Le informazioni personali dei pazienti con diagnosi di Covid-19, sospetta o confermata, sono diventate disponibili su Internet per quasi un mese dopo che le password del Ministero della Salute sono state pubblicate su una piattaforma aperta.
Tra le persone a cui è stata violata la privacy, con l’esposizione delle informazioni relative al COVID-19, ci sono il presidente Jair Bolsonaro, il Ministro della Salute Eduardo Pazuello, il governatore dello stato di San Paolo João Dória, il Presidente della Camera dei Deputati del Brasile Rodrigo Maia, il Presidente del Senato Davi Alcolumbre, i Ministri Onyx Lorenzoni e Damares Alves.
I dati esposti contenevano numeri di previdenza sociale e numeri di telefono, indirizzi oltre che dati sensibili come documenti sanitari, anamnesi e farmaci somministrati.
Il fatto
L’esposizione dei dati non è stata causata da un attacco di pirati informatici o da una violazione della sicurezza del sistema ma è dovuta all’incuria e alla leggerezza di un dipendente dell’ospedale Einstein di San Paolo.
L’ospedale Albert Einstein partecipa a un progetto congiunto con il Ministero della Salute che analizza i dati predittivi della pandemia di coronavirus. I dati sono inseriti in due database mantenuti dal ministero: l’E-SUS-VE, in cui vengono segnalati casi sospetti e confermati della malattia quando il paziente ha una condizione lieve o moderata, e il Sivep-Gripe, in cui si registrano tutti i ricoveri dovuti a Sindrome Respiratoria Acuta Grave (SARS), ovvero i pazienti più gravi.
La superficialità
Il 28 ottobre il data scientist Wagner Santos, dipendente dell’ospedale Einstein, che aveva libero accesso ai database del Ministero della Salute, ha pubblicato nel suo profilo personale su GitHub, una piattaforma online gratuita principalmente utilizzata da sviluppatori software, un foglio di calcolo contenente le credenziali di accesso a diversi database, tra cui i due di cui sopra.
La notizia è venuta alla luce dopo che un utente di GitHub ha individuato il foglio di calcolo contenente le password sul profilo personale di Wagner Santos. L’utente ha successivamente informato il quotidiano brasiliano Estadao, che ha analizzato i dati ed ha allertato l’ospedale e il Ministero della Salute brasiliano.
Informazioni riservate
Oltre alle informazioni personali dei pazienti, i database del ministero contenevano dettagli riservati sulla storia clinica, come l’esistenza di malattie o condizioni preesistenti, tra cui diabete, problemi cardiaci, cancro e HIV, oltre alle prescrizioni farmacologiche. Nei records relativi al Ministro della Salute Pazuello, ad esempio, era possibile sapere, oltre al resto, in quale piano dell’ospedale era stato ricoverato e quale medico lo aveva dimesso.
Il foglio di calcolo è stato infine rimosso da GitHub mentre i funzionari governativi hanno cambiato le password e revocato le chiavi di accesso per proteggere nuovamente i loro sistemi.
Il ministero ha affermato che sta monitorando “possibili siti nel cyberspazio in cui i dati potrebbero essere stati replicati“.
Nota dell’ospedale Albert Einstein
In una nota del 26 novembre 2020, l’ospedale Albert Einstein ribadisce il suo impegno per la sicurezza delle informazioni e la protezione dei dati e informa di aver già avviato le indagini sull’incidente per documentare cosa sia successo esattamente. Anche il Ministero della Salute monitorerà le indagini.
Inoltre, sempre lo stesso giorno, l’ospedale annuncia che il dipendente è stato licenziato per aver violato le regole interne adottate per garantire la protezione e la sicurezza dei dati “.
L’importanza dei dati sanitari
La protezione dei dati sanitari è una priorità sempre più crescente nel settore della sicurezza informatica.
Se un cyber criminale potesse scegliere tra rubare dati sulla salute e rubare dati relativi alle carte di credito o conti correnti sceglierebbe senza alcun dubbio i primi.
Il motivo è semplicemente uno: i dati sanitari tendono a rimanere aggiornati e quindi utilizzabili più a lungo delle carte di credito.
Secondo ClearDATA, una società specializzata sul cloud e sicurezza per le organizzazioni sanitarie, il valore, sul mercato nero, delle carte di credito si aggira intorno ai 25 centesimi. Il furto di cartelle cliniche è ancora più redditizio: 50 volte di più del numero di una carta di credito.
In mani non autorizzate, una cartella clinica con un numero di previdenza sociale, indirizzo e storia familiare e una storia medica riservata può consentire frodi assicurative ma anche altri tipi di truffe tra cui, per esempio, furti d’identità e persino ricatti.
Pensate alle ripercussioni che può avere una vittima a cui sono state sottratte informazioni sanitarie relative all’abuso di sostanze, all’Hiv, a malattie sessualmente trasmissibili, alla salute mentale, al cancro.
Ecco perché informazioni sanitarie generano profitti principeschi sul mercato nero ed ecco perché aumentano sempre più gli attacchi informatici alle strutture sanitarie.
- 32 milioni di cartelle cliniche rubate
- Attacchi alla sanità: cyber rapine nel 2019
- Penobscot – Violati i dati di 13000 pazienti.
Le responsabilità
Il dipendente Wagner Santos è stato licenziato. Ma è l’unico responsabile di questa vicenda.
Secondo l’avvocato Juliano Madalena, docente di diritto digitale e fondatore del forum Direitodigital.io, sia l’ospedale Einstein che il suo dipendente e il Ministero della Salute possono essere ritenuti responsabili di danni collettivi per aver esposto informazioni a milioni di persone. Anche quando non agiscono di proposito, i responsabili della fuga di dati personali e sensibili possono essere legalmente obbligati a risarcire i danni collettivi.
Reference: O Estado de S. Paulo