Archivio della categoria: Sicurezza

Sul dare fiducia – Trusting Trust –

Ken_Thompson

Ken Thompson

In un mio articolo pubblicato sul numero 3 della rivista “Reputation Today” trattavo del dibattuto tema della catena di fiducia che si deve instaurare fra fornitore e committente al fine di garantire la sicurezza di una qualsiasi installazione informatica. Per chiarire il concetto citavo un famoso attacco informatico ideato da Kenneth Thompson, il “Trusting Trust Attack“.

Il primo a parlare di questo attacco fu lo stesso Thompson, in occasione del discorso che tenne,  nel  lontano 1983, quando ricevette il Turing Award, uno dei più ambiti premi nella comunità informatica. Da tempo girava voce che Ken, che era uno degli inventori dello Unix, uno dei più diffusi sistemi operativi per computer, potesse entrare in qualsiasi sistema a dispetto del fatto che non possedesse le credenziali di accesso. Per verificare ciò erano state messe in atto analisi anche molto approfondite, ma non si era approdati a nulla e Thompson continuava a sorridere sornione da dietro la sua barba incolta.

Quella sera, nella sala gremita di azzimati professori e di barbuti hacker con camicie a fiori alla moda californiana, Ken spiegò come attraverso un processo di apprendimento progressivo il software potesse inglobare informazioni al proprio interno annegandole in livelli più interni rispetto a quelli che una ordinaria analisi normalmente considera. Le affermazioni di Thompson svelavano, finalmente, come anni di ricerche sul codice sorgente dello Unix non avessero dato esito: semplicemente occorreva andare più a fondo. Ken stava dicendo che il software installato su di una macchina non è semplicemente l’ultimo livello di software installato, ma anche la memoria di tutto quanto si è fatto in precedenza.

Per molti anni da quel lontano ’83, l’attacco di Thompson o “Trusting Trust Attack” sarebbe rimasto senza reali ed effettive contromisure e ancora oggi rappresenta un paradigma concettuale con il quale confrontare la sensatezza dei nostri approcci alla sicurezza informatica.

Ma questi trenta e più anni di storia dell’attacco ci fanno capire che il messaggio di Thompson era forse ancora più sottile: egli ci ha infatti rivelato che il software, come la terra che calpestiamo, ricorda le nostre orme, anche se la pioggia sembra cancellarle. Ogni generazione di software porta con se i lasciti e le tracce di quelle precedenti… Thompson sembra dirci: “Attenzione. Chi è senza memoria è, spesso, anche senza protezione.”

Per una approfondita analisi sul “Trusting Trust Attack” si veda l’articolo “Reflections on Trusting Trust” di Ken Thompson.

Pierfrancesco Ghedini

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 3.0 Italia.

CAD e dintorni: Regole tecniche in materia di documenti informatici

Agenzia per l'Italia Digitale

Agenzia per l’Italia Digitale

Continua la serie di articoli volti ad approfondire gli aspetti del CAD di maggiore interesse per le aziende sanitarie. In questo  articolo si dà notizia del recente Decreto del Presidente del Consiglio dei Ministri che tratta di “Regole tecniche in materia di formazione, trasmissione, copia, duplicazione, riproduzione e validazione temporale dei documenti informatici nonché di formazione e conservazione dei documenti informatici delle pubbliche amministrazioni ai sensi degli articoli 20, 22, 23-bis, 23-ter, 40, comma 1, 41, e 71, comma 1, del Codice dell’amministrazione digitale di cui al decreto legislativo n. 82 del 2005.

Di cosa tratta il decreto?

Il decreto – art. 1 – fornisce una serie di definizioni – allegato 1 – e descrive alcuni formati di documenti utilizzabili – allegato 2 -. Nell’allegato 3 riporta una serie di standard tecnici per la  formazione, la gestione e la conservazione dei documenti informatici. Nell’allegato 4 e 5 riporta rispettivamente le specifiche tecniche del pacchetto di archiviazione e dei metadati.

Inoltre – art. 2 – il DPCM detta le regole tecniche per i documenti informatici, per i documenti amministrativi informatici e per il fascicolo informatico.

Quali le principali novità e gli aspetti salienti

Vale la pena di sottolineare una interessante novità riportata al comma 2 dell’art. 10 – Copie su supporto informatico di documenti amministrativi analogici – laddove si dice che “L’attestazione di conformita’ di cui al comma 1, anche nel caso di uno o piu’ documenti amministrativi informatici, effettuata per raffronto dei documenti o attraverso certificazione di processo nei casi in cui siano adottate tecniche in grado di garantire la corrispondenza del contenuto dell’originale e della copia, puo’ essere prodotta come documento informatico separato contenente un riferimento temporale e l’impronta di ogni copia. Il documento informatico prodotto e’ sottoscritto con firma digitale o con firma elettronica qualificata del funzionario delegato.”

Tale enunciate sembra aprire la strada ad una modalità di attestazione della conformità che si basa su una certificazione di processo piuttosto che su una verifica sistematica attuata documento analogico per documento analogico, con ovvie ricadute di migliore efficienza e gestibili del processo.

L’ art. 12 – Misure di sicurezza – afferma che “Il responsabile della gestione documentale ovvero, ove nominato, il coordinatore della gestione documentale predispone, in accordo con il responsabile della sicurezza e il responsabile del sistema di conservazione, il piano della sicurezza del sistema di gestione informatica dei documenti, nell’ambito del piano generale della sicurezza ed in coerenza con quanto previsto in materia dagli articoli 50-bis e 51 del Codice e dalle relative linee guida emanate dall’Agenzia per l’Italia digitale. Le suddette misure sono indicate nel manuale di gestione.”

Ribadendo in questo modo l’obbligatorietà delle misure di Business Continuity e Disaster Recovery dovute in base agli articoli 50-bis e 51 del CAD.  

All’ art. 14 – Formazione dei registri e repertori informatici – comma 2, si afferma che “Le pubbliche amministrazioni gestiscono registri particolari informatici, espressamente previsti da norme o regolamenti interni, generati dal concorso di piu’ aree organizzative omogenee con le modalita’ previste ed espressamente descritte nel   manuale   di gestione, individuando un’area organizzativa omogenea responsabile.”

Ciò sembra autorizzare le pubbliche amministrazioni a gestire registri informatici particolari che danno titolo a modellare flussi informatici che abbiano gestioni particolari rispetto all’ordinario flusso di protocollazione che caratterizza lo scambio di documenti al confine delle PA.

Tempi di attuazione ed adeguamento dei sistemi

All’art. 17 si precisa che “Il presente decreto entra in vigore decorsi trenta giorni dalla data della sua pubblicazione nella   Gazzetta   Ufficiale   della Repubblica italiana – NOTA BENE: il DPCM è stato pubblicato in GU il 12/01/2015 -. Le pubbliche amministrazioni adeguano i propri sistemi di gestione informatica dei documenti entro e non oltre diciotto mesi dall’entrata in vigore del presente decreto. Fino al completamento di tale processo possono essere applicate le previgenti regole tecniche. Decorso tale termine si applicano le presenti regole tecniche. Il presente decreto e’ inviato ai competenti organi di controllo e pubblicato nella Gazzetta Ufficiale della Repubblica italiana.”

NOTA BENE: quanto riportato nel presente articolo è un estratto da norme vigenti e non garantisce la completezza che solo il testo originale può garantire. Le considerazioni dell’autore devono essere considerate alla stregua di opinioni personali e quindi, prima di ogni possibile utilizzo, devono essere confrontate con altre fonti autorevoli e fede facenti. Verificare sempre i testi completi e originali delle norme citate ricorrendo alle fonti ufficiali tenendo conto di ogni possibile modifica o integrazione intervenuta successivamente alla redazione del presente articolo.

PG.

Il testo vigente del CAD è reperibile sul sito di AGID.

Licenza Creative Commons

Quest’opera è distribuita con Licenza Creative Commons Attribuzione 3.0 Italia.

L’esplosione del numero dei devices connessi metterà in crisi le nostre politiche di sicurezza

Immagine da diagnostica PET

Immagine tratta da diagnostica PET

Pur diffidando in genere delle previsioni, tendo a dar credito a coloro che preannunciano una esplosiva crescita dei dispositivi connessi in internet nei prossimi anni.

Gartner stima che entro il 2020 saranno presenti in internet 26 miliardi di dispositivi e il 15% di questi avrà a che fare con il mondo sanitario. Le nostre politiche di sicurezza attuali sono in grado di gestire reti di qualche migliaio di dispositivi: per le organizzazioni sanitarie di maggiori dimensioni si parla di reti in grado di gestire qualche migliaio di stazioni di lavoro e diverse centinaia di dispositivi medici ed è pensabile che con i sistemi attuali si possa arrivare a gestire qualche decina di migliaia di dispositivi. Tuttavia, è opinione comune fra gli addetti ai lavori che non sia possibile gestire in maniera efficiente e sicura reti di centinaia di migliaia di dispositivi.

In particolare appare particolarmente sfidante la necessità di gestire in un contesto di rete dispositivi wearable, o comunque portatili, che non si possono considerare stabilmente collocati in contesti di rete protetti, come i contesti aziendali, nei quali è normalmente possibile operare un controllo perimetrale dai malware attraverso tecniche di firewalling o comunque di filtering.

Fra pochissimi anni esisteranno centinaia di migliaia di dispositivi che saranno stabilmente collocati fuori dal dominio di sicurezza aziendale che comunque saranno parte integrante di un ecosistema che scambia dati sanitari con l’organizzazione sanitaria e con i professionisti ad essa afferenti – medici di medicina generale, specialisti, ecc… -.

Appare sempre più evidente che non sarà possibile gestire numeri così elevati di dispositivi senza una accurata progettazione delle politiche di sicurezza. La sicurezza dell’ecosistema dovrà necessariamente essere fondata su di una corretta identificazione dei dispositivi: che dovrà essere garantita anche in caso di colloqui instaurati in contesti di rete non sicuri. L’identità del dispositivo dovrà essere garantita attraverso tecniche crittografiche che dovranno impedire una fraudolenta impersonificazione. Se questo avverrà, allora non sarà necessario verificare ulteriormente la liceità della comunicazione con il professionista sanitario: in altri termini diminuirà fortemente la necessità di identificare la persona, in quanto l’identità del paziente sarà derivabile dall’identità del dispositivo che esso indossa o possiede. Naturalmente questo varrà nel caso il dispositivo sia impiantato sul paziente o nel caso il dispositivo non sia dissociabile dalla persona: il dispositivo potrebbe semplicemente cessare di funzionare se allontanato dal paziente a cui è associato. A garanzia di ciò il dispositivo dovrebbe poter  essere associabile ad una caratteristica biometrica unica della persona.

In definitiva quindi, ogni dispositivo che indosseremo dovrà essere unico, unico come la persona a cui sarà accanto. Questa è la sfida che ci aspetta.

PG.

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 3.0 Italia.

Ma quanto sono sicuri i dati sanitari?

La sicurezza dei dati sanitari

La sicurezza dei dati sanitari

Che io sappia non esistono statistiche o studi che ci possano dire se i dati sanitari dei pazienti curati in Italia siano o meno a rischio. Quello che è certo che in ambito anglosassone, negli Stati Uniti in particolare, è tutto un fiorire di statistiche, indagini e studi tesi a dimostrare che il problema esiste ed è di dimensioni considerevoli. Leggo un documentato articolo sul BLOG di Martine Ehrenclou dove vengono addirittura fornite indicazioni spicciole sui comportamenti da adottare per non mettere a rischio i propri dati sanitari  e mi chiedo se sia possibile fare un parallelo con la situazione europea con quella italiana in particolare.

Qualche differenza fra lo scenario statunitense e quello italiano di certo c’è: l’articolo citato insiste, infatti, sul punto che gli hackers sono interessati ai dati sanitari in quanto l’accesso ad informazioni come il Social Security Number agevolerebbe il furto di identità e quindi consentirebbe l’apertura fraudolenta di conti bancari o il rilascio improprio di carte di credito, oltre a facilitare le frodi nel pagamento delle prestazioni sanitarie.

Onestamente faccio fatica a pensare che un accesso indebito ai dati sanitari di un paziente, nel contesto italiano, permetta ad un malfattore di ottenere il rilascio di un carta di credito o consenta l’apertura di un conto bancario a nome altrui… Tuttavia penso che non ci si debba crogiolare troppo nelle proprie sicurezze se queste traggono origine più da una assenza di dati che da fatti comprovati.

Anche perché il nostro paese ha fatto negli ultimi anni passi da gigante nella interconnessione delle strutture sanitarie e nella accessibilità dei dati sanitari. L’eHealth non è più solo un oscuro acronimo di cui si riempiono la bocca gli addetti al settore. La carta non è sparita dalle nostre strutture sanitarie, ma la quantità di informazioni che sono accessibili in rete è enormemente aumentata. Per non parlare della quantità esplosiva di APP sanitarie che a vario titolo e con vario grado di sicurezza trattano dati sanitari.

E allora?

Credo che esistano due misure fondamentali da adottare, assai diverse fra loro, ma complementari e sinergiche:

  1. che si debbano mettere in campo strumenti sistematici e validati di valutazione della sicurezza dei sistemi informativi sanitari e in particolare dei servizi di interoperabilità che attraversano il confine aziendale;
  2. che si debba lavorare per far crescere la consapevolezza dei cittadini sui pericoli connessi con una diffusione non consapevole dei propri dati sanitari.

Perché la fiducia che noi nutriamo deve essere basata su certezze, altrimenti è solo pregiudizio e faciloneria.

PG.

Licenza Creative Commons

Quest’opera è distribuita con Licenza Creative Commons Attribuzione 3.0 Italia.

Cyber security e dispositivi medici

CyberSecurity

Cyber Security

È apparso di recente su MSN News un preoccupante articolo intitolato “U.S. government probes medical devices for possible cyber flaws“.

Per la verità il tema della vulnerabilità dei dispositivi medici ad attacchi di tipo informatico – Cyber attacchi – è all’attenzione degli addetti ai lavori ormai da tempo, ma per la prima volta viene documentata una vera e propria indagine svolta dall’Industrial Control Systems Cyber Emergency Response Team, o ICS-CERT, su alcuni dispositivi fra cui pompe di infusione e dispositivi cardiaci impiantatili. I membri dell’ICS-CERT hanno teso a precisare di non essere a conoscenza di attacchi che abbiano coinvolto i dispositivi sotto indagine, ma hanno affermato che l’indagine verte sulla possibilità che malintenzionati possano acquisire il controllo da remoto dei dispositivi e provocare problemi, ad esempio per sovradosaggio di farmaci nel caso l’attacco avvenga su pompe da infusione o altri effetti altrettanto nocivi nel caso l’attacco sia rivolto a dispositivi cardiaci impiantabili.

Al di là dei dispositivi specifici sotto indagine, la presenza di medical devices sulle reti delle nostre strutture sanitarie rappresenta un’oggettiva criticità che pone seri problemi di progettazione della infrastruttura e complessi vincoli di gestione.

Nonostante nel tempo siano stati proposti approcci teorici più o meno convincenti – ad esempio, di recente, il NIST ha proposto il modello Framework for improving Critical Infrastrutture Cybersecurity – è ormai accezione comune che ciò non basti e che vi sia un’evidente carenza che occorrerà colmare al più presto. Molti, infatti, pensano che non sia più differibile l’identificazione di una serie di buone pratiche tese a minimizzare il rischio di attacchi a reti miste – caratterizzate dalla presenza contemporanea di dispositivi medici e sistemi non medicali -. L’individuazione di scenari tecnici di riferimento, pur senza negare o contraddire la necessità di una metodologia di gestione della sicurezza, favorirebbe la rapida messa in campo di misure capaci di garantire una maggiore sicurezza degli impianti oggi in servizio.

Se da un lato infatti il citato modello del NIST rappresenta il necessario riferimento metodologico per la gestione di una qualsiasi infrastrutture tecnica critica, non fornisce tuttavia riferimenti implementabili che possano essere direttamente impiegati nelle diverse realtà sanitarie. Ciò che occorre fare è definire una serie di architetture di riferimento capaci di contrastare le principali minacce ipotizzabili, pur garantendo la necessaria usabilità complessiva e una sufficiente gestibilità.

E, probabilmente, occorrerà farlo il prima possibile.

PG.

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 3.0 Italia.

Il fattore umano nella sicurezza dei sistemi informativi sanitari

Sito HealthITSecurity

Sito HealthItSecurity

Nell’articolo Steps To Address Human Element Of Healthcare Data Security riportato sul sito Health IT Security vengono ribaditi alcuni concetti chiave della sicurezza informatica adattandoli all’ambito dei sistemi informativi sanitari.

L’articolo prende le mosse dai risultati dello studio del Ponemon Institute che mette in luce una preoccupante frequenza di deprecabili comportamenti messi in atto dai dipendenti dell’aziende degli intervistati che hanno condotto ad almeno un problema di sicurezza negli ultimi due anni  nel 78 percento dei casi. A ciò si aggiunge lo Studio dell’HIMSS, pubblicato nel 2014, che afferma che la maggiore motivazione alla consultazione inappropriata dei dati da parte dei dipendenti è riconducibile al desiderio di avere accesso a dati la cui consultazione dovrebbe essere riservata.

Se a questo si somma la cronica carenza di risorse dedicate alla sicurezza nelle aziende sanitarie – l’articolo parla del fatto che i dipartimenti IT delle aziende sanitarie statunitensi ricevono il 2 o 3 percento del budget che se confrontato con il 20 percento del budget che viene concesso ai dipartimenti IT nelle organizzazioni finanziarie o di vendita al dettaglio è ben poca cosa – si capisce come il compito sia assai sfidante. Considerazioni ancora più sconsolanti potrebbero essere fatte se rapportassimo queste disponibilità alla situazione italiana dove il budget dei dipartimenti IT delle aziende sanitarie in molti casi è ben al di sotto del citato 2 percento.

Nell’articolo si propongono alcune strategie volte a mitigare il rischio connesso al fattore umano che vale la pena citare:

  • addestrare il personale sulle buone pratiche di sicurezza ed enfatizzare quali siano i rischi di una gestione approssimativa della sicurezza;
  • rinforzare frequentemente le buone pratiche di sicurezza e ricordare le sanzioni in caso di inadempienza; ricordare di evitare cattive pratiche come l’utilizzo di password di gruppo e i bigliettini con le password affissi sulle stazioni di lavoro;
  • richiedere il cambio frequente della password e utilizzare strumenti che forzino i dipendenti a tale cambio;
  • usare sistemi di single-sign on che proteggano la sessione quando l’utente si scollega da un determinato ambito di lavoro;
  • registrare – e periodicamente esaminare – i tentativi di connessione per scongiurare tentativi di phishing e addestrare gli utenti a riconoscere queste minacce e a fornire adeguate risposte;
  • eliminare le password più deboli e comuni e adottare misure che forzino all’uso di password robuste.

Seppure quelle riportate nell’articolo non siano tematiche nuove, risulta preoccupante la frequenza delle problematiche di sicurezza che i vari studi citano come riconducibile a cause interne all’azienda. Questo porta  a pensare che, da un lato, vi sia la pressante necessità di fare evolvere i sistemi informativi in una direzione in grado di conciliare le esigenze di usabilità dei sistemi con quella di garanzia della privatezza delle informazioni gestite, ma dall’altro invita a non dimenticare l’importanza della formazione e del coinvolgimento degli utenti nella buona gestione dei sistemi informativi.

PG.