i Due Punti

 I fatti, senza pregiudizi

Asl Teramo...senza privacy

di Anonimo
5 minuti

Un sabato mattina qualunque di metà ottobre, sveglia alle 7:30 per andare entrambi a fare le analisi del sangue all'ospedale di Giulianova. La giornata si preannuncia uggiosa, anche se solo più tardi si scoprirà che "sapore ha"...

Arriviamo all'ospedale, fila chilometrica all'accettazione e fila ancor più chilometrica alla sala prelievi, ma ok... è sabato mattina, è normale che sia pieno visto che per molte persone è l'unico giorno a disposizione, e poi siamo in Abruzzo, e i disservizi del sistema sanitario sono la norma, per cui ci siamo più che abituati. Qualcuno fa il furbo e scavalca la fila (non ci sono sistemi elimina code), qualcun altro si arrabbia ingiustificatamente per persone che passano avanti pur avendone diritto, come indicato nei cartelli appesi al muro (es. donne in gravidanza o anziani in condizioni critiche)... ma ok, siamo pur sempre in Italia e l'arroganza e la maleducazione sono la norma, per cui siamo più che abituati anche a questo.

Mentre siamo in fila ci chiediamo chissà se anche qui sarà attivo il nuovo servizio di ritiro referti online della ASL, dato che proprio il giorno precedente la mia compagna aveva avuto "l'ebbrezza" di accedere online al referto di un esame clinico fatto qualche giorno prima in un altro ospedale della provincia, risparmiandosi così 60 km di strada e mezza giornata di ferie solo per andare a ritirare un foglio di carta (praticamente fantascienza).
Arriva il nostro turno e… ottimo! Anche qui il ritiro referti online è attivo, sulla scheda di ritiro referto c'è stampato in bella vista un link con le credenziali (Utente + Password + PIN) per accedere al servizio e scaricare il risultato delle analisi. Una bella comodità, non c'è che dire. Sembra quasi incredibile che la sanità abruzzese, nello stato precario in cui si ritrova attualmente, sia riuscita a mettere in piedi un servizio comodo e funzionante e che, immagino, farà risparmiare le casse della regione.

Sarà per deformazione professionale, essendo un ingegnere informatico, ma l'occhio mi cade inevitabilmente sui dati forniti per l'accesso al servizio. Sarà che per lavoro devo gestire centinaia, anzi migliaia, di credenziali, ma intuisco qualcosa di strano. I dati sono fatti come segue (li ho ovviamente leggermente modificati per motivi di privacy… Ah ah ah! Scusate, mi è scappata una risata quando ho scritto privacy, capirete perché tra poco!).
UTENTE: 20131232421
PASSWORD: 12102421
PIN: 31232421

Già il fatto di usare delle credenziali esclusivamente numeriche non è che sia il massimo in termini di sicurezza, dato che rende l'accesso estremamente più vulnerabile rispetto a password miste con numeri e lettere. Noto stupito che le ultime 4 cifre sono esattamente le stesse per i 3 codici, la qual cosa rende ancora più semplice fare dei tentativi per un potenziale utente malevolo che volesse provare ad accedere ai dati. Ma non solo, il PIN di fatto è una copia esatta delle ultime 8 cifre del codice utente, per cui è sostanzialmente una informazione ridondante. Infine noto anche che la parte iniziale del codice utente e della password corrispondono di fatto alla data odierna: 2013 (l'anno) e 1210 (ovvero 12 ottobre). Tutto ciò di per sé sarebbe già sufficiente a facilitare enormemente l'accesso online illegittimo a questi dati che, ricordiamo, possono essere estremamente sensibili, riguardando l'esito di prestazioni sanitarie.

A questo punto chiedo alla mia compagna di farmi vedere il suo foglio, al che rimango totalmente senza parole.
UTENTE: 20131232422
PASSWORD: 12102422
PIN: 31232422
In pratica i tre codici erano identici a miei, con la sola differenza dell'ultima cifra, denotando chiaramente che c'era una banale progressione numerica.
Ci confrontiamo anche con la signora in fila dietro di noi e stessa storia: anche lei aveva codici identici ai nostri con la sola variazione delle ultime cifre.

In conclusione è come dire che tutti i referti degli esami di laboratorio di tutti gli utenti della ASL di Teramo sono visibili pubblicamente online da chiunque… alla faccia della privacy!
La cosa più divertente è che sullo stesso foglio, accanto ai codici, c'è scritto:
"Il codice personale assegnato dovrà essere custodito con la massima diligenza al fine di evitare che terzi accedano ai referti di laboratorio."

Mi piacerebbe tanto sapere chi è il genio dell'informatica che ha realizzato questo algoritmo formidabile per la generazione delle credenziali, nonché sarei di curioso di sapere qual è lo stipendio del responsabile dei sistemi informativi della ASL.

Guarda caso, all'uscita della sala prelievi troviamo a fare la fila dietro di noi nientemeno che il sindaco di Giulianova, l'Avv. Mastromauro, al quale facciamo presente questa colossale anomalia del sistema. Rimane anche lui piuttosto perplesso e ci ringrazia per l'utile segnalazione, dicendo che farà presente la cosa a chi di dovere.


Marco Chiesi

Commenta

CAPTCHA

Commenti

Però sono attentissimi ad omettere i nomi negli allegati (parti integranti) degli atti amministrativi relativi ai pagamenti...
Non hanno saputo o non hanno voluto fare di meglio? In entrambi i casi c'è da sapere chi sono gli autori della genialata, quanto hanno guadagnato, come e da chi sono stati scelti. Sarebbe opportuno che l'Avv. Mastromauro, delucidato, facesse presente la cosa anche al Sindaco di Giulianova, quindi ai cittadini utenti della Asl, potenziali vittime di incapacità o doli altrui.
Teramo. La vicenda sollevata nei giorni scorsi da un lettore, sulla mancanza di privacy relativamente alla possibilità di consultare le analisi online , trova una immediata precisazione da parte della Asl di Teramo. "Si tratta di un servizio per il quale è stata attivata una forma per il momento sperimentale", fa notare la Asl. "Come tale è caratterizzata da un algoritmo semplice, che già nelle prossime ore, come da programma, sarà più complesso e che dalla fine del mese (conclusa la sperimentazione), sarà completamente diverso. Quando infatti sarà a pieno ritmo, il servizio sarà attivo con un sistema in cui saranno gli stessi pazienti a scegliere la propria password. Siamo comunque molto soddisfatti che già in questa prima fase ci sia stata tanta attenzione, che non ci aspettavamo di certo. E' anche vero, però, che il meccanismo della privacy non è mai abbastanza sicuro se è vero, come è vero, che più di dieci anni fa un tecnico dell'ufficio informatico della Università de L'Aquila stupì il mondo entrando, con un'operazione di hackeraggio, nel sistema informatico della Casa Bianca. Ovviamente faremo di tutto (ed è garantito che il sistema attivo da fine mese sarà sicurissimo), per garantire la privacy dei cittadini che usufruiranno del servizio ma riteniamo nel contempo che i fruitori dei servizi, in media, non siano intenzionati a penetrare ogni sistema solo per il gusto di farlo. Intanto, nel ringraziare ancora, ci compiacciamo di nuovo del favore che il nostro nuovo servizio riscuote e abbiamo testato quanto ce ne sia bisogno, se il sindaco di Giulianova, come l'articolo illustra, questa mattina era in fila allo sportello per un semplice ritiro di risultati di laboratorio. Siamo lieti di potere offrire già da oggi il servizio, più sicuro, alla cittadinanza, confermando che sarà sicurissimo tra un paio di settimane".
Ahahahah! La risposta della Asl è patetica! Ma come si fa a condensare tante cavolate in quattro righe? Bisogna essere davvero dei geni! :D :D
La risposta della Asl fa paura. Chiarisce quanta competenza ci sia lì dentro e che: 1) se un servizio è sperimentale allora si può derogare alla privacy; 2) un sistema è sicuro perché i fruitori non sono dei ficcanaso (e se invece dei fruitori ne facesse uso un'azienda farmaceutica? Magari scoprirebbe che ho un serio problema con i triglicerid, che potrei risolvere con un loro farmaco...); 3) un politico che fa la fila per un ritiro di referto è un ottimo test per misurare "quanto ce ne sia bisogno" .
Per chi fosse interessato, ho scritto una lettera di risposta alla ASL, che potete leggere qui: https://www.facebook.com/notes/marco-chiesi/la-asl-e-i-dati-insensibili…
In qualsiasi azienda privata queste persone sarebbero state cacciate su due piedi, dall'informatico a chi ha rilasciato questo comunicato stampa.

Leggi anche