Quante ASL possono essere bucate?

di G. Battista Gallus - Le modalità con cui aggressori malevoli avrebbero potuto inserirsi nella rete informatica di una Unità Sanitaria Locale in Sardegna preoccupano gli esperti. Quante sono le ASL e i servizi a rischio?

Roma - La stampa sarda (ma la notizia è stata subito ripresa in Rete) ha dato molto rilievo al fatto che sia stata denunziata una (presunta) pericolosa vulnerabilità della rete wireless di una Unità Sanitaria Locale. La denuncia è stata fatta oggetto di un'interrogazione al Consiglio Regionale Sardo, reperibile sul
sito del promotore.

Stando a quanto si legge su Informatica-oggi: "Con l'aiuto di esperto d'informatica, sono penetrati, tramite un punto d'accesso wireless a Cagliari, nella rete dell'Asl, riuscendo ad accedere a dati su dimissioni e ricoveri delle case di cura con nomi e cognomi dei pazienti, schede personali con le patologie, esenzioni ticket per patologie degli abitanti di un comune del Sulcis, comunicazioni interne dei medici". Il quotidiano La Sardegna del primo marzo è ancora più esplicito: "Cartelle cliniche e dati sensibili di numerosi pazienti possono essere visionati e scaricati senza grandi difficoltà. Se si ha dimestichezza con la rete wireless (connessione senza fili) basta appostarsi sotto la finestra di alcuni uffici dell'azienda sanitaria con un pc o un telefono cellulare wi-fi e in meno di dieci minuti, con un semplice programma (crack) di ricerca wi-fi, il gioco è fatto". L'articolo riporta anche che "i consiglieri, dopo le segnalazioni di alcuni minorenni che hanno ammesso di aver scaricato documenti sanitari dell'ASL 8 tramite connessione wi-fi, hanno ingaggiato un esperto di informatica per verificare".

La risposta della ASL locale non si è fatta attendere: sempre Informatica-oggi riporta che "L'Asl ipotizza che l'accesso denunciato abbia riguardato un pc inserito in una rete locale, nel quale peraltro erano presenti file riguardanti dati sensibili di pazienti: l'azione del tutto volontaria e niente affatto casuale è molto grave. Perciò l'Azienda ha segnalato l'episodio all'autorità giudiziaria." Da parte dell'Azienda Sanitaria si precisa anche che in ogni caso l'accesso sarebbe protetto da password.
La notizia fornisce lo spunto per alcune considerazioni, sia in tema di accesso abusivo a sistema informatico, sia con riguardo all'adozione delle misure di sicurezza in ambito sanitario, ai sensi del Codice della Privacy.
Basandosi su quanto riportato, sembrerebbe che si sia proceduto a forzare la chiave WEP di cifratura, e si sia poi potuto accedere liberamente ai dati contenuti nei sistemi della ASL.

Si può supporre che fosse stata implementata una cifratura con chiave WEP, in quanto tutte le fonti riferiscono che la stessa sia stata "craccata" in pochi minuti. D'altronde, si tratta di una vulnerabilità oramai assodata, ed una banalissima ricerca in Rete fornisce tutti i tools per superare questa chiave di cifratura.
La facilità con cui la cifratura è stata superata, e l'altrettanto (apparente) facilità con cui si è potuto accedere ai dati contenuti nella rete locale (stando a quanto riferito dai quotidiani), non deve peraltro trarre in inganno.

La giurisprudenza formatasi in tema di accesso abusivo a sistema informatico (art. 615 ter cod. pen.), ritiene infatti che la configurabilità di tale reato richieda appunto che il sistema sia "protetto da misure di sicurezza" e che l'agente, per accedervi, abbia in qualche modo neutralizzato tali misure.

Ora, nel caso di specie, il sistema sembrerebbe effettivamente protetto da una misura di sicurezza (stando a quanto riportato dalla stampa), ancorché facilmente rimovibile e sicuramente inappropriata, vista la natura dei dati trattati.
Il fatto che la misura sia inidonea o insufficiente (si pensi ad esempio anche ad un filtraggio degli accessi a livello di MAC address) non può comunque ritenersi equivalente all'ipotesi in cui le misure siano totalmente assenti (nel qual caso, come più volte ribadito dalla Suprema Corte, il reato non sussisterebbe - vd ad esempio Corte di Cassazione, Sez. VI, 27 ottobre 2004, n. 46509, su Penale.it).
In sintesi, anche una protezione inefficace e antiquata, costituisce comunque una "misura di sicurezza".

Occorre però svolgere alcune riflessioni in tema di trattamento di dati personali, sotto il profilo delle misure di sicurezza, e non solo delle misure minime, previste dall'All. B. del D.lgs 196/03, ma anche delle misure "idonee" di cui all'art. 31 del Codice della Privacy.

L'all. B del Codice, difatti, impone l'adozione di una serie di misure di sicurezza, che rappresentano lo standard minimale ed imprescindibile per ogni sistema che tratti dati personali, e la cui mancata adozione è sanzionata da precetto penale.

Tra queste misure minime, oltre a quelle comuni (adozione di credenziali di autenticazione, antivirus, firewall, etc.) ve ne sono alcune che devono essere implementate in caso di trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
In particolare, occorre adottare tecniche di cifratura o codici identificativi, anche al fine di consentire il trattamento disgiunto di tali dati dagli altri dati personali che permettono di identificare direttamente gli interessati.

Ma, aldilà delle misure minime, condizione per la liceità dei trattamenti è che vengano rispettati gli obblighi di sicurezza di cui all'art. 31 del Codice, e che pertanto i dati personali siano custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

E, prendendo spunto dal "caso" così come descritto dai media, sembra difficile sostenere che l'adozione di una cifratura WEP per proteggere i dati di una ASL sia da ritenersi misura "idonea", proprio perché è oramai un dato assodato che si tratti di una tecnica di cifratura assolutamente insufficiente e superata, da evitare anche in ambito casalingo, e assolutamente inaccettabile in una struttura sanitaria.

In conclusione, ed aldilà delle (facili) polemiche, la notizia potrebbe servire come spunto per iniziare una verifica seria e capillare circa l'effettiva adozione delle misure di sicurezza (non solo informatiche) nella sanità e, più in generale, nell'ambito della Pubblica Amministrazione.

Avv. Giovanni Battista Gallus
www.giuristitelematici.it
45 Commenti alla Notizia Quante ASL possono essere bucate?
Ordina
  • Attualmente negli ospedali i sistemi informatici sono in via di implementazione e nel tempo cercano di sostituire il cartaceo, il percorso dovrebbe portare al superamento completo del cartaceo con il medico che appunta direttamente i suoi dati in formato elettronico, mediante PC o PDA, con accesso al sistema mediante "carta intelligente" e password da modificare obbligatoriamente una volta al mese.
    Ovviamente durante la fase di transizione (sono ormai 10 anni di transizione!) il cartaceo e l'informatica coesistono con i seguenti risultati:
    1. Non sono disponibili abbastanza postazioni (PC) da cui immettere i dati
    2. Spesso si è costretti a scrivere due volte lo stesso referto/esame, prima sul cartaceo (es. cartella clinica) e poi in formato elettronico
    3. In attesa delle "carte intelligenti", della loro attivazione, della configurazione delle postazioni di lavoro, di corsi di formazione del personale (eh già magari qualcuno che ti spieghi come funzioni il tutto) tutto è affidato alla buona volontà/capacità dei singoli
    4. Se prima con il cartaceo accedere alle informazioni era lento e difficoltoso anche per chi ne aveva diritto, ora è stupefacente la mole di informazioni che posso ottenere su un assistito, esami del sangue (che so AIDS Epatiti ecc...), referti bioptici (Tumori ecc...), Referti psichiatrici, Aborti ecc. Il bello è che li posso ottenere su qualsiasi abitante della mia ASL, anche per quelli che non ho mai visitato e in futuro prevedono di allargare il sistema a livello regionale.
    Non ci vuole un genio per capire che con un sistema così ci vuole poco per mettere insieme materiale delicato con cui ricattare qualcuno, senza bisogno di particolari conoscenze informatiche, basta qualche conoscente che possa accedere al sistema e il gioco è fatto, forse un domani attiveranno un Log una procedura di identificazione dell'operatore, ma per ora....
  • Visto che tutte le volte che parte una denuncia per accesso non autorizzato ad un sistema informatico viene mossa la Polizia Postale o chi per essa, e che le risorse impiegate vengono ovviamente pagate dai contribuenti, perché non investire gli stessi soldi preventivamente e costruttivamente?

    Ecco cosa intendo: visto che esistono delle strutture specializzate da noi pagate, perché queste non si attivano preventivamente (autonomamente o su richiesta degli uffici) per rilevare i buchi di sicurezza e segnalare opportuni piani di messa in sicurezza dei sistemi?

    Come di dice ... prevenire è meglio che combattere, e visto che i soldi li spendiamo comunque ...

    E di grazia, che qualcuno a livello nazionale stabilisca dei requisiti minimi che siano adeguati a proteggere i nostri dati, e non siano così bassi da irresponsabilizzare chiunque!
  • Se verrà portata avanti la tradizione italiana, ora se la prenderanno con chi ha bucato la rete e rivelato la falla, invece che ringraziarlo (e mettere sulla graticola l'(ir)responsabile che ha commissionato ed approvato la realizzazione).

    E qui dovrebbe entrare il Garante, che come sempre latita.
    La legge indica requisiti minimi e di adeguatezza per la sicurezza dei sistemi informativi che gestiscono dati sensibili, con le relative implicazioni penali e civili.

    La cosa che sfugge è che i requisiti di minimalità non sono adeguati alle reali esigenze di sicurezza.
    L'altro aspetto è che non ci va mai di mezzo nessuno.
    Ulteriore aspetto (e forse in molti contesti il più grave) è che la gestione dei centri di costo della P.A. è in antitesi con la qualità e l'efficienza.

    Faccio un esempio concreto: in una realtà della P.A. in cui opero accade che tutte le volte che si guasta un apparato di rete questo venga sostituito invece che riparato.
    E questo perché? Perché sul centro di costo dell'acquisto dell'hardware ci si trova con parecchi soldi, mentre su quello per l'acquisto dei contratti di assistenza non ci siano soldi (neppure quelle poche decine di Euro ad apparato che estendono la garanzia di anni).

    Quello che chi di dovere deve capire è che il firewall più costoso del pianeta non serve a nulla se non c'è qualcuno che lo configuri in modo appropriato.
    E lo stesso vale per la progettazione delle reti (wireless e non), dei sistemi di autenticazione, e così via.

    Per non parlare poi dei sistemi 'frullato', ove tanti uffici insistono sulla stessa infrastruttura informatica.
    Tutti vogliono decidere, tutti fanno i propri acquisti, tutto installano i propri server, e tutti vogliono (non) gestire a modo proprio la sicurezza.

    E tutti si nascondono dietro ad un dito, nessuno parla con gli altri, tutti acquistano (spesso prodotti molto costosi, magari abbondando anche sul numero di licenze a livello nazionale, perché non si sa mai ...), tutti installano ...

    E poi, a frittata fatta, ci si accorge che alla fine occorre qualcuno che sappia cosa fare perché le cose vengano fatte, invece che un bel documento di specifica di centinaia di pagine in cui nessuno è in grado di capire chi doveva fare cosa, e chi è responsabile di cosa ...

    E poi, se anche qualcuno viene riconosciuto responsabile di qualcosa cosa accade? Niente, e tutto prosegue come prima.

    Per concludere, che venga dato un riconoscimento a chi scopre vulnerabilità dei sistemi, perché con il suo sforzo ed il suo tempo ha risparmiato di ingaggiare un (costoso) tiger team che faccia le pulci ai sistemi interessati.

    Ed ovviamente sulla base delle rilevazioni, vediamo di agire in modo costruttivo: invece che far partire inutili denunce che rovinano la vita alle persone che ci hanno aiutato, e lasciare irrisolti i problemi denunciati, che si intervenga concretamente e costruttivamente per risolvere i problemi riscontrati.

    E al responsabile della ASL a cui sono state bucate le reti chiedo: avrebbe davvero preferito che ad accedere ai documenti riservati fosse stato qualcuno che ben si guarda dal segnalarlo, e che i dati poi li utilizza in modo illecito (cosa che non è detto che non sia accaduta o che non stia accadendo un quest'istante)?
  • conosco bene come viene gestita la sicurezza nelle ASL, e vi assicuro che la situazione è disastrosa, molto peggio di quanto descritto nell'articolo!

    Access point poco sicuri, dati sensibili che viaggiano in chiaro ANCHE su Internet, password di default o facilmente aggirabili... e potrei continuare.

    Ma il problema non è la mancanza di fondi: di soldi nella sanità ne girano parecchi. E' un problema di cultura, la sicurezza non viene percepita come un problema.
    non+autenticato
  • ...in ItaGlia gli informatici prendono meno di una badante, quindi questo tipo di problemi rappresentano la perfetta normalità.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 12 discussioni)