Solo nel 2018 gli attacchi hacker compiuti in Italia da gruppi esclusivamente italiani sono stati 112: tra questi, molti hanno preso di mira i siti web in ambito sanitario. Tra gli obiettivi colpiti, infatti, c’è anche il Ministero della Salute attaccato ripetutamente e, in un certo senso, indirettamente.
Potremmo citare l’attacco del 14 luglio 2018 all’Ospedale Sant’Andrea di Roma o la sequenza di attacchi avvenuta alla Vigilia di Natale: il 24 dicembre 2018 Anonymous Italia dichiara di aver effettuato una serie di accessi illeciti ai danni di varie ASL, ospedali e associazioni del settore. Fu una vera mattanza, con enormi preoccupazioni verso la sicurezza dei pazienti e delle banche dati deputate a tenere in memoria le informazioni sanitarie.
Oltre a questi indicati, gli obiettivi degli attacchi informatici sono stati siti web di varia natura: aziende private, pubbliche amministrazioni centrali e periferiche. Centododici attacchi perfettamente riusciti grazie, essenzialmente, ad una scarsa capacità di stimare i rischi e tarare il giusto livello di sicurezza informatica.
Gli attacchi dal 2018 non si sono fermati, anzi in un certo senso sono aumentati perché gli hacker hanno capito bene che vi è un problema molto serio nella progettazione della sicurezza informatica dei portali web: spesso viene trascurata a favore di uno sviluppo e gestione più economici e rapidi.
Bisogna quindi chiarire alcuni aspetti essenziali per comprendere a pieno l’importanza della sicurezza nei portali web, soprattutto in quelli di ambito sanitario.
Indice degli argomenti
La sicurezza dei siti web post GDPR
Ormai è noto che l’Europa ha creato e messo in azione il GDPR, ossia il Regolamento Generale sulla Protezione dei Dati Personali; questo documento sancisce le modalità con cui i dati degli individui (e quindi anche dei pazienti) devono essere trattati all’interno dei vari contesti operativi e dei sistemi informativi che li ospitano.
Si tratta di una svolta normativa importante, atta ad evitare l’utilizzo non corretto, per non dire non lecito, delle informazioni senza il consenso dell’interessato.
Ma non è solo questa la novità: il vero punto di svolta sono le sanzioni che il Garante della Privacy può emettere a seconda della gravità delle violazioni compiute dal responsabile e dal titolare del trattamento. I primi provvedimenti sono già iniziati a fioccare e quindi molte aziende stanno cercando di correre ai ripari attraverso delle azioni di adeguamento al GDPR atte a valutare il rischio di perdita di dati e attuare le eventuali contromisure.
Siti web in ambito sanitario: lo scenario
Uno dei principali punti critici riguarda, per l’appunto, i portali web. Spesso questi siti fanno parte di un sistema informatico nel quale esistono banche dati contenenti informazioni personali. È bene tenere presente che ogni portale web è composto, sommariamente, da due elementi portanti: la struttura e i dati.
La struttura è composta da tutti quei file che concorrono alla corretta visualizzazione del sito web: parliamo di colori, informazioni sulla larghezza delle colonne che ospitano i contenuti, le immagini dei loghi. I dati sono contenuti da un’altra parte: all’interno di uno specifico database e all’interno di questo si trovano tutte le informazioni che appaiono a video e quindi, in caso, anche i dati personali dei pazienti.
Se il portale è debole nella struttura, ad esempio, l’hacker può entrare più o meno agevolmente ed effettuare delle operazioni: il fenomeno prende il nome di data breach, ossia di falla nei dati o, meglio ancora, breccia nei dati.
Per molti il data breach è finalizzato alla sottrazione del dato perché, una volta aperta la falla, l’hacker può tranquillamente portarsi a casa tutto l’archivio. Questo modo di pensare, tuttavia, è sbagliato perché, una volta aperta la breccia, si può fare molto di peggio della mera sottrazione di un dato: si può alterare lo stesso e portarlo ad un valore tale da creare problemi ad un paziente.
Uno degli aspetti più sorprendenti dei data breach avvenuti in tutto il 2018 è stata la lentezza con la quale i proprietari dei portali web si accorgevano della minaccia: ci sono stati casi in cui il ritardo è arrivato a 3-4 giorni lavorativi.
Si è poi scoperto che non vi era un controllo automatizzato sulle banche dati oggetto di attacco e questo impediva sia di identificare tempestivamente la violazione, sia di effettuare operazioni di ripristino mirate.
Siti web in ambito sanitario: regole per metterli in sicurezza
In tal senso il GDPR ha stravolto letteralmente lo scenario: nella sezione 2, art. 32 comma 1 punto “c”, si apprende che tra le norme di “sicurezza del trattamento” rientra anche “la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico”.
I tecnici chiamano questa capacità disaster recovery ed essa è assoggettata ad una serie di indicatori che spesso rientrano nei contratti di fornitura dei servizi ICT.
Il punto è che, pur pagando questi servizi, spesso non vi è un controllo da parte del committente, che quindi non si può rivalere sul fornitore del servizio web applicando le giuste penali.
La cosa però più grave è che spesso l’aggiornamento dei portali web non ha costo: i principali software utilizzati per la creazione di portali web (ad esempio: Joomla, Drupal, WordPress, LifeRay CE) sono completamente gratuiti e l’applicazione degli aggiornamenti non dovrebbe quindi rappresentare un pensiero gravoso per il committente.
Eppure, pur non avendo costi, la principale causa di data breach è rappresentata dalla carenza negli aggiornamenti dei portali web, unita all’adozione di password troppo semplici che a volte sfiorano il ridicolo.
Nell’attacco all’ospedale San Giovanni di Roma (il 24/12/2018), tra le tabelle trafugate, ve ne era una denominata “TR_UT_BANCAOCCHI”. Il contenuto di questa tabella non è stato rivelato ma dal titolo sembrerebbe contenere i dati di una banca occhi, incaricata del prelievo di cornea e altri tessuti dopo i decessi.
Nel data breach del portale dell’ASL di Caserta (sempre il 24/12/2018) sono stati raggiunti 33 database tra cui “Anagrafe assistiti” e “RicoveriSert”, ossia i ricoveri per i pazienti che usufruiscono dei servizi per le tossicodipendenze.
L’alterazione di eventuali dati all’interno dei database, per un hacker, è un’operazione tanto facile quanto l’estrazione dell’intero database, anzi forse anche più rapida ed il cambio di un “banale parametro” può comportare conseguenze molto rilevanti per il paziente.
Spesso si sente dire che il portale web di un’azienda, di una ASL, di un ospedale, potrebbe non avere una connessione diretta con il database contenente i dati dei pazienti. Questo non è sempre vero, anzi il più delle volte vi è una commistione di dati e informazioni molto grave, che necessita un successivo intervento di razionalizzazione e “sanitizzazione” della banca-dati.
Un esempio tra tutti è quello dell’Azienda Socio-Sanitaria Territoriale Lariana, anch’essa colpita il 24 dicembre 2018. Nel database trafugato compaiono tabelle che si lasciano intendere come molto eterogenee tra loro; all’interno dello stesso database coesistevano le tabelle dell’ufficio stampa (ad esempio: “uffstampa_sito”) e quelle più strettamente legate alle attività di Pronto Soccorso (ad esempio: “sanps_ps_paz_in_visita” oppure “sanps_ps_paz_visitati”).
Ecco quindi che il mancato aggiornamento del portale web, operazione il più delle volte automatica e gratuita, può trasformarsi in un vero problema per la struttura sanitaria, costretta a dover dare comunicazione al Garante della Privacy entro 72 ore (art. 33 del GDPR) e ad affrontare tutte le procedure di correzione e le eventuali sanzioni economiche e conseguenze legali che ne possono seguire.
Conclusioni
La speranza è che, soprattutto in ambito sanitario, si prenda coscienza di questo rischio e si attuino in anticipo (vale a dire durante la fase di progettazione del portale web) tutte le attività di prevenzione necessarie anche con l’intervento di consulenti specializzati.
Allo stesso modo si auspica che chiunque fosse in una situazione non conforme alla normativa vigente, possa celermente avviare le procedure necessarie per segmentare i dati e renderli sicuri come previsto dalla normativa.
Di sicuro ciò che si è imparato, per alcuni amaramente, è che le sanzioni hanno effetti sicuramente ben più difficili da affrontare, rispetto le attività di prevenzione.
Bibliografia
Calendario dei cyber-attacchi.
Data breach Ospedale Sant’Andrea.
Data breach del 24 dicembre 2018.
