Cosa accade agli esiti degli esami medici ai quali tutti noi ci sottoponiamo più o meno regolarmente? La prassi prevede la conservazione dei documenti in un ambiente sicuro, accessibile solo al diretto interessato e al personale autorizzato per finalità inerenti la cura delle patologie, anche in considerazione della natura sensibile dei dati. In verità le modalità attuate da ospedali e cliniche risultano essere spesso poco in linea con quanto vorrebbero le buone pratiche legate alla sicurezza e alla privacy dei pazienti.
A seguito di una denuncia da parte della ong noyb, il cui è fondatore è l’attivista Max Schrems, l’Autorità Garante per la protezione dei dati di Malta (Information & Data Protection Commissioner) ha inflitto una sanzione di 65.000 euro alla C-Planet, una società del settore informatico che aveva raccolto illegalmente i dati personali del 98% degli elettori maltesi, comprese le loro preferenze politiche, senza adottare adeguate misure di protezione dei dati. Successivamente la C-Planet non aveva neanche comunicato una violazione dei dati né agli utenti né all’autorità di controllo.
Oltre 5,8 milioni di radiografie, salvate con una serie di dati personali molto sensibili, come nome e cognome del paziente e motivo dell’esame, su server non protetti. E accessibili via internet anche a curiosi non autorizzati. È questa la scoperta fatta in Italia da Greenbone Networks, società tedesca di sicurezza informatica, che tra luglio e settembre ha analizzato le misure di protezione di 2.300 database medici, scoprendo che quasi uno su quattro, 590 per la precisione, è accessibile online. Offrendo a occhi indiscreti, o peggio, a malintenzionati, 24 milioni di dati relativi a pazienti da 52 Paesi nel mondo.
È LinkedIn l’ultimo bersaglio colpito dai pirati informatici, che sono riusciti ad appropriarsi di un enorme archivio di dati personali di circa 500 milioni di utenti del social network professionale per eccellenza, i quali sono stati loro malgrado trattati come merce svenduta a prezzi di saldo su un popolare forum di hacking.
Il numero esponenziale di attacchi hacker e degli incidenti informatici degli ultimi tempi ha letteralmente creato un perenne stato di allarmismo nelle aziende che sono alle prese con la prevenzione e la gestione dei data breach. Per dare supporto a DPO e addetti ai lavori che devono affrontare tali delicate situazioni preparandosi in anticipo senza lasciare spazio ad alcuna improvvisazione, nell’ambito delle proprie attività formative Federprivacy ha organizzato il Corso 'Il Data Breach: pianificazione e gestione prima, durante e dopo l’evento’.
Un server connesso a internet contenente quelle che sembrano informazioni personali riguardanti l'85% del totale dei circa 4 milioni di cittadini di Panama è stato trovato senza alcuna protezione di password o firewall. A fare la scoperta nei giorni scorsi è stato il ricercatore Bob Diachenko, esperto di sicurezza informatica e fondatore di Security Discovery.
Nei giorni scorsi Yemeksepeti, che è la più importante piattaforma online turca di food delivery, è stata colpita da un attacco informatico nel quale sono stati trafugati i dati personali di oltre 21 milioni di utenti. A darne notizia lo scorso 27 marzo sul proprio profilo Twitter era stata la stessa società specializzata nella consegna a domicilio che opera attualmente in 70 città in Turchia e Cipro, con oltre 35.000 ristoranti affiliati, circa 20 milioni di utenti e 520.000 ordini giornalieri.
Una miniera di dati sensibili e bancari rubati a cittadini italiani, frutto di un’offensiva hacker da record nel nostro Paese. Sono oltre diecimila gli attacchi informatici subiti nell’ultimo anno in Italia, con numeri in netta crescita. Di questi, il 10% sono sferrati contro siti istituzionali e infrastrutture critiche informatizzate di interesse nazionale. Un saccheggio di identità digitali, conti corrente e numeri di carte di carte di credito, riporta l’Ansa, rivenduto nel mercato nero del web con tanto di tariffario: ogni italiano vale 2 euro. Circa il 76% di questi attacchi, che durano quasi tutti meno di tre ore, è costituito dal furto di banche dati, spiega la Polizia Postale citando l’analisi dei numeri del rapporto Clusit 2018 sulla sicurezza Ict in Italia.
La banca aveva spedito un plico tramite corriere, ma la corrispondenza contente dati personali del cliente era andata smarrita. Da una situazione apparentemente priva di grosse conseguenze, in questo caso però è intervenuta l’autorità per la privacy con una sanzione all’istituto bancario. I motivi? perché si trattava a tutti gli effetti di un “data breach” e l’adempimento dell’obbligo di notifica non viene meno per il fatto che non si siano effettivamente verificate conseguenze negative per il cliente, ma vi si deve comunque ottemperare per la semplice possibilità che esse si verifichino.
Nonostante la risoluzione del rapporto di lavoro, un dipendente della banca aveva continuato ad avere l’abilitazione per l’accesso ai server dell’istituto, entrando cinque volte nella piattaforma e accedendo peraltro ai profili previdenziali dei suoi ex colleghi. Anche se da parte sua la banca aveva provveduto a notificare il data breach all’autorità per la protezione dei dati e ad avvisare i dipendenti della violazione della riservatezza sul portale, si limitava però a pubblicare un annuncio interno generico senza fare riferimento a un caso specifico, omettendo di segnalare gli effettivi rischi che correvano i dipendenti.
