Sulla fuga di dati nel Ministero della Salute di Madrid
Sicuramente in questi giorni (è estate e ci sono poche notizie) leggerai abbondanti notizie su una fuga di dati avvenuta nel Ministero della Salute della Comunità di Madrid.
Senza andare oltre, il Giornale Pubblico titolò così
Un errore di sicurezza informatica rivela i dati di migliaia di cittadini di Madrid, tra cui il re e il primo ministro
Sebbene in faq-mac tendiamo a riecheggiare gli abbondanti e continui furti di database, hack e vulnerabilità di sicurezza che rendono praticamente di dominio pubblico qualsiasi password inserita in una pagina Web, questa volta ci è sembrato di Dovrebbe fare da contrappunto al sensazionalismo dei titoli di testa.
Se leggi la notizia, vedrai che i requisiti per ottenere (alcuni) dati personali e medici dai membri di quel database sono abbastanza specifici e lontani dalla «divulgazione massiccia».
I fatti
Per dichiararlo, utilizzando le informazioni del suddetto Quotidiano Pubblico:
- Devi conoscere l’ID dell’utente di cui vuoi conoscere le informazioni
- Richiede avere un proxy che analizzi le connessioni interne del server per sapere in quale URL inserire quel DNI
In breve, potresti potenzialmente conoscere i dati di «migliaia di utenti» della Sanità di Madrid… se avessi il loro ID. E anche così, dovresti inserire quei DNI uno per uno.
I dati che otterresti sono: numero di telefono, indirizzo, dove sei stato vaccinato contro il COVID, se non lo avessi fatto, con quale dose e chi ti ha vaccinato.
Naturalmente, un’organizzazione dedicata all’ottenimento di informazioni personali potrebbe automatizzare l’intera procedura (incrociando i dati dei DNI ottenuti da altre fughe con le automazioni in modo che vengano inseriti automaticamente e i dati copiati in un altro file, come quello più e più volte.
Sebbene la Comunità di Madrid assicuri che questa violazione della sicurezza informatica è stata coperta in poche ore, è vero che a quel punto si sarebbero potute ottenere migliaia di record di utenti del portale sanitario.
Dice José Luis Rivas, esperto di informatica forense:
“Quasi tutti i problemi di sicurezza nella pubblica amministrazione risiedono nella mancanza di stanziamenti di bilancio sufficienti per rispettare le norme di cybersecurity che regolano il nostro Stato. Possiamo portare avanti tutta la legislazione che vogliamo sulla sicurezza informatica che, se gli stessi politici che le creano non danno stanziamenti di bilancio perché non danno voti, è una legislazione inutile.
Se, inoltre, questi regolamenti non sanzionano le amministrazioni pubbliche e implicano solo uno schiaffo, continueremo con fallimenti di sicurezza informatica nelle amministrazioni e attacchi contro di loro, come il SEPE, l’EMT di Madrid, i comuni di Fuenlabrada, Vinarós, eccetera.
Pertanto, o i politici credono davvero nella sicurezza e nella ricerca e sviluppo o si dedicano a qualcos’altro, perché non vivono nell’immediato presente».
La cosa strana del caso
A quanto pare, Telemadrid (che è chi ha avuto l'»esclusiva») è venuta a conoscenza del caso tramite una telefonata anonima. (Per me) è sorprendente che -qualcuno che scopre una falla di sicurezza come questa- il suo primo pensiero sia quello di chiamare la televisione locale (di solito sono le braccia tese dello stesso governo locale) per avvertire, quando presumibilmente avranno abbastanza interesse nel caso non si sa e si risolve lontano dai riflettori.
Perché non chiamare, ad esempio, la Polizia o un medico della comunicazione che sarebbe più ostile al governo del PP? A quanto pare l’informatore sapeva cosa stava facendo, dal momento che la stessa Telemadrid ha sporto denuncia contro il Ministero della Salute della Comunità di Madrid per la fuga di dati.
Non sono né in politica né seguo i dettagli dei media, ma non mi sembra che sia comune per i media, siano essi reti televisive, radio o giornali, presentare denunce. Tanto meno la stessa catena locale contro il suo governo locale.
Non sto dicendo che non siano nei loro diritti, anzi, penso che sia fantastico e spero fosse consuetudine che appena scoprono indizi di reato si rivolga in tribunale.
Ma un paragrafo nelle informazioni di El Pais cattura la mia attenzione
Questa reazione riflette il brutto momento che stanno vivendo i rapporti tra le due parti. In effetti, il governo di Isabel Díaz Ayuso spera di approvare questo giovedì in Assemblea, grazie all’astensione di Vox, una riforma della legge Telemadrid che gli consentirebbe di controllare l’entità. Pertanto, il nuovo regolamento comporterebbe l’immediato licenziamento dell’attuale CEO, José Pablo López.
Così detto suona come un “decreto” per eliminare un regista ostile. Tuttavia, il seguito del paragrafo sembra mettere le cose in termini «ragionevoli»:
Allo stesso tempo, manterrebbe la necessità che il suo sostituto sia eletto dai due terzi della Camera (che richiede un accordo tra destra e sinistra), anche se introdurrebbe una nuova figura che permetterebbe al PP di pilotare la televisione. Si tratta dell’Amministratore Provvisorio, che verrebbe nominato a maggioranza assoluta (che è composto da PP e Vox) e guiderebbe la public company fino alla selezione del nuovo CEO.
Questa stessa cifra è quella utilizzata dall’ente pubblico Radio Televisión Española con Rosa María Mateo per colmare il vuoto di potere una volta cessato il precedente direttore del conglomerato pubblico dell’audiovisivo, mentre si concordava la sua sostituzione (con un concorso di merito non senza polemiche).
Conclusione
Prima di continuare ad impicciarci in un’analisi superficiale dei fili che muovono i media audiovisivi pubblici, chiudiamo la questione con l’importante: né decine di migliaia di dati personali degli utenti del sistema sanitario di Madrid sono stati «trapelati», né sono stati chiunque può accedervi… e Telemadrid ha sporto denuncia per quella falla di sicurezza.
Questa è la realtà. Ma… cosa ne saprò!