Greenbone Networks, una società tedesca che si occupa di sicurezza informatica, ha analizzato tra luglio e settembre scorso le misure di sicurezza di 2.300 database medici di tutto il mondo, scoprendo che 590, quindi quasi uno su quattro, sono in chiaro e completamente esposti online. Nel complesso parliamo di ben 24 milioni di dati relativi a pazienti di 52 Paesi diversi e, tra questi, indovinate un po' chi spicca negativamente in Europa? Esatto, l'Italia. Secondo Greenbone infatti nel nostro Paese sarebbero oltre 5,8 milioni le radiografie incustodite online, tra l'altro salvate assieme a dati fortemente sensibili come nome e cognome del paziente, motivo dell'esame etc. Una situazione di assoluta gravità, tanto da spingere il Garante per la privacy ad avviare un'indagine.
Ma se in Italia con 102.893 data set esposti non ce la passiamo bene, nel mondo ci sono diverse altre nazioni che mostrano scarsa attenzione a questi dati. Restando alla sola Europa infatti la Francia con 5,3 milioni di esami in chiaro non è messa molto meglio di noi, mentre la Repubblica Ceca consente accesso libero a ben 97mila database medici. Male anche Stati Uniti (13, 7 milioni di database), Turchia (4,9 milioni) e Sudafrica (2,3 milioni).
Il problema a quanto pare risiederebbe nei PACS, i sistemi di archiviazione utilizzati solitamente da ospedali e ambulatori per salvare le cartelle cliniche dei pazienti e renderle disponibili in formato digitale per la consultazione da parte di altri medici e basati su protocollo DICOM (Digital Imaging and Communications in Medicine). "Che i server PACS siano vulnerabili agli attacchi o comunque accessibili non è una novità" scrive Greenbone nella sua ricerca "ma nessuna ricerca ha cercato di verificare l'ampiezza e la profondità del problema. […] Questa esposizione di dati a livello globale riguarda tanto le regole di protezione dei dati in Europa (GDPR) che le norme statunitensi (HIPAA), oltre a tutta una serie di regolamentazioni di altri Paesi".
Non è un problema da poco. Secondo Greenbone infatti questo genere di dati sarebbe facilmente commerciabile sul cosiddetto dark web e, benché ogni singolo data set avrebbe un valore relativamente scarso, pari a circa 50 dollari, globalmente il loro traffico potrebbe generare ricavi per 1,2 miliardi di dollari. Il Governo italiano in carica fortunatamente ha avviato le procedure per stabilire chi è dentro il cosiddetto "perimetro cibernetico nazionale" che imporrà tutta una serie di nuove linee guida a enti pubblici e aziende private in modo da garantire nuovi strumenti di difesa e best practice contro eventuali attacchi informatici. Alla luce di queste ultime scoperte però anche un iter di un anno sembra forse eccessivamente lungo.
