Sicurezza dei dati sanitari, anche i servizi psicologici nel mirino del cybercrime
È ormai noto come le strutture e i servizi sanitari figurino tra le vittime privilegiate dai criminali informatici: solo nell’ultimo anno, secondo i dati del CLUSIT, gli attacchi (soprattutto di tipo ransomware) mirati a tale settore hanno registrato un’impennata del 24,8%. E oltre all’ovvio rischio legato all’interruzione di servizi (letteralmente) vitali, in questo caso le falle di sicurezza possono comportare l’esposizione di informazioni particolarmente riservate.
Va ricordato che nell’universo della sanità rientrano innumerevoli attori, pubblici o privati, che forniscono assistenza e cure per le più svariate problematiche legate alla salute fisica e mentale; ciò implica che mettere in sicurezza i sistemi dei grandi ospedali pubblici – per quanto fondamentale – non sia assolutamente sufficiente, rappresentando soltanto la punta dell’iceberg.
Un caso esemplare viene dalla Finlandia, dove i ripetuti episodi di data breach sofferti da Vastaamo, azienda che gestiva numerose cliniche psicoterapiche in tutto il Paese, hanno avuto esito nella diffusione di dati ultrasensibili relativi a decine di migliaia di pazienti. Fondata nel 2009 grazie a un finanziamento statale per l’innovazione digitale, la compagnia metteva le persone in cerca di supporto psicologico in contatto con professionisti e cliniche facenti parte del network con cui poter intraprendere un percorso di terapia online o di persona. Le informazioni e le cartelle dei pazienti, in cui figuravano anche gli appunti relativi alle sedute di psicoterapia, erano gestite da un sistema che non prevedeva alcuna cifratura dei dati.
Nel 2020 il CEO Ville Tapio ha ricevuto la prima richiesta, in cui si esigevano 40 bitcoin per non pubblicare i dati sottratti all’azienda. In seguito al mancato pagamento l’autore del breach, firmandosi ransom_man, ha diffuso la sua richiesta su diversi forum online e scritto anche a un noto giornalista, definendo Tapio “il vero criminale” per non aver previsto adeguati protocolli di sicurezza a tutela dei propri clienti. Comprensibilmente spaventati all’idea di veder pubblicate le conversazioni avute con il proprio terapeuta, diversi pazienti delle cliniche controllate da Vastaamo – tra cui anche politici e personaggi pubblici – avrebbero ceduto al ricatto pagando la somma richiesta; 25 000 di loro hanno invece scelto di denunciare l’accaduto alla polizia (che finora, però, non ha saputo identificare il responsabile dell’estorsione).
Le informazioni rubate sono comunque state diffuse, tramite diversi servizi di file-sharing sul web, nell’arco dei mesi seguenti.
In seguito ai fatti Vastaamo ha dichiarato bancarotta e cessato tutte le proprie attività, mentre l’ex CEO è soggetto a un’inchiesta penale: ma gli effetti peggiori, evidentemente, si sono riverberati sulle persone che avevano riposto la propria fiducia e le proprie confidenze in un’azienda che non ha saputo proteggerli.
