Il tema del controllo degli accessi fisici è spesso trascurato nell’ambito della protezione dei dati personali; eppure tale tema è oggetto anche di una famiglia di controlli della ISO IEC 27001. La necessità di tali controlli pone in evidenza come una cattiva gestione dei dispositivi fisici (chiavi, badge) per accedere ai locali dell’organizzazione, e/o dei dispositivi per accedere alle informazioni necessarie per l’accesso (codici di allarmi o altri codici ad esempio per serratura che si apre con PIN e/o applicazione su smartphone) può rendere vulnerabili i dati.
Nomi e cognomi, patologie, diagnosi e terapie riguardanti gli ignari pazienti, tutti documenti perfettamente leggibili in mezzo a tonnellate di rifiuti, in totale spregio della normativa in materia di tutela della privacy.
L'adozione di un sistema di “alert” che avvisi l’utente che si sta inviando una mail a persone esterne all’organizzazione, in modo da intercettare eventuali usi impropri del campo “c.c.” è una funzione che potrebbe prevenire ed evitare molti dei data breach causati dall’errore umano in cui informazioni delicate vengono comunicate a una moltitudine di soggetti non autorizzate a conoscerle.
L’80% delle aziende non ha ancora impostato criteri per l’uso delle password, lasciando quindi liberi i propri dipendenti di sceglierne una a propria discrezione senza problemi di sintassi, lunghezza o altri parametri sui caratteri da utilizzare. A rivelarlo è il report ”Acronis Cyberthreats Report 2020”. La ricerca evidenzia che tra il 15 e il 20% delle password utilizzate negli ambienti di business include il nome dell’azienda, un banale espediente che ne semplifica l’individuazione da parte di pirati informatici e altri soggetti non autorizzati.
L' Agenzia spagnola per la protezione dei dati ha inflitto una multa di 200.000 euro agli ospedali HM per aver violato le norme sulla protezione dei dati personali sulle cartelle cliniche elettroniche dei pazienti, dopo che un ex dipendente aveva denunciato carenze nel sistema informativo ospedaliero utilizzato da tutti i centri del gruppo.
La barriera è un elemento immateriale e/o fisico che riduce uno o più rischi; ha la funzione di resistere alle sollecitazioni a cui viene sottoposta; barriere diverse hanno differente capacità di resistere alle minacce innescate dalle vulnerabilità. Le barriere prevedono misure tecniche ed organizzative; esistono molti tipi di barriere, la casistica è comune a tutti i contesti (salute e sicurezza sul lavoro, ambiente); in questo articolo verranno illustrati i tipi principali, in relazione al tema della protezione dei dati, che prevede prevalentemente il ricorso a barriere di tipo immateriale.
Qualche giorno orsono Microsoft ha fornito una spiegazione di come un gruppo di cyber criminali vicini al governo di Pechino sarebbe riuscito a violare svariati account di posta elettronica del governo degli Stati Uniti.
L'autorità di controllo olandese (Autoriteit Persoonsgegevens) ha imposto una sanzione amministrativa di 440.000 euro all'ospedale di Amsterdam OLVG per insufficienti misure di sicurezza per proteggere le cartelle cliniche da accessi da parte di personale non autorizzato. A seguito di vari reclami, il garante olandese aveva condotto un'indagine, effettuato un audit del sistema informativo dell'ospedale, analizzando vari aspetti di sicurezza.
La compagnia aerea low cost Transavia utilizzava misure di sicurezza estremamente deboli, tra cui banali password facili da indovinare come "password" e "123456" e nessuna autenticazione a due fattori (2FA), consentendo così a un hacker di ottenere il controllo sugli account di due dei suoi dipendenti IT e permettendogli di violare la privacy di oltre 83.000 passeggeri.
Fino a poco tempo fa gli hacker usavano classicamente i ransomware per crittografare i dati delle vittime minacciandole di non restituirvene l'accesso se non dietro il pagamento di un riscatto, ma ora le estorsioni online stanno vedendo un’evoluzione ancora più meschina in cui i cybercriminali minacciano di segnalare al Garante della Privacy la mancata adozione delle misure di sicurezza prescritte dal Gdpr.
