Multe per la privacy colabrodo
I bug nei sistemi informatici dell’Azienda sanitaria sono all’origine della circolare del direttore generale Florian Zerzer per rendere possibile l’accesso al fascicolo sanitario elettronico solo in presenza dei pazienti che ha gettato nel caos tutto il comparto della sanità per alcuni giorni. Il tutto però, martedì, durante la conferenza stampa post Giunta, è stato archiviato come “un malinteso” dal presidente Arno Kompatscher. Dopo le mancate repliche da parte di SABES qualche dubbio resta, ma a questo punto mancano pochi giorni per verificare come la circolare sarà applicata (le nuove disposizioni dovrebbero entrare in vigore il 31 maggio).
Nella sua imbarazzata spiegazione davanti ai giornalisti, però, il Landeshauptmann ha detto anche che l’Azienda sanitaria è stata multata dal Garante per la privacy per alcune violazioni. Da quello che risulta dopo aver svolto una ricerca nel sito del Garante della privacy SABES ha invece segnalato l’intrusione nei sistemi ma ad essere multati per complessivi 55.000 in realtà sono, nell’ordine, la Provincia autonoma di Bolzano (30.000 euro), Dedalus spa (15.000 euro), Informatica Alto Adige (10.00). Cioè, è andata all'incirca così: scoperta l'intrusione i soggetti coinvolti hanno cercato di attribuirsi le responsabilità a vicenda e l'Azienda sanitaria ha quindi chiesto all'autorità di fare chiarezza. E' quello che si evince da tre provvedimenti molto simili emessi del 23 marzo 2023 (questo, è uno)
“Il 21 aprile 2021 – vi si legge - l’Azienda Sanitaria della Provincia di Bolzano ha trasmesso a questa Autorità una notifica di violazione dei dati personali riguardante l’accesso non autorizzato ai documenti sanitari di alcuni assistiti determinato dalla vulnerabilità del servizio relativo al Fascicolo sanitario elettronico (FSE) raggiungibile tramite l’URL https://fsse.civis.bz.it/fse”.
Più avanti è documentato il più classico degli scaricabarili istituzionali laddove nella propria notifica l’Azienda sanitaria afferma di "non ritenersi titolare del trattamento", specificando poi che “vista la diatriba tra i due Enti si è ritenuto comunque di notificare l'episodio”.
L’Azienda sanitaria indicato tra i soggetti coinvolti nel trattamento dei dati personali in questione la società Informatica Alto Adige Spa (“SIAG”) -designata quale responsabile del trattamento nel 2010- e la società Dedalus Italia Spa -designata anch’essa responsabile del trattamento nel 2018- quest’ultima “nell’ambito del contratto stipulato con SIAG.
L’ufficio del garante ricostruisce poi le argomentazioni di ciascuno degli attori e ad un certo punto spiega esattamente cosa era avvenuto. “A seguito di un’autenticazione SPID valida e certificata era possibile iniettare nelle chiamate (API) codici fiscali di altri cittadini. Pertanto, era possibile recuperare un documento di un altro cittadino, tuttavia tale attività veniva regolarmente registrata all’interno dei sistemi di monitoraggio del Fascicolo. Da un punto di vista tecnico era possibile invocare il servizio “getdocument” richiamando un documento di un cittadino utilizzando un cookie di autenticazione che identifica una persona diversa.” Il totale dei codici fiscali oggetto di violazione è stato pari a cinque.
La vulnerabilità – si legge poi nel provvedimento - è stata risolta la sera stessa dell’avvenuta comunicazione da parte del segnalante. L’8 aprile 2021 il direttore generale di Informatica Alto Adige Spa Stefan Gasslitter presenta denuncia presso la Polizia Postale di Bolzano. Siag provvede inoltre ad informare i cinque interessati dell’avvenuta violazione.
Che si tratti di una vulnerabilità afferente all’applicativo Fascicolo sanitario elettronico emerge chiaramente anche dalla segnalazione inoltrata dal cittadino che ha sfruttato la falla di sicurezza.
Nella propria memoria la Provincia tentato di attribuire interamente la responsabilità all’ultimo anello della catena, Dedalus, ma non riesce a convincere i giuristi con le proprie argomentazioni. Anzi.
Più avanti nella ricostruzione si capisce che chi ha effettuato la violazione si è messo di fatto nei guai da solo. “Che si tratti di una vulnerabilità afferente all’applicativo Fascicolo sanitario elettronico emerge chiaramente anche dalla segnalazione inoltrata dal cittadino che ha sfruttato la falla di sicurezza. Egli elenca puntualmente i passaggi eseguiti per accedere a dati sanitari di altri assistiti, che presuppongono una corretta autentificazione al servizio MyCivis. La vulnerabilità è quindi sfruttabile solo previa autentificazione. Si specifica inoltre che, come da analisi eseguite da parte di SIAG, la vulnerabilità sfruttata dal (Sig.XY) (in qualità di vero e proprio attaccante), richiede approfondite conoscenze tecniche e non è un’azione che rientra nelle possibilità di utenti con conoscenze informatiche di base. Preme sottolineare che si tratta quindi di un hackeraggio mirato di un sistema informatico che ha richiesto il possesso di conoscenze tecniche molto specifiche e per cui il (Sig. XY) è stato denunciato alle autorità competenti in data 09.04.2021 da parte di SIAG”.
In conclusione, per l’ufficio del Garante, “pur considerando che i molteplici trattamenti effettuati nell’ambito del FSE ricadono nella titolarità di più soggetti che perseguono finalità diverse, si rileva che le attività di trattamento con riferimento alle quali si è verificata la violazione rientrano nella sfera di titolarità della Provincia autonoma di Bolzano e non anche della Azienda sanitaria. Nello specifico, infatti, la violazione non risulta essere stata determinata da un’errata identificazione dell’assistito al momento dell’erogazione delle prestazioni sanitarie (attività di trattamento di cui sarebbe titolare l’Azienda sanitaria), bensì da un non corretto funzionamento del sistema che consente l’accesso ai documenti contenuti nel Fascicolo della Provincia Autonoma di Bolzano, che ricade appunto sotto la titolarità di quest’ultima”.
Per questo il garante per la privacy chiede alla Provincia autonoma di Bolzano di pagare la somma di euro 30.000, a Dedalus di 15.000 e a SIAG di 10.000. Unica uscita indenne dalla querelle, l’Azienda sanitaria. Ciònonostante il "panico da privacy" ha indotto i vertici di SABES a prendere un granchio colossale con la circolare che Kompatscher ha definito frutto di un malinteso. Occorre attendere i nuovi sviluppi.
Quindi andava meglio, quando
Quindi andava meglio, quando andava peggio? Forse meglio se torna Schael?
"Si specifica inoltre che,
"Si specifica inoltre che, come da analisi eseguite da parte di SIAG, la vulnerabilità sfruttata dal (Sig.XY) (in qualità di vero e proprio attaccante), richiede approfondite conoscenze tecniche e non è un’azione che rientra nelle possibilità di utenti con conoscenze informatiche di base. Preme sottolineare che si tratta quindi di un hackeraggio mirato di un sistema informatico che ha richiesto il possesso di conoscenze tecniche molto specifiche e per cui il (Sig. XY) è stato denunciato alle autorità competenti in data 09.04.2021 da parte di SIAG”.
Il sottoscritto non concorda.
La vulnerabilità indicata richiede ZERO (o quasi) conoscenze tecniche, bensì il semplice "osservare" delle chiamate HTTP effettuate dal browser - fattibile con il semplice click destro del mouse nel proprio browser.
La vulnerabilità stessa - il nome tecnico è IDOR (insecure direct object reference) - entrò nel 2007 nella owasp TOP10 e ha quindi la massima visibilità possibile nell' it security e per il semplice fatto di far parte della owasp non richiede nessune conoscenze tecniche specifiche: per ogni vulnerability della owasp esistono migliaia di tool anche automatici, fruibili anche da non alfabetizzati informatici, che identificano (e potenzialmente permettono di sfruttare) queste falle.
Al signore che ha fatto la responsible disclosure e si trova ora (mi sembra di leggere) denunciato: mi racconti volentieri privatamente la sua versione dei fatti, e se quanto lei mi descrive corrisponde ad una regolare responsible disclosure offro al suo avvocato la mia disponibilità per una consulenza tecnica di parte a sua difesa - pro bono.
Secondo me dovrebbero multare
Secondo me dovrebbero multare la Commissione Europea per avere prodotto il disastro chiamato GDPR. In italiano = "privacy".
O forse e' la quinta colonna di Putin. Hanno capito come creare disastri da noi, ostacolare la nostra crescita economica, usando i nostri sistemi.
Certamente dobbiamo prestare attenzione alla privacy. Uno dei modi sarebbe quello di scriverci il software da soli e non affidarlo ad altri, specie se extraeuropei e con finalita' commerciali. Ma da quell'orecchio la Commissione UE non ci sente. E fosse solo quello.