Abbiamo selezionato per voi le ultime flash news legate alla normativa privacy e al tema della sicurezza dei dati.

  • Gli attacchi hacker a Senato, Ministero della difesa, Aci, ISS e Polizia di Stato
    Gli attacchi cyber crime proseguono ininterrottamente, ad opera del collettivo Killnet che, a quanto pare, ha preso di mira il nostro Paese. Dall’11 maggio, difatti, l’Italia si vede in posizione di difesa, a protezione del sistema di sicurezza nazionale, messo a dura prova. Un tentativo di attacco, per fortuna sventato, ha riguardato il sistema di televoto della 66a edizione dell’annuale concorso canoro dell’Eurovision. La tecnica di attacco utilizzata è di tipo DDoS (Distributed Denial of service), letteralmente significa “Interruzione distribuita del servizio”, e si traduce nel tempestare di richieste un sito, fino a metterlo KO e renderlo irraggiungibile. In realtà, come chiarito dal Csirt del Governo, gli attacchi in parola non sono di tipo volumetrico bensì sono volti a sovraccaricare le risorse dell’applicativo server che erogano servizi tra cui i server web. Nel comunicato diramato da CSIRT, ente istituito presso l’Agenzia per la cybersicurezza nazionale (ACN), si apprende che per:
    • IDENTIFICARE L’ATTACCO è necessario ispezionare il traffico HTTP registrato nei log del server, individuando eventuali elementi in comune tra le richieste riconosciute come malevole
    • MITIGARE L’ATTACCATO è necessario:
      • rifiutare le connessioni con metodi HTTP non supportati dall’URL;
      • limitare l’intestazione e il corpo del messaggio a una lunghezza minima ragionevole. Per URL specifici, impostare limiti più severi e appropriati per ogni risorsa che accetta un body del messaggio;
      • impostare un timeout di connessione assoluto, ove possibile, utilizzando le statistiche di connessione (ad es. un timeout leggermente maggiore della durata media delle connessioni dovrebbe soddisfare la maggior parte dei client legittimi);
      • utilizzare un backlog di connessioni in sospeso. Esso consente al server di mantenere le connessioni che non è pronto ad accettare, bloccando di conseguenza un attacco Slow HTTP più ampio, oltre a dare agli utenti legittimi la possibilità di essere serviti sotto carico elevato. Se il server supporta un backlog, si consiglia di renderlo ragionevolmente grande in modo che il proprio server web possa gestire un attacco di lieve entità;
      • definire la velocità minima dei dati in entrata e bloccare le connessioni che sono più lente della velocità impostata. Si evidenzia di fare attenzione a non impostare il valore minimo troppo basso per non bloccare le connessioni legittime;
      • attivare gli strumenti di protezione da questa tipologia di attacco disponibili tramite dispositivi di sicurezza quali Web Application Firewall e Next Generation Firewall L7.
  • Videosorveglianza: ancora sanzioni 
    Ancora oggi risultano insufficienti tutte le raccomandazioni istituzionali e non, inerenti gli adempimenti da attuare in caso di installazione di impianti di videosorveglianza. L’ennesima ordinanza del Garante Privacy ne è una testimonianza.  Pur in presenza di 14 telecamere installate all’interno ed all’esterno del Caffè Antica Roma, il Titolare del trattamento non ha provveduto all’affissione di debita cartellonistica recante l’informativa ex art. 13 del GDPR. Inoltre, si legge sempre nell’ordinanza, che tra i comportamenti sanzionati ricorre il mancato raggiungimento di un accordo sindacale o, in subordine, il rilascio dell’autorizzazione da parte dell’Ispettorato del Lavoro. Come noto, tali obblighi ricorrono quando dagli apparati di videosorveglianza possa derivare “la possibilità di controllo a distanza” dell’attività dei dipendenti. Ne risulta, quindi, la violazione delle seguenti disposizioni:
    • 5, par. 1, lett. a) – violazione del principio di liceità;
    • 88 del GDPR- trattamento dei dati nell’ambito dei rapporti di lavoro;
    • 114 del Codice Privacy – garanzie in materia di controllo a distanza.
    La tematica della videosorveglianza sta molto a cuore dell’Autorità Garante, tenuto conto che sia nel 2021 sia nel 2022 è oggetto dell’attività ispettiva. Speriamo che la Pubblica Amministrazione sappia dare il buon esempio a tutti!
  • In arrivo un codice di condotta per il telemarketing
    L’incontro tra il Garante Privacy ed i rappresentanti del mondo del telemarketing ha dato il via a un processo di regolamentazione del settore, che si concretizzerà con la definizione di un codice di condotta. Nella riunione del 5 maggio il Garante Privacy ha incontrato i rappresentanti delle diverse categorie operanti nell’ambito del telemarketing per avviare i lavori di definizione della normativa di settore. Al fine, infatti, di arginare l’utilizzo di chiamate promozionali indesiderate, e in generale, di disciplinare le diverse attività svolte nell’ambito del telemarketing, si è intrapreso un progetto di redazione di un codice di condotta in materia. I diversi rappresentanti del settore della committenza hanno deciso per la creazione di un comitato che si occuperà di elaborare il testo del codice già a partire dalla prima metà di maggio, il quale, una volta completato, verrà sottoposto all’approvazione del Garante stesso.
  • Il futuro dei Sistemi Informativi Sanitari
    Il Consiglio Superiore di Sanità ha presentato una proposta per la riforma dei Sistemi Informativi Sanitari. La parola d’ordine è uniformità, in tutto il Paese, dei sistemi informativi, scongiurando inutili frammentazioni e ripetizioni dei dati utilizzati. Creare dei Sistemi Informativi Sanitari (SIS) unici per tutto il territorio nazionale è un’esigenza ben nota al Consiglio Superiore di Sanità che, di recente, ha presentato una proposta proprio in tal senso. Si tratta del primo passo di un cammino reso necessario anche a fronte del potenziamento del Fascicolo Sanitario Elettronico e degli interventi per la digitalizzazione di nell’ambito del PNRR. L’idea è quella di una riforma dei Sistemi Informativi Sanitari volta alla loro razionalizzazione, il cui testo è disponibile sul sito del Ministero della Salute. Nel documento si propone di creare un’architettura di interoperabilità dei SIS, in modo tale da evitare duplicazioni e frammentazione dei dati. Infine, si rimanda alla necessità di garantire la compliance al GDPR, proponendo una normativa per favorire la circolazione dei dati e promuovere procedure uniformi per l’anonimizzazione e la pseudonimizzazione degli stessi.
  • Attacchi hacker a ospedali e banche

    Attacco all’Asst Fatebenefratelli -Sacco.

    Nella notte del primo maggio è stato attuato un attacco hacker ai danni dei server di proprietà dell’Asst Fatebenefratelli -Sacco. L’attività malevola ha avuto conseguenze anche sui presidi Buzzi e Melloni oltre che ad altre 33 sedi territoriali dell’Asst. La Regione, insieme alla polizia postale, sta facendo accertamenti per capire nel dettaglio cosa sia accaduto. Quello che è certo sono i disagi avvertiti dai pazienti che hanno potuto procedere all’accettazione solo per via cartacea poiché la rete informatica risulta compromessa. “Pre-ricoveri e visite ambulatoriali sono comunque garantite”, così assicurano da regione Lombardia. Le emergenze 118 sono invece state dirottate verso altri ospedali della città. Gli attacchi sono sempre all’ordine del giorno e il settore sanitario risulta uno dei maggiormente colpiti. Si apprende infatti che sono stati segnalati problemi di sicurezza anche da Asst San Carlo e Paolo. I dati sanitari risultano quindi sempre più nel mirino di hacker e l’attenzione per questi trattamenti deve essere una priorità assoluta.

    Attacco all’ABI (Associazione bancaria italiana)

    Anche il settore bancario torna ad essere vittima di attacchi hacker con richiesta di riscatto. Nello specifico si tratta di una violazione da parte di Vice Society che ha agito tramite un ransomware che bloccato rete e sito web dell’associazione. I dati bancari di alcuni clienti sono stati mostrati on line tramite alcuni screenshot e risultano compromessi anche documenti contenenti certificati medici e dati di timbratura dei dipendenti. Anche in questo caso è stata coinvolta la polizia postale che sta indagando insieme alle autorità competenti.