venerdì 21 gennaio 2011

USA: infermiere licenziato per aver spiato le cartelle di Tiger Woods

Ambito: assistenza sanitaria/healthcare
Tipologia: fuga di informazioni personali

David Rothenberg era l'infermiere di turno del Health Central Hospital di Ocoee il 27 novembre 2009, il giorno in cui venne ricoverato il campione di golf Tiger Woods, dopo essere andato a sbattere contro un albero con la sua Cadillac Escalad.
Secondo Rothenberg, dopo alcune ore dall'arrivo di Woods, qualcuno all'interno dell'ospedale diede uno sguardo ai dati confidenziali del paziente senza autorizzazione, utilizzando le credenziali di accesso dell'infermiere. L'accesso venne quindi registrato nei log del sistema di gestione e l'infermiere venne licenziato per accesso non autorizzato ai dati.
Rothenberg proclama però la sua innocenza e ha citato in causa l'ospedale affermando di non essere stato lui il responsabile dell'accesso ai dati: secondo quanto asserito dall'infermiere, qualcun altro deve aver fatto delle ricerche all'interno del sistema informativo ospedaliero sui nominativi di “Tiger Woods,” e di due pseudonimi che il campione utilizza spesso per preservare la propria privacy, “Ronald Williams” ed “Ernest Smith”. Egli ha anche aggiunto di aver lasciato l'applicazione aperta sul suo PC che non è stato presidiato mentre Rothenberg svolgeva altre mansioni all'interno dell'ospedale.

Nota: ci sono alcuni punti di interesse che è utile esaminare in questo caso:
  1. l'ospedale ha individuato l'accesso non autorizzato, ma non è stato in grado di prevenirlo;
  2. lasciare un'applicazione aperta e minimizzata su un PC non lockato e senza salvaschermo non è una buona pratica di sicurezza.
  3. non siamo sicuri se i PC dell'ospedale sono configurati per effettuare un logout automatico o per lanciare un salvaschermo con richiesta di autenticazione dopo un certo periodo di inattività. Può essere quindi vero che qualche altro dipendente dell'ospedale ha avuto accesso ai dati dal PC di Rothenberg.
L'Health Central Hospital di Ocoee dovrebbe effettuare una revisione della sua sicurezza interna con un assessment per verificare quali falle possono dare luogo a violazioni di questo e di altro tipo.
Anche un programma di security awareness potrebbe contribuire ad evitare errori come quello di lasciare aperte applicazioni sensibili non presidiate sul proprio PC.
Pubblicato da alle
Etichette: , ,

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)