TLP White: In questa edizione di Hacking Healthcare, iniziamo esplorando il Patient Data Protection Act tedesco, che è sotto critica per il suo approccio alla sicurezza informatica e alla privacy. Poi, esamineremo brevemente l'interessante effetto che sta avendo il naming and shaming degli hacker statali cinesi da parte degli Stati Uniti. Infine, analizzeremo perché DNS su HTTPS potrebbe comportare notevoli compromessi.
Come promemoria, questa è la versione pubblica del blog Hacking Healthcare. Per ulteriori analisi approfondite e opinioni, diventa membro di H-ISAC e ricevi la versione TLP Amber di questo blog (disponibile nel Member Portal).
1. Progetto di legge tedesco sulla protezione dei dati dei pazienti in fase di revisione.
La Germania sembra essere sulla buona strada per realizzare i benefici che possono derivare dall'adozione di una maggiore digitalizzazione dei dati sanitari. Il ministro federale della Salute Jens Spahn ha reso disponibile una bozza della legge tedesca sui dati dei pazienti verso la fine del mese scorso e il disegno di legge è ora in fase di revisione da parte del governo.[1] Se approvato senza grandi revisioni, il disegno di legge creerebbe numerose opportunità per i pazienti tedeschi di accedere facilmente e utilizzare i propri dati paziente elettronicamente, aggiungendo presumibilmente protezioni per impedirne l'uso improprio.
L'attuale bozza per la legge tedesca sulla protezione dei dati stabilisce come le cartelle cliniche elettroniche saranno regolamentate e accessibili ai pazienti tedeschi. Sebbene ancora aperta a revisioni, l'attuale bozza consente "la possibilità di donazione di dati senza riferimento personale per la ricerca scientifica, la regolamentazione dei diritti di accesso alle cartelle cliniche elettroniche per i medici sotto la sovranità del paziente, il diritto degli assicurati di avere i propri dati di trattamento resi disponibili e anche la loro istruzione una tantum sull'uso delle EPR".[2]
Tuttavia, non tutti sono contenti dell'attuale iterazione del disegno di legge. L'Associazione dei dottori indipendenti ha criticato il livello di sicurezza delineato nel disegno di legge e ha affermato che avrebbe portato a dati sensibili dei pazienti "archiviati centralmente presso aziende IT tramite app per telefoni cellulari non sicure".[3] Ulteriori preoccupazioni provengono dall'Associazione delle aziende farmaceutiche basate sulla ricerca. L'associazione ritiene che il disegno di legge ostacolerebbe in modo significativo la ricerca industriale limitando inutilmente l'accesso ai dati sanitari.
2. I risultati della denuncia degli hacker cinesi.
L'uso da parte della Cina delle sue sofisticate capacità informatiche per rubare preziosi IP commerciali e raccogliere utili informazioni politiche e militari è ben noto. La denuncia e la denigrazione pubbliche da parte degli Stati Uniti degli hacker cinesi che sono collegati ad attacchi informatici o intrusioni attraverso incriminazioni federali hanno avuto un effetto interessante sulle loro operazioni.
Intervenendo durante la conferenza RSA, il co-fondatore di CrowdStrike Dmitri Alperovitch ha affermato che gruppi specifici nominati in queste dichiarazioni pubbliche sembrano scomparire dopo essere stati scoperti.[4] Questo non significa che quei gruppi non esistano più o che gli individui dietro di loro abbiano interrotto le operazioni informatiche. Alperovitch ha suggerito che il personale associato a questi gruppi avrebbe potuto essere riassegnato a gruppi che non sono ancora stati identificati pubblicamente poiché le loro operazioni sotto i loro gruppi originali sembrano essere cessate.[5] Ha continuato dicendo che questo tipo di comportamento è in contrasto con gli attori russi e iraniani che tendono a continuare le loro operazioni indipendentemente dal controllo pubblico.[6]
È impossibile sapere con certezza perché la Cina sembra fare questi aggiustamenti tattici. Potrebbe essere che la mossa sia utile per aggiungere un ulteriore livello di negazione e offuscamento, ma Alperovitch ha notato che potrebbe coincidere in parte con una ristrutturazione delle operazioni informatiche cinesi.[7] Ha notato che l'Esercito Popolare di Liberazione ha ridotto significativamente le sue operazioni sulla scia dell'accordo che il Presidente Obama e Xi Jingping hanno raggiunto in merito all'hacking IP commerciale, e il Ministero della Sicurezza dello Stato cinese ha finito per diventare molto più attivo in seguito.[8]
3. DNS su HTTPS è un'arma a doppio taglio.
La nota azienda di browser web Mozilla ha annunciato la scorsa settimana che inizierà a migrare gli utenti statunitensi del loro browser web Firefox al servizio DNS crittografato di Cloudflare. La modifica renderà DNS over HTTPS (DoH) l'impostazione predefinita per gli utenti di Firefox, salvo la scoperta di problemi importanti durante il lancio. La mossa ha lo scopo di rendere la navigazione più sicura mantenendo 3rd impedisce alle parti interessate di vedere quali ricerche DNS sta eseguendo il browser e ciò risponde almeno in parte alle preoccupazioni relative al monitoraggio da parte dei provider di servizi Internet (ISP).
L'interesse per DoH è aumentato in modo significativo sulla scia della maggiore consapevolezza degli ISP che vendono i dati dei clienti a terze parti, e Mozilla è stata tra le più aggressive nell'apportare il cambiamento nonostante la resistenza degli ISP. Tuttavia, gli ISP non sono gli unici a respingere l'implementazione di DoH. Molti esperti di sicurezza informatica ritengono che DoH sia potenzialmente più dannoso che utile al di fuori di circostanze specifiche e che i vantaggi dell'adozione di DoH siano stati notevolmente esagerati.
Tra le critiche mosse al DoH c'è il fatto che in realtà non impedisce agli ISP di tracciarti se lo desiderano davvero. Ci sono numerosi altri tipi di dati che non sono crittografati dal DoH da cui un ISP può dedurre cosa sta facendo un utente.[9] Il DoH centralizza anche il traffico DNS in alcuni resolver DoH, che essenzialmente forniscono loro tutte le informazioni che in precedenza sarebbero state viste solo dall'ISP.
Per quanto significative siano queste critiche, la più grande è che DoH ha il potenziale per ridurre drasticamente l'efficacia di una pletora di strumenti di sicurezza informatica, rendendoli ciechi su ciò che gli utenti stanno facendo. Voci notevoli, tra cui il SANS Institute e il Netherlands National Cyber Security Centrum, hanno già lanciato l'allarme su come DoH avrà un impatto negativo sulle soluzioni di monitoraggio.[10] Questi timori sono giustificati, poiché è già stato scoperto un malware che usa DoH per mascherare le sue azioni e passare inosservato dagli strumenti di sicurezza informatica tradizionali.[11]
Congresso -
Martedì 3 marzo:
– Senato – Commissione per la salute, l’istruzione, il lavoro e le pensioni – Udienze per esaminare una minaccia emergente di malattia, concentrandosi su come gli Stati Uniti stanno rispondendo al COVID-19, il nuovo coronavirus.
Mercoledì, marzo 4th:
– Senato – Commissione per il commercio, la scienza e i trasporti – Audizioni per esaminare la sicurezza della catena di fornitura 5G, concentrandosi su minacce e soluzioni.
– Camera – Commissione per la sicurezza interna – Affrontare il coronavirus: prospettive sulla risposta alla minaccia pandemica
– Camera – Commissione per gli stanziamenti – Richiesta di bilancio dei National Institutes of Health per l’anno fiscale 2021
Giovedi, Marzo 5th:
– Senato – Commissione per la sicurezza interna e gli affari governativi – Udienze per esaminare la risposta interagenzia federale al Coronavirus e la preparazione per future pandemie globali.
Internazionale Udienze/Riunioni -
UNIONE EUROPEA - Nessuna udienza/riunione rilevante
Conferenze, webinar e summit -
– Workshop sulla sicurezza per analisti H-ISAC – Titusville, FL (3/4/2020)
https://h-isac.org/hisacevents/h-isac-analysts-security-workshop-titusville-fl/
–H-ISAC Member Meet-Up alla conferenza globale HIMSS – Luogo TBA (3/11/2020)
https://h-isac.org/hisacevents/h-isac-member-meet-up-at-himss/
— Smart IoT – Londra – ExCeL Londra, Regno Unito (3/11/2020)
https://www.ieee-smartiot.org/
–H-ISAC Briefing mensile sulle minacce per i membri – Webinar (3/31/2020)
Briefing mensile sulle minacce per i membri dell'H-ISAC – 31 marzo 2020
– Workshop sulla sicurezza H-ISAC – Cambridge, MA (4/7/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-cambridge-ma/
– Workshop sulla sicurezza H-ISAC – Atlanta, GA (4/13/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-atlanta/
–Healthcare Cybersecurity Forum – Mid-Atlantic – Philadelphia, PA (4/20/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/426497
–Vertice di primavera H-ISAC 2020 – Tampa, Florida. (5/11/2020-5/15/2020)
/vertici/
– Workshop sulla sicurezza H-ISAC – Frederick, MD (6/9/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-frederick-md/
–Scambio AAMI – New Orleans, LA (6/12/2020-6/15/2020)
https://h-isac.org/hisacevents/aami-exchange/
– Summit APAC 2020 – Singapore (6/23/2020-6/25/2020)
/vertici/
–Forum sulla sicurezza informatica sanitaria – Rocky Mountain – Denver, CO (7/20/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/426499
–Forum sulla sicurezza informatica sanitaria – Sud-est – Nashville, TN (9/9/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/426517
–Healthcare Cybersecurity Forum – Nordest – Boston, MA (9/22/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/427126
– Summit sulla sicurezza e sui rischi di terze parti – National Harbor, MD (9/28/2020-9/30/2020)
Summit GRF sulla sicurezza e serie digitale sui rischi di terze parti
–Forum sulla sicurezza informatica sanitaria – Texas – Houston, TX (10/8/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428840
–Forum sulla sicurezza informatica sanitaria – Pacific Northwest – Seattle, WA (10/28/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428886
–Forum sulla sicurezza informatica sanitaria – California – Los Angeles, CA (11/12/2020)
Varie –
– L’assistenza sanitaria dovrebbe approcciarsi ai dati generati dai consumatori con cautela, afferma un esperto
–Coronavirus: le fake news si diffondono rapidamente
https://www.bbc.com/news/technology-51646309
– L'acquisizione di Fitbit da parte di Google potrebbe comportare un "elevato livello di rischio per la privacy e la protezione dei dati"
–Clearview AI: hackerato il database aziendale di raccolta volti
https://www.bbc.com/news/technology-51658111
Contattaci: segui @HealthISAC e invia un'e-mail a contact@h-isac.org
[4] https://www.cyberscoop.com/china-pla-hacking-indictment-deterrence/
[5] https://www.cyberscoop.com/china-pla-hacking-indictment-deterrence/
[6] https://www.cyberscoop.com/china-pla-hacking-indictment-deterrence/
[7] https://www.cyberscoop.com/china-pla-hacking-indictment-deterrence/
[8] https://www.cyberscoop.com/china-pla-hacking-indictment-deterrence/
[9] https://www.zdnet.com/article/dns-over-https-causes-more-problems-than-it-solves-experts-say/
[10] https://www.zdnet.com/article/dns-over-https-causes-more-problems-than-it-solves-experts-say/
- Risorse e notizie correlate
- Salute-ISAC Hacking Healthcare 4-14-2026
- Mythos e gli strumenti di intelligenza artificiale simili alzano la posta in gioco per la sicurezza informatica in ambito sanitario.
- Un ospedale del Massachusetts respinge le ambulanze dopo un attacco informatico.
- Podcast: Phil Englert sulla sicurezza informatica dei dispositivi medici.
- La minaccia interna si ripresenta
- 'Un'occasione persa': l'assenza del governo statunitense dalla conferenza RSAC lascia un vuoto incolmabile
- Salute-ISAC Hacking Healthcare 3-26-2026
- Salute-ISAC Hacking Healthcare 3-19-2026
- Newsletter mensile di Health-ISAC – Aprile 2026
- Rapporto post-intervento: Serie di esercitazioni sulla resilienza Health-ISAC 2025