StRaM
20-02-14, 12:05
Interessante articolo da Wired.
Pubblica Amministrazione, la crittografia non è (ancora) obbligatoria
Anonymous buca dei siti legati alla sanità e ci trova dati sensibili facilmente leggibili. Ma come dovrebbero essere custodite queste informazioni?
Nel corso degli attacchi informatici condotti a sostegno della manifestazione antiproibizionista svoltasi a Roma lo scorso sabato contro la legge Fini-Giovanardi e la repressione del consumo di droga, alcuni membri di Anonymous Italy si sono imbattuti in qualcosa che neppure si aspettavano. Dei referti di test dell’HIV con nomi leggibili e valutazioni di medici dei Sert su alcuni minori seguiti, oltre a una quantità di mail private e informazioni su dipendenti delle strutture sanitarie e utenti: dati ricavati violando i siti Droganograzie.it, Dronet.org, e il Ministero della Salute, scaricando i loro database e accedendo a mail personali di impiegati, tra cui lo stesso Giovanni Serpelloni, capo del Dipartimento Politiche Antidroga della Presidenza del Consiglio – che si è ritrovato suo malgrado, dal proprio account di posta, a ordinare bong e bandiere di Bob Marley da negozi online e ad aderire a sua insaputa alla campagna antiproibizionista.
Una volta valutati alcuni di quei materiali sensibili, i partecipanti al raid informatico hanno evitato di metterli online, come invece hanno fatto con buona parte delle informazioni raggiunte, o lo hanno fatto oscurando i nomi. In passato è capitato spesso agli “anonimi” italiani di accedere con un’azione di hacking a dati sensibili – a partire da mail private e informazioni sui conti correnti – ma mai referti di quel tipo, hanno riferito a Wired i protagonisti dell’attacco. “Alla fine abbiamo deciso di pubblicare alcune tabelle del Sert nascondendo i nomi, proprio per mostrare lo scarso livello di sicurezza”, ha commentato uno di loro.
Al di là dell’azione multipla di sabato – deface, sottrazione di dati, violazione di account mail, DDoS che hanno avuto uno strascico fino a ieri, con il Ministero della Salute rimasto offline per molte ore – rimane un grosso interrogativo su come sono gestiti e conservati dati estremamente sensibili da parte della pubblica amministrazione. Per semplificare il concetto: ma un referto medico ha l’obbligo di essere criptato? I nomi di pazienti dovrebbero essere oscurati in qualche modo? Di fronte al caso di violazioni informatiche di un server – ma anche alla diffusione involontaria di dati per negligenze o errori – esiste un qualche guscio protettivo che difenda quel tipo di informazioni più personali e delicate di una persona, ovvero quelle relative alla sua salute?
Il fatto è che la crittografia, ad esempio, non è un obbligo. Uno penserebbe che un referto sensibile debba sempre essere criptato, ma non è così. “Non c’è alcuna prescrizione di legge che imponga di usare la crittografia sui dati sensibili a riposo (at rest, come si dice in gergo, cioè quelli che stanno conservati da qualche parte e non sono in transito). Il legislatore ha imposto dei generici oneri di tutela e di sorveglianza dei dati al titolare del trattamento”, spiega a Wired Andrea Zapparoli Manzoni, esperto di cybersicurezza e membro di CLUSIT, l’Associazione italiana per la sicurezza informatica. In realtà il Codice della Privacy prevede delle misure minime di sicurezza per proteggere la sicurezza dei dati personali – specie di quelli sensibili come le informazioni sulla salute – nonché delle altre misure chiamate idonee. “Quest’ultime – a mio avviso giustamente – non sono preventivamente elencate dal legislatore, ma sono lasciate alla prudenza e alla sensibilità del soggetto che svolge il trattamento dei dati sensibili”, commenta a Wired Stefano Mele, avvocato specializzato in Diritto delle Tecnologie, Privacy e Sicurezza delle informazioni.
Il punto però è che, stante la cultura informatica del Paese e le magre risorse a disposizione, questa saggia discrezionalità si traduce il più delle volte in un basso livello di sicurezza. “La responsabilità sulle decisioni delle misure di sicurezza idonee a proteggere il trattamento dei dati sensibili è lasciata in capo a chi materialmente svolge il trattamento dei dati, che dovrà considerare il numero e la natura dei dati [sensibili] trattati nel decidere se applicare tecniche di cifratura, codici identificativi o ulteriori soluzioni di sicurezza”, prosegue Mele. Il problema è quindi soprattutto “nell’assoluta mancanza di cultura della sicurezza informatica e delle informazioni. Pratica vista costantemente come un costo puro e mai come un vero e proprio investimento”. Almeno finché, aggiunge Mele, il Garante per la protezione dei dati non interviene con pesanti sanzioni pecuniarie, oppure finché non accade qualcosa di più eclatante, come la sottrazione e pubblicazione di dati su internet.
Tra l’altro l’informatizzazione delle strutture sanitarie, se non condotta in modo adeguato, sta sollevando una serie di nuove questioni. Un esempio: i referti online.
“Prendiamo il servizio di referti online dell’ospedale Valduce di Como”, commenta a Wired lo sviluppatore web Marco Pagliarulo. “Pur essendo molto comodo, i referti sono in PDF, protetti solo da una username ed una password; e la username è il codice fiscale. Potenzialmente potrebbe non essere difficile accedere senza autorizzazione ai referti medici dei cittadini”. Sui referti online c’è un interessante studiocondotto dall’esperto di sicurezza informatica Gabriele Zanoni. Zanoni ha esaminato una serie di sistemi di referti online in Italia traendone alcune conclusioni allarmanti: tra gli elementi critici che segnala ci sono infatti l’utilizzo di canali di trasmissione insicuri, la presenza di pannelli di amministrazione “esposti” su Internet o senza password, un certo grado di “fantasia” nei sistemi di autenticazione (e appunto l’uso del codice fiscale come username).
“Non siamo più nel Duemila. Il mondo è talmente cambiato che bisognerebbe ripensare le norme. Il problema rispetto alla privacy è che tutti stanno aspettando il nuovo regolamento europeo in materia, e sono tutti bloccati. Inoltre la crisi erode le risorse a disposizione per la protezione dei dati“, commenta Zapparoli. L’impressione è che la questione della sicurezza dei dati dei cittadini conservati dalla pubblica amministrazione sia una specie di bomba a orologeria. Mentre politici italiani con dubbia cultura digitale si avvitano a parlare di hate speech e leggi per il web, in genere solo dopo essere stati colpiti in prima persona – il più delle volte poi perché la password era troppo debole e riutilizzata su più profili - milioni di persone rischiano di avere informazioni preziose che le riguardano alla mercé di errori, sviste, e violazioni malevole di criminali informatici che fanno molto meno rumore di Anonymous e che agiscono nel silenzio.
http://www.wired.it/internet/regole/2014/02/11/hacker-contro-politici-meglio-pensare-ai-dati-dei-cittadini/
Pubblica Amministrazione, la crittografia non è (ancora) obbligatoria
Anonymous buca dei siti legati alla sanità e ci trova dati sensibili facilmente leggibili. Ma come dovrebbero essere custodite queste informazioni?
Nel corso degli attacchi informatici condotti a sostegno della manifestazione antiproibizionista svoltasi a Roma lo scorso sabato contro la legge Fini-Giovanardi e la repressione del consumo di droga, alcuni membri di Anonymous Italy si sono imbattuti in qualcosa che neppure si aspettavano. Dei referti di test dell’HIV con nomi leggibili e valutazioni di medici dei Sert su alcuni minori seguiti, oltre a una quantità di mail private e informazioni su dipendenti delle strutture sanitarie e utenti: dati ricavati violando i siti Droganograzie.it, Dronet.org, e il Ministero della Salute, scaricando i loro database e accedendo a mail personali di impiegati, tra cui lo stesso Giovanni Serpelloni, capo del Dipartimento Politiche Antidroga della Presidenza del Consiglio – che si è ritrovato suo malgrado, dal proprio account di posta, a ordinare bong e bandiere di Bob Marley da negozi online e ad aderire a sua insaputa alla campagna antiproibizionista.
Una volta valutati alcuni di quei materiali sensibili, i partecipanti al raid informatico hanno evitato di metterli online, come invece hanno fatto con buona parte delle informazioni raggiunte, o lo hanno fatto oscurando i nomi. In passato è capitato spesso agli “anonimi” italiani di accedere con un’azione di hacking a dati sensibili – a partire da mail private e informazioni sui conti correnti – ma mai referti di quel tipo, hanno riferito a Wired i protagonisti dell’attacco. “Alla fine abbiamo deciso di pubblicare alcune tabelle del Sert nascondendo i nomi, proprio per mostrare lo scarso livello di sicurezza”, ha commentato uno di loro.
Al di là dell’azione multipla di sabato – deface, sottrazione di dati, violazione di account mail, DDoS che hanno avuto uno strascico fino a ieri, con il Ministero della Salute rimasto offline per molte ore – rimane un grosso interrogativo su come sono gestiti e conservati dati estremamente sensibili da parte della pubblica amministrazione. Per semplificare il concetto: ma un referto medico ha l’obbligo di essere criptato? I nomi di pazienti dovrebbero essere oscurati in qualche modo? Di fronte al caso di violazioni informatiche di un server – ma anche alla diffusione involontaria di dati per negligenze o errori – esiste un qualche guscio protettivo che difenda quel tipo di informazioni più personali e delicate di una persona, ovvero quelle relative alla sua salute?
Il fatto è che la crittografia, ad esempio, non è un obbligo. Uno penserebbe che un referto sensibile debba sempre essere criptato, ma non è così. “Non c’è alcuna prescrizione di legge che imponga di usare la crittografia sui dati sensibili a riposo (at rest, come si dice in gergo, cioè quelli che stanno conservati da qualche parte e non sono in transito). Il legislatore ha imposto dei generici oneri di tutela e di sorveglianza dei dati al titolare del trattamento”, spiega a Wired Andrea Zapparoli Manzoni, esperto di cybersicurezza e membro di CLUSIT, l’Associazione italiana per la sicurezza informatica. In realtà il Codice della Privacy prevede delle misure minime di sicurezza per proteggere la sicurezza dei dati personali – specie di quelli sensibili come le informazioni sulla salute – nonché delle altre misure chiamate idonee. “Quest’ultime – a mio avviso giustamente – non sono preventivamente elencate dal legislatore, ma sono lasciate alla prudenza e alla sensibilità del soggetto che svolge il trattamento dei dati sensibili”, commenta a Wired Stefano Mele, avvocato specializzato in Diritto delle Tecnologie, Privacy e Sicurezza delle informazioni.
Il punto però è che, stante la cultura informatica del Paese e le magre risorse a disposizione, questa saggia discrezionalità si traduce il più delle volte in un basso livello di sicurezza. “La responsabilità sulle decisioni delle misure di sicurezza idonee a proteggere il trattamento dei dati sensibili è lasciata in capo a chi materialmente svolge il trattamento dei dati, che dovrà considerare il numero e la natura dei dati [sensibili] trattati nel decidere se applicare tecniche di cifratura, codici identificativi o ulteriori soluzioni di sicurezza”, prosegue Mele. Il problema è quindi soprattutto “nell’assoluta mancanza di cultura della sicurezza informatica e delle informazioni. Pratica vista costantemente come un costo puro e mai come un vero e proprio investimento”. Almeno finché, aggiunge Mele, il Garante per la protezione dei dati non interviene con pesanti sanzioni pecuniarie, oppure finché non accade qualcosa di più eclatante, come la sottrazione e pubblicazione di dati su internet.
Tra l’altro l’informatizzazione delle strutture sanitarie, se non condotta in modo adeguato, sta sollevando una serie di nuove questioni. Un esempio: i referti online.
“Prendiamo il servizio di referti online dell’ospedale Valduce di Como”, commenta a Wired lo sviluppatore web Marco Pagliarulo. “Pur essendo molto comodo, i referti sono in PDF, protetti solo da una username ed una password; e la username è il codice fiscale. Potenzialmente potrebbe non essere difficile accedere senza autorizzazione ai referti medici dei cittadini”. Sui referti online c’è un interessante studiocondotto dall’esperto di sicurezza informatica Gabriele Zanoni. Zanoni ha esaminato una serie di sistemi di referti online in Italia traendone alcune conclusioni allarmanti: tra gli elementi critici che segnala ci sono infatti l’utilizzo di canali di trasmissione insicuri, la presenza di pannelli di amministrazione “esposti” su Internet o senza password, un certo grado di “fantasia” nei sistemi di autenticazione (e appunto l’uso del codice fiscale come username).
“Non siamo più nel Duemila. Il mondo è talmente cambiato che bisognerebbe ripensare le norme. Il problema rispetto alla privacy è che tutti stanno aspettando il nuovo regolamento europeo in materia, e sono tutti bloccati. Inoltre la crisi erode le risorse a disposizione per la protezione dei dati“, commenta Zapparoli. L’impressione è che la questione della sicurezza dei dati dei cittadini conservati dalla pubblica amministrazione sia una specie di bomba a orologeria. Mentre politici italiani con dubbia cultura digitale si avvitano a parlare di hate speech e leggi per il web, in genere solo dopo essere stati colpiti in prima persona – il più delle volte poi perché la password era troppo debole e riutilizzata su più profili - milioni di persone rischiano di avere informazioni preziose che le riguardano alla mercé di errori, sviste, e violazioni malevole di criminali informatici che fanno molto meno rumore di Anonymous e che agiscono nel silenzio.
http://www.wired.it/internet/regole/2014/02/11/hacker-contro-politici-meglio-pensare-ai-dati-dei-cittadini/