti al 41 bis, come Matteo Messina Denaro, rinchiuso all'Aquila. Mentre i tecnici incaricati dalla Regione Abruzzo sono ancora al lavoro per cercare di ripristinare il funzionamento dei
Il Modello Organizzativo Privacy e l’integrazione tra normative cogenti e sistemi di gestione
Il Modello Organizzativo Privacy (MOP) è parte integrante del Modello Organizzativo sia di un'azienda privata che di una Pubblica Amministrazione. Per quanto il MOP non sia un documento espressamente richiesto dal Regolamento UE 679/2016 (GDPR) può essere considerato un'importante misura di accountability. In questo articolo si esamineranno l’interconnessione e l’integrazione del MOP e delle normative cogenti con i sistemi di gestione di un’organizzazione, con particolare riguardo all’apparato documentale (di seguito denominato come “procedure”). L’integrazione tra sistemi di gestione - L’integrazione tra norme e sistemi è un tema di grande attualità, a cui sono dedicati standard specifici come la recente ISO 37301:2021 “Sistemi di gestione per la compliance - Requisiti con guida per l'utilizzo” che fornisce le “Linee guida per istituire, sviluppare, attuare, valutare, mantenere e migliorare un efficace sistema di gestione per la compliance all'interno di un'organizzazione”. Il MOP per sua natura tende a favorire l’integrazione, a beneficio di tutte le parti interessate, per gestire
Usa la posta elettronica di lavoro per spedirsi i dati di 256.000 consumatori
Un dipendente del Consumer Financial Protection Bureau ha violato la privacy di circa 256.000 consumatori inviando i loro dati riservati al proprio account di posta elettronica privato. Le informazioni personali che il membro dello staff si è spedito tramite 65 email, riguardavano i clienti di sette istituti finanziari, ed erano contenute in due fogli di calcolo comprendenti informazioni di identificazione personale, i loro nominativi ed i numeri di conto specifici delle transazioni. Secondo quanto riportato dal Wall Street Journal, i funzionari dell'agenzia governativa che negli Stati Uniti si occupa della protezione dei consumatori nel settore finanziario con funzioni simili a quelle che da noi svolge la Banca d’Italia, erano venuti a conoscenza dell'uso potenzialmente inappropriato di un account di posta elettronica personale già dallo scorso 14 febbraio, ma avevano poi notificato il data breach solo il 21 marzo. Un portavoce del Consumer Financial Protection Bureau ha affermato che l’autore della sottrazione illecita dei dati adesso
Governance dei dati sostenibile e strategie di marketing
Quando si parla di sostenibilità, probabilmente la prima cosa che viene in mente è l’Agenda 2030 per lo Sviluppo Sostenibile sottoscritta il 25 settembre 2015 dai governi dei 193 Paesi membri delle Nazioni Unite. E forse si pensa alle sfide che l’Umanità deve fronteggiare nel nostro tempo riguardo all’esaurimento delle risorse naturali e gli impatti negativi del cambiamento climatico, il degrado ambientale, la desertificazione, le siccità, e la perdita della biodiversità: sfide che si ritiene possano essere affrontate in modo efficace solo grazie a uno sviluppo sostenibile. Anche se nei 17 principali obiettivi definiti nella risoluzione dell’ONU non è espressamente menzionata né la privacy né la governance dei dati, in realtà il punto 19 dell’Agenda 2030 afferma che “tutti gli stati hanno le responsabilità, di rispettare, proteggere e promuovere i diritti umani e le libertà fondamentali di tutti, senza nessuna distinzione di razza, colore, sesso, lingua, religione, opinioni politiche o di
Il perimetro di sicurezza informatica: l’importanza di comprenderlo
I perimetri di sicurezza informatica sono elementi critici dell'infrastruttura di sicurezza informatica di un'organizzazione, e rappresentano la prima linea di difesa contro le minacce esterne e aiutano a proteggere le informazioni e le risorse sensibili da accessi non autorizzati, uso o furto, ma anche fanno comprendere quanto della nostra privacy forniamo a possibili criminali. In questo articolo discuteremo di cosa sono i perimetri di sicurezza informatica, della loro importanza e di alcune best practice per implementarli. Cosa sono i perimetri di sicurezza informatica? Un perimetro di sicurezza informatica è un insieme di confini e protocolli che definiscono e proteggono le risorse digitali di un'organizzazione dall'accesso non autorizzato. Questi perimetri possono essere fisici, come un firewall o un sistema di prevenzione delle intrusioni, o logici, come i controlli di accesso o la crittografia. Possono anche includere criteri e procedure, come i requisiti delle password e la formazione degli utenti, che aiutano a
Privacy online tra profilazione, cookie, ed altri strumenti di tracciamento
L’utilizzo dei cookie, così fondamentale e pervasivo nella nostra società ormai dominata dal web, solleva questioni di vario tipo legate alla tutela dei dati personali, tanto che è stato oggetto di varie e celebri pronunce e Linee Guida da parte di Corti e Autorità in tutta l’Unione Europea. Innanzitutto, chiariamo che i cookie possono avere varie finalità, e proprio sulla base di queste vengono categorizzati in cookie tecnici, analitici e di profilazione. Questi ultimi sono quelli che normalmente generano più problemi da un punto di vista di tutela della persona, in quanto consentono il tracciamento delle abitudini, delle preferenze, dei gusti della stessa ricavabili dalla sua attività online, contribuendo a creare un vero e proprio profilo del singolo individuo. Conosciamo ormai bene i rischi della profilazione, con cui molti di noi si confrontano tutti i giorni anche in contesti -almeno apparentemente- innocui in cui viene loro proposta pubblicità personalizzata. Il GDPR pone dei