Come molti sapranno ad aprile è stata attaccata la struttura Synlab da parte del collettivo BlackBasta. Tra i dati esfiltrati, oltre ai documenti d’identità ed informazioni interne sulla struttura, c’erano anche molti referti medici. In questo articolo si andrà ad esaminare il rapporto tra dato sanitario e gestione dei file, concentrandosi in particolar modo sui gestionali come misura di tutela della privacy.
La gestione dei file
La gestione dei file è uno degli aspetti più rilevanti per garantire la tutela della privacy di un paziente/utente. Un file, benché non parlante, potrebbe essere collocato in una cartella atta a rivelare l’identità della persona o, magari, la tipologia di malattia di cui è sofferente. Gli elementi a cui prestare attenzione sono normalmente tre:
- Posizione del file: la cartella non dovrebbe consentire l’identificazione dell’utente/paziente in modo esplicito (nome, cognome, etc…), bensì dovrebbe basarsi su un principio di pseudonimizzazione utilizzando, ad esempio, il numero identificativo del paziente.
- Nome del file: potrebbe rischiare di identificare la patologia del soggetto oppure direttamente il nome del soggetto: soprattutto se il file è nominato in modo esplicito.
- Contenuto del file: soprattutto quando contiene informazioni particolari, andrebbe adeguatamente tutelato dalla sottrazione e apertura illecita.
Facendo un esempio: s’immagini che l’utente Mario Rossi abbia l’ID paziente 12345 e che sia ricoverato in oncologia. Si guardi la differenza tra una struttura classica di file e cartelle e un’altra tesa ad offrire maggiori garanzie:
-Oncologia
|-Dott.ssa Giulia Bianchi
|-Rossi_Mario
|-20_05_2020-Referto TAC Rossi Mario.pdf
|-12_06_2020-Consulto per emicrania Rossi.doc
|-02_07_2020-Lettera ASL glioblastoma per Rossi Mario.pdf
Già immaginando una struttura di questo tipo è possibile ricostruire alcune informazioni: Mario Rossi è in cura presso il reparto di Oncologia sotto le cure della Dott.ssa Giulia Bianchi. Ha un glioblastoma per cui ha eseguito una TAC nel maggio del 2020 e alla quale è seguito un consulto per emicranie nel giugno 2020; le informazioni sono esplicite e sono, chiaramente, tutte parlanti. Si provi, invece, a considerare una struttura differente.
-REP04
|-73260
|-992749232
|-20_05_2020-Referto TAC.pdf
|-12_06_2020-Consulto di reparto.doc
|-02_07_2020-Lettera ASL.pdf
Si provi ora a rispondere a queste domande:
- Qual è il nome del paziente?
- Qual è il nome del dottore che ha in carico il paziente?
- Qual è il reparto in cui è ricoverato il paziente?
- Qual è la patologia di cui è affetto il paziente?
Benchè sia possibile fare delle ipotesi, è molto più difficile stimare la natura della patologia: la TAC è un esame che si compie per molti scopi, non solo in oncologia. Inoltre diventa impossibile identificare il paziente senza conoscerne l’identificativo, così come è impossibile identificare il medico che lo ha in cura. L’unico modo rimane impossessarsi dei documenti e aprirli.
Il caso Synlab ed errori comuni
Tra i documenti trafugati dal collettivo BlackBasta alla Synlab, c’era anche uno spermiogramma che, a guardarlo attentamente, mostrava tutte le caratteristiche atte a tutelare l’identità del paziente. Innanzitutto non viene mai menzionato il nome e il cognome ma soprattutto non viene fornito nessun altro dato personale atto a poterlo identificare. Il tecnico di laboratorio non viene mai nominato completamente: vengono utilizzate solo le iniziali. Questa modalità impediscono di identificare la persona univocamente, proteggendola dall’atto illecito.
Inserire un esame in formato PDF, all’interno di una cartella nominata con nome e cognome del paziente è, purtroppo, una prassi comune ed è un errore madornale che permette di associare l’esame al soggetto con le relative conclusioni. S’immagini, infatti, di trovare cartelle menzionate come segue:
Check-up_Maria-Bianchi
Check-up_Luisa-Neri
Check-up_Paola-Rossi
È chiaro che tale struttura, con gli annessi file, sarebbero molto più espliciti rispetto alla struttura di file e cartelle pseudonimizzata, rappresentata precedentemente. Gli hacker hanno pubblicato il contenuto delle cartelle gestite da SynLab, tra cui la tristemente celebre cartella referti che conterrebbe approssimativamente oltre 1.860 file PDF di esiti clinici.
A corredo delle informazioni cliniche ci sarebbero poi quelle tecnologiche: password, indirizzamenti interni, istruzioni di configurazione, tutto mantenuto perfettamente “in chiaro” all’interno di documenti Word o addirittura in formato .txt. Insomma, Synlab non si discosta dalla routine di molte altre strutture colpite, dimostrando che nonostante la ISO9001 certificata da Bureau Veritas, si è molto lontani dal corretto mantenimento delle informazioni in qualità e sicurezza.
Perché i gestionali sono importanti
Ai più tecnici non sarà sfuggito un aspetto importante: anche adottando una struttura di file e cartelle pseudonimizzata, in presenza dell’esfiltrazione di file come quella subita da Synlab, le informazioni si potrebbero “ricostruire” rendendo vano il meccanismo di pseudonimizzazione. Basterebbe aprire i file delle cartelle, o compiere una normale ricerca, per capire a chi appartengono i referti e conoscerne il contenuto.
Questo significa che non è possibile trattare le informazioni particolari in tale modo. Non è intelligente e sicuro detenere migliaia di referti in una normale cartella anche con le regole di pseudonimizzazione elencate precedentemente. È invece necessario operare all’interno di un ambiente più protetto che, pur facilitando il compito di navigazione tra file e cartelle, protegga l’archivio in modo adeguato. I software gestionali hanno questo scopo e dovrebbero essere adottati da ogni struttura atta a trattare informazioni di natura particolare come, ad esempio, i dati sanitari. Benché non vi siano prescrizioni che vietano esplicitamente l’uso delle classiche cartelle e di un filesystem correttamente impostato, è necessario prevedere il rischio d’incidente e calcolarne le conseguenze che sarebbero, in ogni caso, disastrose per i pazienti.
Perchè il gestionale è diverso?
Il gestionale è un software studiato per tutelare e facilitare la gestione di specifiche tipologie di dati. Nel caso dell’ambito sanitario, il gestionale è in grado, ad esempio, di mantenere una facile ricerca d’informazioni sul paziente da parte dei medici, senza esporre tali dati ai rischi di esfiltrazione. I gestionali (soprattutto quelli di ambito sanitario), poggiano su database interamente cifrati, in grado di essere letti e utilizzati solo dal personale autorizzato. Ogni tentativo di esfiltrazione risulterebbe vano: l’hacker troverebbe esclusivamente un mucchio di dati cifrati che non possono essere letti, analizzati e utilizzati in alcun modo.
Perché non si utilizzano?
In molti casi per problemi di praticità, tempo e formazione. I medici conducono una giornata lavorativa complessa, lunga e il software gestionale richiederebbe una formazione specifica in cui la struttura ospedaliera non vuole investire. In altri casi c’è un problema di età che porta i medici più anziani a non avere la stessa confidenza tecnologica dei più giovani. Sono problemi apparentemente banali e sicuramente inaccettabili agli occhi di un paziente ma sono problemi reali e sono problemi quotidiani che la direzione sanitaria dovrebbe gestire attivamente facendo corsi di formazione e fornendo ai medici la possibilità di “adattarsi” all’utilizzo di un gestionale. Sono tutti problemi ampiamente risolvibili.
Tra i vari problemi c’è poi la condotta del singolo medico che potrebbe tranquillamente esportare i documenti contenuti nel gestionale, per poterli lavorare anche al di fuori della struttura senza garantirne l’adeguata sicurezza, spesso contravvenendo alla regole imposte dalla direzione sanitaria.
Vi è infine la critica alle differenze applicative: i medici operanti in più strutture, lamentano l’eterogeneità funzionale dei sistemi gestionali. Questo comporterebbe troppa formazione e possibili macro-differenze nell’utilizzo dei sistemi. Certamente, in merito all’utilizzo dei gestionali, è possibile che per le strutture pubbliche AgID fornisca un set predefinito di comandi, modalità di navigazione e configurazioni di massima delle interfacce. In tal modo, seppur sviluppati da soggetti differenti, i gestionali appariranno simili tra loro, garantendo continuità qualora il medico cambi struttura. L’intervento di AgID andrebbe proprio a garantire quell’armonia necessaria consentire un “utilizzo diffuso” delle varie soluzioni software, senza osteggiare lo sviluppo di eventuali funzionalità aggiuntive con cui ogni sviluppatore potrebbe arricchire la propria soluzione.
Conclusioni
Alla base, come sempre, c’è quindi un problema culturale e di buone prassi a cui ancora non si presta la dovuta attenzione e che, necessariamente, dovrà cambiare. La mancanza di adozione di un sistema sicuro per la gestione dei file, comporterà sempre il rischio di un’esposizione illecita dei dati ad attori malevoli di varia natura.
Non è solo un problema derivante dagli attacchi ransomware. Giova ricordare che nel 2022, DarkTracer ha mappato con successo milioni di minacce stealer installate dentro sistemi informativi di tutto il mondo, con lo scopo di sottrarre informazioni dai computer infetti. Nella maggior parte dei casi tali infezioni non erano neppure state notate dai responsabili dei sistemi informativi. Il problema non è quindi la minaccia ransomware ma la gestione corretta dei file e delle informazioni per scongiurare problemi di varia natura.
Inutile mentire, infine, sullo stato culturale della medicina digitale in Italia: secondo un articolo pubblicato sull’ANSA il giorno 11 maggio 2024:
Il fascicolo sanitario elettronico è aggiornato appena una volta su cinque (…) Solo 20%medici famiglia aggiorna fascicolo sanitario elettronico (…) servono piattaforme informatiche comuni tra ospedale e strutture del territorio, perché anche qualora i medici schierati in queste ultime aggiornassero il fascicolo sanitario elettronico, oggi in molti casi i sistemi informatici delle varie strutture sanitarie, anche di una stessa regione, non comunicano tra loro.
Fonte: ANSA “Ogni anno 2 milioni di ricoveri impropri e uno spreco di 6 miliardi”, Link
Insomma, non c’è cultura e quindi non c’è un’adeguata risposta tecnologica: d’altronde non può essere diversamente. Se alla tecnologia non viene detto “cosa” fare e “come” farlo, essa sarà parzialmente o del tutto inutile.
