I siti web in ambito sanitario

Solo nel 2018 gli attacchi hacker compiuti in Italia da gruppi esclusivamente italiani sono stati novantanove. Il 100% di questi attacchi è stato rivolto a siti web di varia natura: aziende private, pubbliche amministrazioni centrali e periferiche. Novantanove attacchi perfettamente riusciti grazie, essenzialmente, ad una scarsa capacità di stimare i rischi e tarare il giusto livello di sicurezza informatica.

Tra i soggetti attaccati c’è anche il Ministero della Salute attaccato ripetutamente e, in un certo senso, indirettamente. Potremmo citare l’attacco del 14 luglio 2018 all’Ospedale Sant’Andrea di Roma, o la sequenza di attacchi avvenuta alla Vigilia di Natale. Il 24 dicembre 2018 Anonymous Italia dichiara di aver effettuato una serie di accessi illeciti ai danni di varie ASL, ospedali e associazioni del settore. Fu una vera mattanza, con enormi preoccupazioni verso la sicurezza dei pazienti e delle banche dati deputate a tenere in memoria le informazioni sanitarie.

Gli attacchi dal 2018 non si sono fermati, anzi in un certo senso sono aumentati perché gli hacker hanno capito molto bene che vi è un problema molto serio nella progettazione della sicurezza informatica dei portali web: spesso viene trascurata a favore di uno sviluppo più economico e rapido. Bisogna quindi chiarire alcuni aspetti essenziali per comprendere a pieno l’importanza della sicurezza nei portali web, soprattutto in quelli di ambito sanitario.

Ormai è noto che l’Europa ha creato e messo in azione il GDPR, ossia il Regolamento Generale sulla Protezione dei Dati Personali; questo documento sancisce le modalità con cui i dati degli individui (e quindi anche dei pazienti) devono essere trattati all’interno dei vari contesti operativi e dei sistemi informativi che li ospitano. Si tratta di una svolta normativa importante, atta ad evitare l’utilizzo non corretto, per non dire non lecito, delle informazioni senza il consenso dell’interessato. Ma non è solo questa la novità: il vero punto di svolta sono le sanzioni che il Garante della Privacy può emettere a seconda della gravità delle violazioni compiute dal responsabile e dal titolare del trattamento. I primi provvedimenti sono già iniziati e quindi molte aziende stanno cercando di correre ai ripari attraverso delle azioni di adeguamento al GDPR atte a valutare il rischio di perdita di dati e attuare le eventuali contromisure.

Uno dei principali punti critici sono, per l’appunto, i portali web delle aziende. Spesso questi siti fanno parte di un sistema informatico nel quale esistono banche dati contenenti dati personali. È bene tenere presente che ogni portale web è composto, sommariamente, da due elementi portanti: la struttura e i dati. La struttura è composta da tutti quei file che concorrono alla corretta visualizzazione del sito web: parliamo di colori, informazioni sulla larghezza delle colonne che ospitano i contenuti, le immagini dei loghi. I dati sono contenuti da un’altra parte: all’interno di uno specifico database e all’interno di essi si trovano tutte le informazioni che appaiono a video e quindi, in caso, anche i dati personali dei pazienti.

Se il portale è debole nella struttura o nei database che contengono i dati, l’hacker può entrare più o meno agevolmente ed effettuare delle operazioni: il fenomeno prende il nome di data-breach, ossia di falla nei dati o, meglio ancora, breccia nei dati. Per molti la data-breach è finalizzata alla sottrazione del dato perché, una volta aperta la falla, l’hacker può tranquillamente portarsi a casa tutto l’archivio. Questo modo di pensare, tuttavia, è sbagliato perché, una volta aperta la breccia, si può fare molto di peggio della mera sottrazione di un dato: si può alterare lo stesso e portarlo ad un valore tale da creare problemi ad un paziente.

Uno degli aspetti più sorprendenti dei data-breach avvenuti in tutto il 2018 è stata la lentezza con la quale i proprietari del sito web si accorgevano della minaccia: ci sono stati casi in cui il ritardo salito fino a 3-4 giorni lavorativi. Si è poi scoperto che non vi era un controllo automatizzato sulle banche dati oggetto di attacco e questo impediva sia di identificare tempestivamente la violazione, sia di effettuare operazioni di ripristino mirate. In tal senso il GDPR ha stravolto letteralmente lo scenario: nella sezione 2, art. 32 comma 1 punto “c”, si apprende che tra le norme di “sicurezza del trattamento” rientra anche “la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico”.

I tecnici chiamano questa capacità disaster recoveryed essa è assoggettata ad una serie di indicatori che spesso rientrano nei contratti di fornitura dei servizi ICT. Il punto è che, pur pagando questi servizi, spesso non vi è un controllo da parte del committente, che quindi non si può rivalere sul fornitore del servizio web applicando le giuste penali. La cosa però più grave è che spesso l’aggiornamento dei portali web non ha costo: i principali software utilizzati per la creazione di portali web sono completamente gratuiti e l’applicazione degli aggiornamenti non dovrebbe quindi rappresentare un costo elevato per il committente. Eppure, pur non avendo costi, la principale causa di data-breach è rappresentata dalla carenza negli aggiornamenti dei portali web.

Nell’attacco all’ospedale San Giovanni di Roma, tra le tabelle trafugate, ve ne era una denominata “TR_UT_BANCAOCCHI”. Il contenuto di questa tabella non è stato rivelato ma dal titolo sembrerebbe contenere i dati di una banca occhi, incaricata del prelievo di cornea e altri tessuti dopo i decessi. Nel data-breach del portale dell’ASL di Caserta (il 24/12/2018) sono stati raggiunti 33 databases tra cui “Anagrafe assistiti” e “RicoveriSert” ossia i ricoveri per i pazienti che usufruiscono dei Servizi per le Tossicodipendenze. L’alterazione di eventuali dati all’interno dei database, per un hacker, è un’operazione tanto facile quanto l’estrazione dell’intero database, anzi forse anche più rapida ed il cambio di un “banale parametro” può comportare conseguenze molto rilevanti.

Spesso si sente dire che il portale web di un’azienda, di una ASL, di un ospedale, potrebbe non avere una connessione diretta con il database contenente i dati dei pazienti. Questo non è sempre vero, anzi il più delle volte vi è una commistione di dati e informazioni molto grave, che necessita un successivo intervento di razionalizzazione e “sanitizzazione” della banca-dati. Un esempio tra tutti è quello dell’Azienda Socio Sanitaria Territoriale Lariana, anch’essa colpita il 24 dicembre 2018. Nel database trafugato compaiono tabelle che si lasciano intendere come molto eterogenee tra loro; all’interno dello stesso database coesistevano le tabelle dell’ufficio stampa (ad es.: “uffstampa_sito”) e quelle più strettamente legate alle attività di Pronto Soccorso (ad es.: “sanps_ps_paz_in_visita” oppure “sanps_ps_paz_visitati”).

Ecco quindi che il mancato aggiornamento del portale web, operazione il più delle volte automatica e gratuita, può trasformarsi in un vero problema per la struttura sanitaria, costretta a dover dare comunicazione al Garante della Privacy entro 72 ore (art. 33 del GDPR) e ad affrontare tutte le procedure di correzioni e le eventuali sanzioni economiche e conseguenze legali che ne possono seguire. La speranza è che, soprattutto in ambito sanitario, si prenda coscienza di questo rischio e si attuino in anticipo (vale a dire durante la fase di progettazione del portale web) tutte le attività di prevenzione necessarie anche con l’intervento di consulenti specializzati. Allo stesso modo si auspica che chiunque fosse in una situazione non conforme alla normativa vigente, possa celermente avviare le procedure necessarie per segmentare i dati e renderli sicuri come previsto dalla normativa. Di sicuro ciò che si è imparato, per alcuni amaramente, è che le sanzioni hanno effetti sicuramente ben più difficili da affrontare, rispetto le attività di prevenzione.

Bibliografia:

Calendario dei cyber-attacchi: https://www.edoardolimone.com/calendario-attacchi/

Data breach Ospedale Sant’Andrea: https://anon-italy.blogspot.com/2018/07/privacy-allo-sbando.html#more

Data breach del 24 dicembre 2018: https://anon-italy.blogspot.com/2018/12/salute-e-privacy-sotto-lalbero.html

 Testo del GDPR: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679&from=IT#d1e40-1-1