Quante ASL possono essere bucate?

di G. Battista Gallus - Le modalità con cui aggressori malevoli avrebbero potuto inserirsi nella rete informatica di una Unità Sanitaria Locale in Sardegna preoccupano gli esperti. Quante sono le ASL e i servizi a rischio?

Roma – La stampa sarda (ma la notizia è stata subito ripresa in Rete) ha dato molto rilievo al fatto che sia stata denunziata una (presunta) pericolosa vulnerabilità della rete wireless di una Unità Sanitaria Locale. La denuncia è stata fatta oggetto di un’interrogazione al Consiglio Regionale Sardo, reperibile sul
sito del promotore .

Stando a quanto si legge su Informatica-oggi : “Con l’aiuto di esperto d’informatica, sono penetrati, tramite un punto d’accesso wireless a Cagliari, nella rete dell’Asl, riuscendo ad accedere a dati su dimissioni e ricoveri delle case di cura con nomi e cognomi dei pazienti, schede personali con le patologie, esenzioni ticket per patologie degli abitanti di un comune del Sulcis, comunicazioni interne dei medici”. Il quotidiano La Sardegna del primo marzo è ancora più esplicito: “Cartelle cliniche e dati sensibili di numerosi pazienti possono essere visionati e scaricati senza grandi difficoltà. Se si ha dimestichezza con la rete wireless (connessione senza fili) basta appostarsi sotto la finestra di alcuni uffici dell’azienda sanitaria con un pc o un telefono cellulare wi-fi e in meno di dieci minuti, con un semplice programma (crack) di ricerca wi-fi, il gioco è fatto”. L’articolo riporta anche che “i consiglieri, dopo le segnalazioni di alcuni minorenni che hanno ammesso di aver scaricato documenti sanitari dell’ASL 8 tramite connessione wi-fi, hanno ingaggiato un esperto di informatica per verificare”.

La risposta della ASL locale non si è fatta attendere: sempre Informatica-oggi riporta che “L’Asl ipotizza che l’accesso denunciato abbia riguardato un pc inserito in una rete locale, nel quale peraltro erano presenti file riguardanti dati sensibili di pazienti: l’azione del tutto volontaria e niente affatto casuale è molto grave . Perciò l’Azienda ha segnalato l’episodio all’autorità giudiziaria.” Da parte dell’Azienda Sanitaria si precisa anche che in ogni caso l’accesso sarebbe protetto da password.

La notizia fornisce lo spunto per alcune considerazioni, sia in tema di accesso abusivo a sistema informatico, sia con riguardo all’adozione delle misure di sicurezza in ambito sanitario, ai sensi del Codice della Privacy.
Basandosi su quanto riportato, sembrerebbe che si sia proceduto a forzare la chiave WEP di cifratura, e si sia poi potuto accedere liberamente ai dati contenuti nei sistemi della ASL.

Si può supporre che fosse stata implementata una cifratura con chiave WEP, in quanto tutte le fonti riferiscono che la stessa sia stata “craccata” in pochi minuti. D’altronde, si tratta di una vulnerabilità oramai assodata, ed una banalissima ricerca in Rete fornisce tutti i tools per superare questa chiave di cifratura.
La facilità con cui la cifratura è stata superata, e l’altrettanto (apparente) facilità con cui si è potuto accedere ai dati contenuti nella rete locale (stando a quanto riferito dai quotidiani), non deve peraltro trarre in inganno.

La giurisprudenza formatasi in tema di accesso abusivo a sistema informatico (art. 615 ter cod. pen.), ritiene infatti che la configurabilità di tale reato richieda appunto che il sistema sia “protetto da misure di sicurezza” e che l’agente, per accedervi, abbia in qualche modo neutralizzato tali misure.

Ora, nel caso di specie, il sistema sembrerebbe effettivamente protetto da una misura di sicurezza (stando a quanto riportato dalla stampa), ancorché facilmente rimovibile e sicuramente inappropriata, vista la natura dei dati trattati.
Il fatto che la misura sia inidonea o insufficiente (si pensi ad esempio anche ad un filtraggio degli accessi a livello di MAC address) non può comunque ritenersi equivalente all’ipotesi in cui le misure siano totalmente assenti (nel qual caso, come più volte ribadito dalla Suprema Corte, il reato non sussisterebbe – vd ad esempio Corte di Cassazione, Sez. VI, 27 ottobre 2004, n. 46509, su Penale.it ).
In sintesi, anche una protezione inefficace e antiquata, costituisce comunque una “misura di sicurezza”.

Occorre però svolgere alcune riflessioni in tema di trattamento di dati personali, sotto il profilo delle misure di sicurezza, e non solo delle misure minime, previste dall’All. B. del D.lgs 196/03, ma anche delle misure “idonee” di cui all’art. 31 del Codice della Privacy.

L’all. B del Codice, difatti, impone l’adozione di una serie di misure di sicurezza, che rappresentano lo standard minimale ed imprescindibile per ogni sistema che tratti dati personali, e la cui mancata adozione è sanzionata da precetto penale.

Tra queste misure minime, oltre a quelle comuni (adozione di credenziali di autenticazione, antivirus, firewall, etc.) ve ne sono alcune che devono essere implementate in caso di trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
In particolare, occorre adottare tecniche di cifratura o codici identificativi, anche al fine di consentire il trattamento disgiunto di tali dati dagli altri dati personali che permettono di identificare direttamente gli interessati.

Ma, aldilà delle misure minime, condizione per la liceità dei trattamenti è che vengano rispettati gli obblighi di sicurezza di cui all’art. 31 del Codice, e che pertanto i dati personali siano custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

E, prendendo spunto dal “caso” così come descritto dai media, sembra difficile sostenere che l’adozione di una cifratura WEP per proteggere i dati di una ASL sia da ritenersi misura “idonea”, proprio perché è oramai un dato assodato che si tratti di una tecnica di cifratura assolutamente insufficiente e superata, da evitare anche in ambito casalingo, e assolutamente inaccettabile in una struttura sanitaria.

In conclusione, ed aldilà delle (facili) polemiche, la notizia potrebbe servire come spunto per iniziare una verifica seria e capillare circa l’effettiva adozione delle misure di sicurezza (non solo informatiche) nella sanità e, più in generale, nell’ambito della Pubblica Amministrazione.

Avv. Giovanni Battista Gallus
www.giuristitelematici.it

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • lroby scrive:
    + os contemporaneamente
    scusate la domanda ma devo farla per forza.i processori di ultima e ultimissima generazione non hanno integrato al loro interno la capacità di virtualizzare?ma devo aver compreso male degli articoli letti in passato,in quanto capii (a questo punto IMHO erroneamente) che i futuri PC sarebbero stati in grado di poter aprire e gestire almeno 2 os contemporanei in modo nativo (quindi senza software VMWARE o simile installato) e non nella solita conosciuta modalità HOST / GUESTchi mi sà dare maggiori info in merito??grazieLROBY
    • .... scrive:
      Re: + os contemporaneamente
      Non so dirti,ci sono due novità in vista:1)windows 2008 server con la sua modalità che ora non ricordo come si chiami che ti permette di avere un kernel ridotto e sopra di quello virtualizzare più os2)schede madri con bios+flash in cui ci sia un kernel (linux?) leggero con vmware che provveda a lanciare i vari os in virtualenon conosco altre soluzioni un pizzico più innovative di quanto tu abbia già citato... magari tra un po' arriveranno!!senti nei giorni scordi parlavi di una migrazione di una rete a linux e di un software da ".mdb" a qualcos'altro...per curiosità posso chiederti quanto hai fatto pagare tali migrazioni??grazieDavide- Scritto da: lroby
      scusate la domanda ma devo farla per forza.

      i processori di ultima e ultimissima generazione
      non hanno integrato al loro interno la capacità
      di
      virtualizzare?
      ma devo aver compreso male degli articoli letti
      in passato,in quanto capii (a questo punto IMHO
      erroneamente) che i futuri PC sarebbero stati in
      grado di poter aprire e gestire almeno 2 os
      contemporanei in modo nativo (quindi senza
      software VMWARE o simile installato) e non nella
      solita conosciuta modalità HOST /
      GUEST
      chi mi sà dare maggiori info in merito??

      grazie
      LROBY
      • lroby scrive:
        Re: + os contemporaneamente
        - Scritto da: ....
        senti nei giorni scordi parlavi di una migrazione
        di una rete a linux e di un software da ".mdb" a
        qualcos'altro...

        per curiosità posso chiederti quanto hai fatto
        pagare tali
        migrazioni??

        grazie

        DavideEhm.. forse mi hai confuso con "iroby" ..in caso positivo,allora non basta che mi firmo pure in calce ed in maiuscolo per distinguermi da irobyehm..sempre in caso positivo, un messaggio per iroby:te l'avevo detto che avresti fatto confondere le persone con un nick simile al mio.. tristezza.LROBY
        • .... scrive:
          Re: + os contemporaneamente
          sì, scusa...- Scritto da: lroby
          - Scritto da: ....

          senti nei giorni scordi parlavi di una
          migrazione

          di una rete a linux e di un software da ".mdb" a

          qualcos'altro...



          per curiosità posso chiederti quanto hai fatto

          pagare tali

          migrazioni??



          grazie



          Davide

          Ehm.. forse mi hai confuso con "iroby" ..
          in caso positivo,allora non basta che mi firmo
          pure

          in calce ed in maiuscolo per distinguermi da iroby
          ehm..sempre in caso positivo, un messaggio per
          iroby:
          te l'avevo detto che avresti fatto confondere le
          persone con un nick simile al mio..
          tristezza.
          LROBY
          • lroby scrive:
            Re: + os contemporaneamente
            - Scritto da: ....
            sì, scusa...non ti preoccupare , non è successo nulla ;)LROBY
  • RObba scrive:
    Buone Nuove
    Apprezzando il prodotto esx dalla versione 2 non posso che essere felice di questo modo di usare i ferri...Piu condivisione e risorse per tutti...Raxar
Chiudi i commenti