Mezzo milione di documenti sanitari nel Regno Unito trovati in vendita su Alibaba

Con una significativa violazione della sicurezza dei dati, il governo britannico ha confermato che sono stati scoperti dati sanitari riservati appartenenti a circa mezzo milione di volontari britannici che partecipavano al progetto UK Biobank offerti in vendita sulla piattaforma di e-commerce cinese Alibaba. Questa scoperta allarmante è stata fatta per la prima volta la scorsa settimana quando ricercatori e funzionari hanno identificato tre elenchi separati contenenti le informazioni sanitarie personali sensibili di questi partecipanti alla ricerca.

L'esposizione delle cartelle cliniche rappresenta uno degli incidenti sulla privacy più sostanziali che abbiano colpito i cittadini britannici negli ultimi tempi, sollevando seri interrogativi su come si sarebbe potuto accedere a tali dati sensibili e successivamente renderli disponibili su un mercato commerciale. I funzionari tecnologici si sono mossi rapidamente per affrontare la situazione, con rappresentanti del governo che hanno informato il Parlamento dell'incidente e confermato che tutti gli elenchi identificati sono stati rimossi dalla piattaforma. Secondo le indagini iniziali, non vi sono prove che suggeriscano che le vendite effettive dei dati siano state completate prima della rimozione degli annunci pubblicitari.

La scoperta ha suscitato una risposta immediata da parte del Ministero della Tecnologia del governo britannico, che ha presentato risultati dettagliati ai membri della Camera dei Comuni in merito alla portata e alla natura della violazione dei dati. I funzionari hanno descritto le informazioni come "non identificate", suggerendo che mentre gli identificatori personali potrebbero essere stati rimossi dai registri, i dati sanitari stessi sono rimasti altamente sensibili e potenzialmente preziosi per i malintenzionati interessati alla ricerca medica, alle frodi assicurative o ai programmi di furto di identità.

La Biobanca del Regno Unito è un'importante iniziativa di ricerca che ha arruolato centinaia di migliaia di volontari britannici che hanno contribuito con le loro informazioni genetiche, la storia medica e i dati sullo stile di vita per sostenere la ricerca scientifica su malattie e condizioni di salute. I partecipanti a questo programma di ricerca sulle biobanche forniscono il consenso affinché le loro informazioni vengano utilizzate per scopi scientifici legittimi, con rigorose garanzie teoricamente in atto per proteggere la loro privacy e garantire che i loro dati rimangano riservati. L'inserimento non autorizzato di queste informazioni su Alibaba rappresenta una grave violazione di tale fiducia e degli impegni in materia di privacy assunti nei confronti dei partecipanti.

Sono in corso indagini sulle modalità con cui si è verificata la violazione dei dati, con le autorità che tentano di determinare se le informazioni sono state ottenute tramite hacking, furto da parte di un attore interno o attraverso altri mezzi di accesso non autorizzato. Il fatto che i dati siano apparsi su Alibaba, una delle piattaforme di e-commerce più grandi al mondo, suggerisce una conoscenza sofisticata su come navigare nei mercati internazionali dei dati ed eludere il rilevamento. Gli elenchi sono stati infine segnalati da ricercatori e professionisti della sicurezza che monitorano tali attività illegali online.

Questo incidente evidenzia le crescenti vulnerabilità degli archivi di dati sanitari su larga scala e la crescente sofisticatezza dei criminali informatici che prendono di mira informazioni personali preziose. Anche gli istituti di ricerca ben finanziati e dotati di team di sicurezza dedicati devono affrontare sfide nel prevenire l’accesso non autorizzato ai propri database, in particolare quando hanno a che fare con attori internazionali che possono operare in più giurisdizioni dove l’applicazione delle norme è difficile. La violazione sottolinea la necessità di misure di sicurezza più solide e di cooperazione internazionale sulle questioni legate alla protezione dei dati.

La conferma della violazione da parte del governo è arrivata attraverso dichiarazioni parlamentari ufficiali in cui funzionari del ministero della tecnologia hanno dettagliato i loro risultati e le misure adottate in risposta. Questa trasparenza è stata accolta con favore dai difensori della privacy e dai politici dell’opposizione che da tempo sollevano preoccupazioni sull’adeguatezza della protezione delle informazioni sanitarie sensibili. L'incidente ha riacceso il dibattito sulla governance dei dati, sulle responsabilità delle organizzazioni che detengono grandi set di dati e sulla questione se le normative attuali forniscano garanzie sufficienti per i cittadini britannici.

I funzionari hanno sottolineato che è stata intrapresa un'azione tempestiva dopo la scoperta delle inserzioni, con un coordinamento immediato tra le autorità del Regno Unito e Alibaba che ha portato alla rimozione di tutti gli annunci pubblicitari identificati. Tuttavia, rimangono dubbi su quanto tempo i dati potrebbero essere stati disponibili per l'acquisto, quante persone potrebbero aver avuto accesso agli elenchi e se si sono verificate trattative preliminari o transazioni parziali prima della rimozione. Questi dettagli sono cruciali per comprendere l'intera portata della potenziale esposizione.

L'incidente solleva importanti domande sugli standard internazionali di sicurezza dei dati e sulle sfide legate alla protezione delle informazioni dei cittadini britannici quando potrebbero accedervi attori o entità stranieri che operano al di fuori della giurisdizione del Regno Unito. Le piattaforme di e-commerce con sede in Cina, pur avendo i propri protocolli di sicurezza, possono operare in quadri normativi diversi rispetto a quelli del Regno Unito, creando potenzialmente lacune nella supervisione e nella responsabilità. La violazione dimostra che la protezione dei dati non è solo una preoccupazione interna ma sempre più una questione di sicurezza internazionale.

Gli esperti di privacy sanitaria hanno espresso particolare preoccupazione per questo tipo di esposizione delle informazioni sanitarie personali perché le cartelle cliniche contengono alcuni dei dati più sensibili sugli individui, tra cui predisposizioni genetiche, diagnosi e informazioni sul trattamento che potrebbero essere utilizzate per discriminazione o ricatto. A differenza delle informazioni finanziarie o dei dettagli di contatto che possono essere modificati o monitorati con relativa facilità, le informazioni sanitarie rappresentano dati personali permanenti e immutabili che non possono essere ripristinati o recuperati se compromessi. Le implicazioni a lungo termine per le persone colpite rimangono incerte.

La scoperta e la rimozione degli elenchi rappresenta un intervento importante che probabilmente ha impedito un accesso più diffuso e una distribuzione delle cartelle cliniche. Tuttavia, gli esperti di sicurezza informatica notano che i dati disponibili sui siti Web pubblici vengono spesso archiviati e duplicati su più piattaforme e database, il che significa che copie delle informazioni possono ancora esistere in varie posizioni su Internet. La sfida di rimuovere completamente dalla circolazione dati così ampiamente distribuiti rimane un problema significativo nell'era digitale.

Gli organizzatori della UK Biobank hanno annunciato l'intenzione di condurre una revisione completa delle loro procedure di sicurezza dei dati e dei controlli di accesso per prevenire incidenti simili in futuro. Questa revisione esaminerà probabilmente il modo in cui i dipendenti accedono alle informazioni sensibili, se gli audit trail sono adeguati e se è possibile implementare ulteriori garanzie tecniche come la crittografia o le restrizioni di accesso. L'organizzazione deve affrontare pressioni per ripristinare la fiducia del pubblico nella sua capacità di proteggere i dati dei partecipanti.

L'incidente ha inoltre stimolato discussioni più ampie all'interno del governo del Regno Unito sulla necessità di una legislazione aggiornata e di meccanismi di applicazione per affrontare le minacce alla sicurezza informatica in evoluzione ai sistemi sanitari e agli istituti di ricerca. Le normative attuali, sebbene esaustive sotto molti aspetti, potrebbero non affrontare adeguatamente la velocità e la sofisticatezza con cui operano i moderni criminali informatici o la natura transfrontaliera delle operazioni di furto e rivendita di dati. I politici stanno valutando se siano necessari nuovi quadri giuridici o accordi internazionali per fornire una migliore protezione.

Per il mezzo milione di volontari britannici i cui dati sono stati compromessi, la violazione solleva legittime preoccupazioni sulla loro sicurezza personale e privacy. Molte persone hanno acconsentito a condividere le proprie informazioni sanitarie con i ricercatori in buona fede, aspettandosi che i loro dati fossero protetti e utilizzati solo per scopi scientifici legittimi. Il fatto che la loro delicata storia medica sia stata messa in vendita su un mercato commerciale rappresenta un tradimento fondamentale di tale consenso e fiducia, indipendentemente dal fatto che siano avvenute vendite effettive o che gli identificatori siano stati rimossi dai registri.