domenica 2 febbraio 2025

Sicurezza negli esercizi pubblici

Il Ministero degli interni ha emanato il DECRETO 21 gennaio 2025 con titolo "Adozione delle linee guida per la prevenzione degli atti illegali e di situazioni di pericolo per l'ordine e la sicurezza pubblica all'interno e nelle immediate vicinanze degli esercizi pubblici": www.gazzettaufficiale.it/eli/id/2025/01/25/25A00562/sg.

 

Non l'ho letto, ma ho letto il commento molto polemico di Christian Bernieri: https://garantepiracy.it/blog/kapo/.

 

Non mi occupo di sicurezza pubblica e non lo farò. Però questo mi sembra un bell'esempio di fuffa-sicurezza, che vedo anche in molte aziende: un codice di condotta che nessuno leggerà, videosorveglianza dappertutto, timbri per riconoscere i visitatori (qui i minori, ma il concetto è lo stesso) ma non per riconoscere gli altri

Dispositivi medici che mandano dati dei pazienti in Cina

Mi hanno segnalato un articolo interessante dal titolo "Allarme negli ospedali, dispositivi medici mandano dati dei pazienti in Cina": https://www.tomshw.it/hardware/allarme-negli-ospedali-dispositivi-medici-mandano-dati-dei-pazienti-in-cina-2025-01-31.

L'avviso originale della CISA è questo: https://www.cisa.gov/resources-tools/resources/contec-cms8000-contains-backdoor.

Mi pare interessante anche il commento di una persona che si occupa di marcatura CE di dispositivi medici: "la cybersecurity è ormai un problema serissimo in questo campo e la nostra analisi ai fini della marcatura CE non avrebbe mai e poi mai trovato questa "cosuccia". Forse facendo dei vulnerability assessment e penetration test durante un uso intenso del dispositivo un buon laboratorio avrebbe potuto vedere qualcosa, ma i cinesi sono stati furbi ad usare la porta tipicamente usata per la trasmissione HL7 in ambito sanitario. Oltre a ciò, i VA-PT sono commissionati dal fabbricante e non dall'organismo che verifica".

Questo mi fa ripensare alla mia denuncia sulla "sicurezza di carta", di cui sono vittime anche le marcature CE: tante check list, tante analisi documentali, mentre forse si potrebbero ridurre in favore di VA-PT più tecnologici.

Privacy: sanzione a Regione Molise e ai responabili

Segnalo il Provvedimento del 27 novembre 2024 [10095810] del Garante privacy: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10095810.

 

La notizia sulla newsletter del Garante ha titolo "Data breach, FSE Molise: le sanzioni del Garante privacy": https://www.gpdp.it/home/docweb/-/docweb-display/docweb/10095854#2.

 

In due parole: il servizio web di Fascicolo sanitario elettronico della Regione Molise presentava un bug, sfruttato da una persone per visualizzare altre pratiche.

 

Il Garante ha sanzionato, oltra al titolare Regione Molise e il responsabile Società Molise dati anche Engineering Ingegneria Informatica S.p.A. (che a sua volta era responsabile di un responsabile della Società Molise dati, ossia il sub3-responsabile), che aveva in manutenzione il servizio.

 

La cosa interessante è che Engineering è stata sanzionata perché "omettendo di mettere in atto misure tecniche [...] come previsto anche dall’atto di nomina a responsabile" e perché "avrebbe dovuto -nell’ambito dei doveri di ordinaria diligenza- adottare misure adeguate, e verificarne l’efficacia con l’esecuzione di opportuni casi di test".

 

Ecco quindi che il responsabile non deve seguire pedissequamente le istruzioni del titolare, ma farsi carico dei "doveri di ordinaria diligenza".