Ci sono stati un paio di casi in cui le unità USB infettate dal malware sono state cedute inconsapevolmente come articoli promozionali alle conferenze, ad esempio IBM in 2010 .
Inoltre, se un'azienda sanitaria distribuisse unità USB "di marca", quali altri rischi potrebbero essere coinvolti con tali omaggi?
Inoltre, se il destinatario del disco scarica le informazioni mediche personali sul disco e si perde, può essere coinvolto il medico?
Il rischio per il destinatario è che potrebbe esserci qualcosa lì. Il rischio maggiore per te è probabilmente il danno alla reputazione, dato che stai fornendo solo chiavette USB vuote, senza fornirle con informazioni sensibili. Sarei sorpreso se potessero ritenervi responsabili della perdita dei loro dati - non conosco nessun caso fino a questo punto (tuttavia non sono un avvocato, non ne gioco uno in TV)
Opzioni di attenuazione:
Come la persona che fornisce le chiavi USB, il rischio riguarda la reputazione e le possibili ritorsioni legali; vedi @ la risposta di Rory.
Per chi riceve la chiave, i rischi sono più alti, in particolare perché ciò che assomiglia a una chiave USB convenzionale può dichiararsi, a livello USB, come una tastiera e inizia automaticamente a "digitare" le cose selvaggiamente. È stato dimostrato . Anche se la chiave è in realtà un dispositivo di archiviazione con un filesystem, un file system opportunamente modificato potrebbe tentare di sfruttare un bug nel codice del sistema operativo (le implementazioni del filesystem sono note per essere complesse e un po 'fragili a tale riguardo). E c'è l'intera attività "autorun" (vedi questa risposta per alcuni dettagli).
Le unità flash USB sono un articolo promozionale straordinariamente brutto. A causa del frequente malware, la maggior parte delle aziende ora ha regole che vietano ai dipendenti di accettarle o di distruggerle se già ne hanno.
Ricorda che il malware ha molte forme in queste unità. L'ultima a comparire è quella in cui gli hacker riprogrammano il firmware sui dispositivi, in modo che non appaiano solo come un'unità flash USB, ma anche come una tastiera. A volte casuali, inseriscono tratti di chiave speciali per avviare comandi, come l'apertura di un URL per scaricare malware da un sito Web.
L'unico rischio per il destinatario è che le unità USB promozionali distribuite contengano malware . Può sembrare improbabile, ma è si verifica .
È molto improbabile che sarai ritenuto responsabile per qualcuno che usa il disco per archiviare dati personali e perderlo.
Ci sono altri rischi che il disco dall'aspetto ufficiale potrebbe essere usato male (probabilmente per un attacco alla compagnia) ma questi sono minimi.
Non penso che ci sia alcun rischio. Non hai chiesto loro di memorizzare i dati dei pazienti su questo dispositivo.
A meno che tu non abbia dato loro un dispositivo USB che mira a memorizzare i dati in modo sicuro (crittografato) e che la crittografia non era buona; quindi possono affermare di contare sulla protezione del dispositivo, ma anche in questo caso la produzione USB sarà responsabile, non tu.
Ma non importa cosa diciamo che possono essere arrabbiati con te e la tua azienda se succedesse qualcosa del genere. Non puoi controllare i sentimenti delle persone.
Leggi altre domande sui tag healthcare risk malware data-leakage