“La salute non è tutto, ma senza salute tutto è niente.”
Arthur Schopenhauer
Quando si parla di sanità e di ospedali, automaticamente parliamo dei dati clinici e sanitari. Dati particolari, gli “ex-sensibili” della D.Lgs 196/2003 che oggi, con l’entrata in vigore del GDPR, richiedono una protezione particolare.
Parlo di tutti quei dati che rivelano “l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.”
Gran parte di questi dati sono conservati nelle cartelle cliniche, ormai in gran parte digitalizzate, gestite dai database e servers delle Aziende Ospedaliere, tra cui figurano ovviamente le prescrizioni mediche, referti, radiografie, prenotazione visite etc etc etc
Alcuni di questi dati, in particolare quelli relativi alle radiografie, TAC, risonanze, sono conservati e trasmessi in formato digitale usando lo standard DICOM –Digital Imaging and Communications in Medicine– che, come ogni altro servizio di Rete, dovrebbe essere opportunamente protetto e gestito per evitare la “fuga” del materiale.
A tal proposito sta circolando da qualche giorno il report “Cyber Resilience Report” della Greenbone Security che “denuncia” la presenza in rete di oltre 24 milioni di “cartelle cliniche” contenenti dati particolari di altrettanti pazienti, prelevati da migliaia di servers vulnerabili in almeno 52 paesi in tutto il mondo, tra cui l’Italia.
I ricercatori della Greenbone Security sono riusciti a recuperare, dai servers del nostro Paese, oltre 100.300 record di dati e 5,8MByte di immagini diagnostiche, da 10 sistemi vunerabili: nella non invidiabile classifica, siamo il 1° Paese europeo e l’11° su scala mondiale. Non hanno ovviamente indicato con maggiori dettagli ma i dati riportati nella relazione sono decisamente preoccupanti.
In particolare, relativamente alla situazione mondiale, hanno addirittura identificato 6 servers FTP con accesso anonimo a tutti i dati dei pazienti!
Tornando all’Italia, basta fare una semplicissima ricerca con shodan.io per ottenere un preoccupante risultato di ben 26 servers che espongono il servizio DICOM. Certo, questo non significa che i dati clinici siano liberamente accessibili (e non mi interessa verificarlo) ma, in ogni caso, credo sarebbe da consigliare quantomeno un minimo di attenzione in più.
Capita talvolta che –vuoi per distrazione o per incompetenza– siano messe in Rete macchine non protette, contenenti dati particolari. Che nel giro di pochi istanti, anche grazie a scanners automatici che monitorizzano continuamente Internet alla ricerca di servers vulnerabili, vengono violate.
Certamente, almeno per quanto riguarda le categorie di dati particolari, sarebbe opportuna una maggiore attenzione. Credo che la domanda giusta da farsi sia: chi gestisce questi sistemi ne ha adeguata consapevolezza?
In copertina: radiografia di un uomo di 700 pounds (circa 318Kg)