Wednesday, August 15, 2018
Editie Speciala - e-Health

carr

Massimo Caruso,

director editorial, e-Sanit@

esaint

A 7-a ediţie a Conferinţei e-Health România, care va avea loc în data de 7 mai la Bucureşti, introduce anul acesta o mare noutate: prezenţa unei numeroase delegaţii Italiene conduse de un think-tank creat de revista italiană de e-Heath, e-Sanit@ (www.esanitanews.it).

Această prezenţă s-a născut dintr-o colaborare romano-italiană începută în Decembrie anul trecut, cu scopul de a construi parcursuri de integrare a operatorilor de e-sănătate români şi italieni, într-un cadru mai amplu, cel al Uniunii Europene.

Europa, după cum se ştie, mizează mult pe dezvoltarea sistemelor şi aplicaţiilor de e-Sănătate si propune soluţii strategice care să permită o omogenitate sporită a serviciilor în interiorul UE, pentru a face faţă sustenabilităţii, a îngrijirii şi asistenţei medicale.

Pentru a garanta aceste obiective, UE a lansat deja un plan de acţiune pentru dezvoltarea şi difuzarea sistemelor de sănătate electronică (e-Health), care va fi încheiat în 2020 şi pentru care s-au alocat resurse de opt milioane de Euro pentru următorii cinci ani, care se adaugă la sumele deja anticipate in Programul Horizon 2020.

Pentru a permite integrarea medicală în sistemele europene, inclusiv în ceea ce priveşte marea creştere a fluxurilor de mobilitate transfrontalieră, cele mai importante dispoziţii ale planului de acţiune sunt bazate pe consolidarea securităţii datelor şi interoperabilitatea sistemelor.

În acest context, am introdus iniţiativa bilaterală Italia-România, care va avea un moment de maximă vizibilitate si care va reprezinta un dialog în cadrul conferinţei naţionale de sănătate electronică ce va avea loc la Bucureşti in 7 mai.

Iniţiativa, coordonată de către Agora Group şi Swiss Webacademy în colaborare cu revista de sănătate electronică e-Sanit@, se doreşte să fie un moment de reflecţie asupra stadiului  actual al sistemelor de sănătate electronică în România şi în Italia şi, mai mult de atat, o oportunitate oferită operatorilor din ambele ţari, de a aduce la cunoştinţă posibilităţile de colaborare prevăzute în planurile de dezvoltare europene, care permit printre altele şi posibilităţi de parteneriate industriale între firme italiene şi româneşti.

Sănătatea electronică reprezintă o piaţă în plină creştere în care merită investit, în ciuda crizei economice: de pildă, piaţa mondială a telemedicinei are azi o valoare de 11,6 miliarde de Euro. De asemenea, se află în plină creştere, mai presus de toate, piaţa mHealth, care va atinge 17,5 miliarde de Euro în 2017.

La întalnirea de la Bucureşti vor fi prezenţi, alături de delegaţia oficială italiană a e-Sanit@, directori de instituţii medicale şi de asociaţii şi, in premieră, un număr mare de  reprezentanţi ai industriei italiene, factori de decizie din companii implicate în dezvoltarea domeniului e-sănătate.

Nu pot decat să mă bucur de acest prilej nemaipomenit de networking, brainstorming şi de stabilire a relaţiilor interumane, indispensabile în colaborările viitoare dintre instituţii şi companii din cele doua ţari, care au mult de partajat şi de caştigat dacă lucrează impreună.

laurent

Laurent Chrzanovski

În viața reală, ulciorul Pandorei a fost deja deschis în ultimele decenii prin interacțiunea slabă dintre om și natură, generând viruși letali precum HIV, H5N1 sau Ebola. Dar ulciorul digital al Pandorei, recent deschis în varianta 2.0 și Internet of Things (IoT), ne rezervă pandemii în comparație cu care bolile sus-menționate par mult mai ușor de gestionat.

Contextul, cu părți pozitive și negative

Problemele e-Health constituie, desigur, cea mai mare miză economică – deci și criminală – din era digitală, alături de cele legate de spionaj sau război cibernetic (cyberwar).

Pe de o parte, cea pozitivă, trebuie subliniat că este absolut necesară implementarea, prin informatizare inteligentă, a unor unelte ce permit un progres real în sistemul medical. Aceste unelte vor fi utile pentru a lupta, de exemplu, împotriva furtului de medicamente, a abuzurilor medicale, malpraxis, sau pentru operațiuni foarte complexe în care e-Health asigură o interdisciplinaritate de elită prin prezența virtuală și robotică interconectată a echipelor chirurgicale din mai multe țări, rezolvând astfel multe probleme, dar nu în ultimul rând, și pentru a ușura munca echipajelor medicale de salvare.

În ceea ce privește ultimul subiect, instruirea echipajului medical mobil de prim-ajutor asupra identității și a problemelor bolnavului sau rănitului care trebuie salvat este mai mult decât necesară și chiar salvatoare de vieți.

În schimb, partea negativă este reprezentată de faptul că sistemele electronice de sănătate constituie o centralizare totală, neîntâlnită în istorie, pentru cantitatea și calitatea datelor ultra-confidențiale ale cetățenilor, medicilor și farmaciilor dintr-o țară întreagă. În România, vorbim despre sistemul informatic unic integrat (SIUI), reţeta electronică (SIPE), cardul de sănătate (CEAS) și, mai ales despre dosarul electronic de sănătate (DES).

Mai mult, dacă nu sunt securizate corespunzător, aceste sisteme pot fi o “bombă” mai ales în țări ca Italia, SUA, România, în care fiecare cetățean are un cod unic (Codice Fiscale, Social ID, CNP). În aceste cazuri, penetrarea în sistemul e-Health va permite și o cale de acces suplimentară către alte informații, cum sunt cele cu caracter fiscal, bancar sau personal legate de acest cod.

Așadar, acești noi centralizatori de date constituie desigur “the ultimate target” (ținta supremă), adică cea mai mare mină de aur din era digitală, pentru grupări criminale, cu intenția de a vinde rezultatele furate industriei medicale și farmaceutice, dar și departamentelor de resurse umane ale firmelor private.

Dacă adăugăm faptul că majoritatea “gadget-urilor e-Health”, în prezent cumpărate masiv de țările avansate, sunt nesecurizate sau prost securizate, și că majoritatea au sau dau un acces parțial la “mina de aur”, atunci conștientizăm că fiecare stat în parte va trebui zilnic să se asigure de impenetrabilitatea centralelor locale, regionale și naționale și să aibă curajul să interzică anumite produse incompatibile cu securizarea sistemului.

e-Health prezentat ca soluție miraculoasă într-un context medical public real la pământ

Trebuie să ne alarmăm? Da, pentru că avem de ce. Cu ajutor politic și cu sprijinul lobby-urilor, “e-ulcioriul” Pandorei este larg deschis, iar spiritele rele împreună cu bolile lor s-au răspândit deja în spitalele din toate țările dezvoltate.

În aproape toate țările din UE, sistemele medicale și cele de asigurări sociale obligatorii, cele care finanțează gratuitatea medicamentelor și a serviciilor medicale, au fost aduse în mai puțin de 30 de ani în pragul colapsului definitiv, prin nepăsarea și prin complicitatea criminală a politicienilor.

Nu este nevoie să ne aflăm într-un județ periferic din România pentru a găsi un spital slab echipat și a fi obligați să cumpărăm din bani proprii medicamente necompensate sau să fugim într-un oraș mare, aflat uneori chiar la mai multe sute de kilometri. Sunt minim alte 10 țări din UE unde se întâmplă același fenomen, în proporții mai mari sau mai mici.

Într-un context european unde regiuni rurale întregi au fost părăsite de către Stat prin eliminarea voită a structurilor locale de prim-ajutor, dar și de către privați prin abandonarea cabinetelor individuale nerentabile, bolnavii au fost condamnați să meargă la spitalele din orașe sau, în cazuri extreme, să apeleze la sistemul de ambulanță pentru a fi duși la aceleași spitale. Controlul digital la distanță apare astfel ca un miracol, o scuză ideală pentru edili să justifice că au grijă de toți cetățenii, inclusiv cei din mediul rural.

Dar atât la țară, cât și la oraș, slăbirea generalizată a calității, prestațiilor și serviciilor gratuite garantate de sistemul public nu reprezintă altceva decât o mișcare neoliberală foarte înțeleaptă, începută o dată cu căderea zidului Berlinului, care are ca miză pe termen lung – la fel ca și în cazul sistemelor de pensii – privatizarea totală a sistemului medical.

Dar și acolo unde încă rezistă, de exemplu în Franța, un sistem public solid dar ultra-costisitor, s-a găsit soluția-minune pentru cei care doresc să fie absolut siguri că vor beneficia de un tratament de calitate și că vor scăpa de trecerea obligatorie și din ce în ce mai îndelungată prin zona de urgență a spitalelor publice.

Această “minune” se numește asigurare complementară privată și plătește toate medicamentele, cheltuielile din orice clinică inclusiv de lux, cele mai scumpe operații și tratamente, dar și tratamente post-operatorii neobligatorii.

Autorul știe foarte bine despre ce vorbește fiindcă, prin referendum, poporul elvețian a renunțat de mult la casa unică de sănătate vrăjit de mirajul ieftinirii primelor prin concurență.

Prin urmare, orice cetățean elvețian (inclusiv eu), plătește între 250 și 800 de Euro pe lună pentru a fi asigurat, diferența de cost nefiind calculată în funcție de venituri, ci în funcție de franciza aleasă de client, franciză care acoperă sau nu de la simpla consultație a doctorului de familie până la operații sau tratamente grele (cei care aleg să plătească primele mici trebuie să acopere primii 10.000 de Euro, cei care aleg primele mari trebuie să acopere primii 200 de Euro).

Așadar, un tânăr care nu a mers la doctor deloc timp de un an tot a plătit 3.000 de Euro asigurărilor. Dacă nu poate să plătească, plătește serviciul social de stat (sic!) pentru el.

Sistemul elvețian fiind obligatoriu, niciun asigurator nu poate să refuze un cetățean. Dar oriunde altundeva în lume, același asigurator are drepturi de viață sau de moarte în alegerea “clientului”, are voie să ceară dosarul medical confidențial, să adapteze primele lunare, să refuze pacientul sau să rezilieze contractul în funcție de gradul de risc al personei (dacă are antecedente de depresie sau alte tratamente psihiatrice, dacă a avut o boală infecțioasă etc.).

Dacă adăugăm că fumatul și consumul de băuturi alcoolice sunt legale, pe când antecedentele de boli incurabile sau genetice ale parinților sau copiilor pacientului sunt, prin lege, interzise la acces asiguratorilor privați, atunci înțelegem ușor de ce fiecare element de “e-Health intelligence” este un plus de neprețuit.

Bani? Iată banii reali din mediul digital!

Este deja știut și dovedit de mult: un dosar medical complet al unui singur cetățean al UE este negociat pe piața neagră între 4 și 12 USD în funcție de cât de “social” este încă Statul în care trăiește (i.e. câte prestații și medicamente sunt gratuite pentru fiecare cetățean), pe când cel al unui cetățean al Marii Britanii sau al SUA pornește de la 16 USD, până la 40 sau chiar 80 USD, sistemele de sănătate și de asigurare fiind, în ambele țări, private sau semi-private.

Mult mai îngrijorătoare însă, este informația apărută abia acum două săptămâni în paginile prestigiosului Huffington Post, unde se estimează că numai informațiile privind vârsta și sexul unei persoane valorează 0,007 USD, iar dacă aceași persoană a fost “înregistrată” căutând pe Google tematici despre cancer sau boli de inimă, valoarea aceleiași informații crește la 0,447 USD, adică de 64 de ori mai mult. Prin această simplă ecuație, vedem cât de mult valorează “factorul medical” în cadrul identității digitale, pentru interese de business intelligence.

Așadar, dacă acceptăm studiul făcut de către Boston Consulting Group în 2011, în care se proiectează că, în 2020, ansamblul datelor de bază ale cetățenilor UE (nume, prenume, data nașterii, sexul, cetățenia, domiciliul) va valora în jur de un trilion de USD, și multiplicăm aceste date cu așa-numitul “factor medical” (64 de ori), ajungem la 64 de trilioane de USD.

De la selecția naturală la selecția digitală a celor care supraviețuiesc

Asiguratorilor și prestatarilor privați de servicii medicale li se adaugă atotputernicul lobby al produselor farmaceutice, care au găsit doar în India, Brazilia și Africa de Sud în Stat un adversar suficient de democratic și puternic care să interzică măcar câteva din excesele cele mai flagrante, ca de exemplu costurile exorbitante propuse inițial pentru medicamente de veche generație proaspăt “rebrand-uite” înainte de data de expirare a brevetului, precum cele pentru tratamente ale HIV sau ale cancerului.

De luat în seamă este și interesul firmelor mari în momentul recrutării atât a angajaților de vârf, cât și a celor medii. Deja în SUA, refuzul din start al unui dosar de candidatură este până la 75% motivat de elemente ale vieții private ale candidatului, găsite prin OSINT de către departamentele de resurse umane ale companiilor. Cine ar vrea să angajeze o persoană atinsă de o boală incurabilă, chiar și dacă este vorba de cel mai bun candidat dintre toți?

Industria medicală și politicienii vrăjiți de mirajul digital

Într-o lume în care industria medicală și farmaceutică se află, ca greutate financiară, imediat dupa sectorul agro-alimentar (locul 1) dar și mult înaintea sectorului militar, se remarcă ușor cât de uriașe sunt interesele pentru această industrie ce prezintă o creștere exponențială a gamei sale de produse digitale, o sursă rapidă de bani, cu captivitate sporită a clientului (fie el un Stat sau un simplu bolnav).

Joaca cu așa-zisa “eficientizare a actului medical” prin mijloace IT si IoT a devenit o armă politică redutabilă. Pentru mulți aleși, costurile de implementare nu mai contează, în raport cu explicațiile date cetățenilor-alegători că implementarea totală a sistemului a permis reducerea numărului de bugetari, sau că aceștia lucrează mai bine.

Exemplul cel mai elocvent a fost cel citat în decembrie anul trecut la Roma, în cadrul conferinței naționale italiene e-Sanità, de către Graziano de Petris, Director pentru privacy al grupului medicalo-universitar “Spitalele Reunite” ale Provinciei Trieste. A fost vorba de direcția regională a unui grup de spitale din Italia, care, în grija sa de a eficientiza și fluidifica munca doctorilor, a cumpărat un stoc de brățări electronice ce permiteau tuturor doctorilor, în mod “touchless” să intre direct în sistemul informatic pentru a consulta dosarul clinic al pacienților lor pentru a adăuga în același dosar actul medical abia terminat sau tratamentul prescris.

Aceste brățări, care conțineau atât numele de utilizator cât și parola pentru a accesa datele din sistem, erau nesigure, devenind o sursă perfectă pentru un furt de informații, fără să fie nevoie să fie furate fizic de către un hoț. Culmea, brățările erau identice și ușor interschimbabile din greșeală între doctori, de exemplu în momentele de igienizare a mâinilor și brațelor, așa că erau și o sursă de informații inexacte despre doctorul real care a făcut actul real, care devenise, din greșeală, actul colegului său.

Culmea, Graziano de Petris a reușit să convingă definitiv direcția generală a spitalelor să retragă brățările din sistem în momentul în care a dovedit că timpul “câștigat” de fiecare doctor prin folosirea brățării era mai scurt de cinci minute pe zi.

În articolul lui Raoul Chiesa, puteți citi cât de ușor poate fi omorât un bolnav de inimă sau de diabet dacă spitalul unde a fost tratat i-a înmânat un pacemaker bluetooth sau o centură de insulină wifi.

Dacă Statele nu impun regulamente stricte, punem pariu că e-Heath în general și Internet of Things în domeniul sănătății vor deveni cel mai periculos izvor de scurgeri de informații și de malpraxis din sistem?

Nici nu e nevoie să punem pariu pentru că, în plus, statele și cetățenii vor arunca milioane pentru că orice pace-maker wifi va trebui schimbat la fiecare 4 ani, la fel ca laptopurile, pentru că nu vor mai corespunde noului sistem de operare, sau noilor versiuni de software impuse de fabricant.

Partea bună a legendei antice este că singurul spirit rămas în interiorul ulciorului, după ce acesta a fost reînchis cu greu de Pandora, a fost Elpis, tânărul spirit al speranței…

* Vorbim evident despre mitul numit “Cutia Pandorei”, o denumire acum folosită în toată lumea, dar eronată. Această denumire se datorează unei greșeli a marelui erudit Erasmus din Rotterdam la traducerea sa în latină a fabulei originale a lui Esiod. În limba greacă, Esiod folosește termenul “pithos” (ulcior de lut), citit “pyxis” (cutie de lut) de către Erasmus, acesta confundându-l probabil cu cutia Psychei, deschisă și ea împotriva ordinului strict al zeilor, un alt mit antic binecunoscut.

raoul

Raoul “Nobody” Chiesa

President, Founder, Security Brokers ScpA

Membro del Permanent sStakeholders Group presso l’ENISA (European Union Network & Information Security Agency)

Socio Fondatore del CLUSIT, Associazione Italiana per la Sicurezza informatica

Board of Directors dell’ISECOM, Institute for Security and Open Methodologies

Cultural Attachè e Responsabile Italiano dell’APWG, Anti-Phishing Working Group, European Chapter

Senior Advisor on Cybercrime and Hacker’s Profiling presso l’UNICRI, United Nations Interregional Crime & Justice Research Institute

Membro del Comitato Scientifico dell’OPSI, Osservatorio Privacy & Sicurezza Italiano presso AIP (Associazione Informatici Professionisti)

Scenariu

Ne aflăm în plină “eră digitală” (Digital Age), trăim într-o societate a informaţiei care vrea să fim online constant, conectaţi şi “sociali”: trecerea de la Web 2.0 la “the next thing” este gata să se întâmple. În acest scenariu ajunge, în toată Europa, e-Government, adică administraţia publică tinde să devină integral online, şi odată cu ea toate datele noastre de cetăţeni, deveniţi cu toţii digitali. Dar acest trend nu este nimic în comparaţie cu ceea ce urmează, adică paradigma Internet of Things (IoT) sau, cum este deja denumită de unii, Internet of Everything (IoX).

Acest IoX a apărut acum câţiva ani şi devine tot mai important pe zi ce trece, cu tot mai multe dispozitive pe care le purtăm asupra noastră, mult mai invazive decât Goggle Glass: de la pace-makere care comunică prin Bluetooth la pompe de insulină acţionate prin Wi-Fi, la automobile inteligente care se vor conduce singure (şi care oricum deja în ziua de azi au o adresă de IP), la electrocasnice, unde avem deja frigidere care emit spam-uri, până la varianta „urbană totală”, adică ceea ce numim smart cities. Să nu uităm, în acest context, de IPv6 şi de toate noile vulnerabilităţi pe care le va aduce cu el, aşa cum se întâmplă mereu cu fiecare nou protocol complex şi la fiecare nouă implementare.

Revenind la contextul de sănătate şi security, este evident că sănătatea devine şi ea digitală, aceasta fiind o evoluţie naturală. Această schimbare este însoţită de legi, normative şi decrete, dar şi de necesitatea de a optimiza timpii şi costurile sistemului medical central şi local, prin voinţa mişcării e-Governement a fiecărei ţări în parte dar şi prin îndeplinirea planurilor şi directivelor aprobate la nivelul Uniunii Europene.

Începem deja să avem probleme foarte serioase, ca de pildă cu anumite pace-makere sau cu pompele de insulină, unde vânzătorii din companiile IT de e-sănătate produc şi comercializează platforme, softuri şi sisteme absolut nesigure sau, mai elegant spus, al căror aspect de securitate al informaţiilor nu este nici pe de parte o prioritate.

Acest fenomen se întâmplă deoarece operatorii din domeniul sănătăţii nu au (în afara câtorva excepţii foarte rare) o viziune şi o educaţie suficientă asupra noilor provocări legate de ICT Security. Dacă observăm tendinţele din ultimii 2-3 ani, mai ales cele provenind din lumea ethical hacking dar şi a Cybercrime, sectorul medical este, cu siguranţă, una dintre următoarele ţinte cu risc foarte ridicat. Aceste informaţii trebuie să ne preocupe în acest context al IoX şi al dispozitivelor “implantate în corpul uman”!

Hacking-ul dispozitivelor medicale

Este suficient să căutăm pe Google “hacking medical devices” pentru a verifica şi a înţelege ceea ce am afirmat mai sus: în 2010, rezultatele acestei căutări numărau câteva sute de mii (reprezentative, adică, ale cercetării întreprinse atunci de comunitatea underground), iar în 2012 au ajuns la aproape trei milioane şi jumătate, pentru a ajunge azi la cifre care ating de la unul la patru milioane, în funcţie de ţara sau VPN-ul cu care se face căutarea.

În ceea ce priveşte faimosele pompe de insulină despre care am amintit mai sus, este incredibilă povestea lui Jerome Radcliffe, un ethical hacker, care a prezentat proiectul său “medical devices hacking” la Black Hat 2011. Când a împlinit 22 de ani, Jerome a pierdut dramatic din greutate în mai puțin de 2 luni, îi era sete continuu iar după o serie de analize, a descoperit că suferea de o formă foarte gravă de diabet.

Doctorul său i-a prescris injecţii de insulină, care trebuiau administrate între patru şi șapte ori pe zi. Folosirea unei seringi nu e confortabilă pentru nimeni, aşadar doctorul i-a propus un nou dispozitiv care iniectează în mod automat insulina în corpul uman. Acest dispozitiv era un dispozitiv “e-health”, adică copilul mariajului dintre progresul digital şi ştiinţa medicală şi era dotat cu comandă de la distanţă.

Jerome, fiind expert în domeniu, a hotărât să afle mai multe despre funcţionarea dispozitivului: a deschis un nmap dupa ce stabilise un link cu device-ul şi…, foarte puţin timp mai târziu, a prezentat descoperirile proprii la Black Hat, unind eforturile sale cu cele ale unei echipe de cercetători foarte cunoscuţi, printre care Travis Goodspeed, Shawn Merdinger şi regretatul Barnaby Jack (acelaşi care, tot la Black Hat, a adus un Bancomat pe podium şi l-a făcut să “scuipe bancnote” continuu).

Poveşti şi experienţe personale

În anul 2005 eram încă manager al primei firme înfiinţate de mine în 1997, când am fost contactat de un mare spital situat în Italia de Nord, care mi-a propus un contract de realizare a unei serii de Penetration Testings.

În domeniul medical, acest tip de verificări nu aveau precedent, datorită securităţii operative a gestiunii datelor pacienţilor şi mai mult, datorită instituirii obligativităţii actului normativ privind protecţia datelor personale, cunoscută de toţi în Italia sub numele de “196”.

Ceea ce descoperisem a fost – puţin zis – de-a dreptul halucinant, deoarece era pe departe cel mai prost nivel de securitate întâlnit, mai prost chiar decât cel al universităţilor italiene!

Dupa 3 ani de activităţi derulate în mod ciclic şi de activităţi punctuale (fiindcă securitatea este, înainte de toate, o metodologie organizată și procedurală), am reușit cu toţii să facem ca spitalul amintit să devină, ceea ce este încă şi azi, o mica bijuterie ICT security în acest sector.

Mai târziu, am fost contactat împreună cu echipa mea de alte structuri judeţene de sănătate şi de o serie de clinici private, pentru a verifica mai multe alte aspecte, printre care infidelitatea angajaţilor prin abuzul de utilizare a dispozitivelor IT şi verificarea scurgerii de informaţii medicale ce puteau fi vândute de insiders (digital forensics) precum și compliance în relația cu normele şi standardele în vigoare, mai ales cu cele din străinătate, unde sensibilitatea privind siguranţa în acest domeniu este mult mai mare.

Piața, inclusiv cea italiană, este foarte mare şi nu toate structurile medicale au capacitate de anticipare, chiar dacă acest lucru e foarte necesar. În iulie 2012, o structură judeţeană de sănătate din Italia de Nord a hotărât să fie “on-line”. Această decizie a fost dramatică, toate dosarele medicale ale pacienților s-au dovedit a fi accesibile de către terți (prin Internet), din cauza problemelor legate de SQL Injection (vulnerabilitate bazată pe web prin lipsa de securizare a input-urilor de către front-end-ul Web).

Puțin mai devreme, în 2011-2012, alte exemple (publice şi cunoscute) de “black-box security testing” şi de “reverse engineering” aplicate la produsele medicale au avut o creștere total neprevăzută. Lumea din “digital underground” a descoperit noile “jucării” cu care să se amuze. În aceste condiţii s-a apelat la  cercetători din domeniul security, iar descoperirile de fisuri şi vulnerabilităţi au început să plouă, – o adevărată furtună!

Dacă ne uităm un pic încă și mai devreme şi considerăm perioada din 2009 până azi, răspunsurile (cel puțin cele făcute publice) date de marii vendori ai lumii e-Health au fost egale cu zero.

Nicio deschidere publică pe tema vulnerabilităţii, nicio comunicare asupra “security patch”, nicio dezbatere cu experţi din domenii precum  InfoSec sau Ethical Hacking!

De parcă, dacă i-am asculta, abordarea clasică (şi complet greşită!) a “Security through Obscurity” ar funcţiona…

Problematici

Fără să ne întoarcem în timp atât de departe, revenim la datele medicale, la FSE (Fascicolo Sanitario Elettronico), de unde pleacă totul, bun sau rău, adică unitățile spitaliceşti judeţene, spitelele şi structurile medicale care gestionează dosarele noastre medicale.

Înainte să intrăm în detalii tehnice, trebuie să aruncăm o privire asupra organizării şi gestionării sănătăţii şi a motivelor atâtor disfuncționalităţi în domeniul digital:

  • structurile medicale (exact ca şi operatorii de telefonie mobilă) au încredere în ceea ce le spune vendor-ul în ceea ce priveşte “soluțiile sigure”;
  • operatorii structurilor medicale sunt prioritar focalizaţi şi implicaţi în operaţiuni tipice ale lumii medicale, cu o apreciere sporită către upgrade-uri de software, performanţe de reţea şi continuitate a aparatelor medicale, dar şi alte obligaţii de rutină foarte consumatoare de timp…
  • aceşti operatori dispun foarte rar de cunoștinţe in-house asupra tematicii ICT security;
  • în mod tipic, în structurile medicale, există o separare foarte rigidă între divizia de IT (sistemele informatice) şi “toți ceilalţi”, generând de fapt două domenii diferite de security;
  • rezultatul aceastei abordări este că cea mai mare parte a acestor structuri medicale sunt vulnerabile la atacuri externe şi interne.

Nu trebuie uitat în plus că, în cadrul licitaţiilor publice din Italia, factorul decisiv este întotdeuna preţul şi politica de a scrie dosarele de licitaţii “ad minima”; foarte rar citim în licitaţii vocea “securităţii informatice” sau impunerea explicită a metodologiilor de verificare a siguranţei precum cele ale OSSTMM/ISECOM (www.isecom.org și www.osstmm.org) sau OWASP (www.owasp.org) şi încă mai rar găsim o obligaţie clară de a implementa framework-uri ale S-SLDC (Secure Software Life Development Cycle).

Cu tot ceea ce am descris, concluzia este că, în general, atât software-ul cât şi aplicaţiile web (portaluri, CMS, front-end și back-end) care sunt vandute administraţiei publice de către firmele private sunt nesigure, pline de viermi şi de greşeli de programare, inclusiv cele mai cunoscute şi “clasice”, precum SQL Injections, Cross-Site Scripting etc.

Cazul ASL (i.e. unitate medicală judeţeană)

În Repubblica Inchieste a fost publicat recent un dosar special dedicat furtului de identitate, la care am lucrat personal cu jurnalistul Alessandro Longo.

În acest dosar special, printre multe alte subiecte şi cazuri prezentate, se vorbeşte despre un ASL şi despre date ale pacienţilor care sunt expuse şi accesibile publicului.

E vorba de un oraş de mărime medie din nordul Italiei, de circa 200.000 locuitori. Nici prea mare, nici prea mic. Într-un astfel de loc, probabil lăsat de o parte de către mafia licitațiilor trucate şi a puterilor transversale, ar fi de aşteptat să se acorde o atenţie deosebită securităţii datelor cu caracter personal ale cetăţenilor săi şi selecţiei de companii de software care scriu aplicaţii şi proceduri pentru a le gestiona.

Din păcate, Repubblica Inchieste a reuşit să obţină informaţii foarte clare din diferite surse, care reprezintă dovezi concrete şi incontestabile ce denotă o situaţie cel putin catastrofală: scenarii teribile, situații care merg mult mai departe decât o simplă jenă pe care ar avea-o ASL dacă ar fi cunoscute de către rău-voitori, traficanţi de date personale şi lumea obscură a Cybercrime.

Când, acum câteva luni, am fost contactaţi de către un informator, ne așteptam la ceva îngrijorător. Ne gândisem la clasica fisură de securitate în codul software utilizabil de către cetăţeni, la capacitatea atacatorilor de a citi, sau chiar a modifica datele personale ale pacienţilor: domiciliu, telefon, numere de securitate socială, date ale rudelor etc.

Realitatea faptelor despre care am aflat și pe care le-am verificat cu grijă, relevă cel mai teribil scenariu posibil de imaginat. Aș putea spune că rezultatele ne amintesc foarte mult de filmul “The Net” cu Sandra Bullock… dar, din păcate, noi nu suntem la Hollywood şi aici nu este vorba despre un film.

În continuare, am încercat să rezumăm lista acţiunilor comise şi consecinţele lor pentru pacienţi:

  • Adăugarea unui pacient în baza de date ASL;
  • Ştergerea unui pacient din baza de date ASL;
  • Crearea unei programări CUP la această unitate medicală, fără să stăm la coadă şi, mai mult, fără să plătim nimic;
  • Ştergerea unei programări CUP: în acest caz, vulnerabilitatea informatică are consecinţe grave în lumea reală. Să ne imaginăm programarea efectuată cu trei luni înainte de către un pacient care, cu o zi mai târziu, are şi o vizită la cardio-chirurg. Rău-voitorul poate efectua o substituţie în dosarul pacientului, astfel încât, atunci când se va prezenta pacientul real, programarea sa să fie respinsă, pentru că doctorul așteaptă o altă persoană. Ca şi când nu ar fi suficient, în plus de dauna suportată, vine şi jignirea: în cazul în care pacientul real face o contestaţie, el nu se va putea baza pe nimic decât pe o programare anulată de sistem, pe cand pacientul “adăugat” va avea în mâna sa documentul ştampilat cu o programare validă. Cu aceste date, putem lansa şi ipoteza unei vânzari de programări de către grupări criminale, structurile medicale nemaistăpânind propriul sistem informatic.
  • Adăugarea unei plăţi care nu a fost făcută niciodată, pentru unele prestaţii (examen medical, analize, etc.): în acest caz, posibilitatea pentru criminali de a folosi fisura informatică pentru a face bani uşor, este foarte concretă.
  • Accesarea istoricului tuturor programărilor efectuate de pacienţi în orice structură a unităţii medicale menţionate: examinări, vizite, analize, operaţii…. Totul!

În acel moment, ne-am stabilit întrebările şi ne-am imaginat unele scenarii, cu siguranţă nu plăcute pentru cei care au ghinionul de a fi înscrişi în acest ASL al ţării noastre.

CE AR PUTEA FACE CRIMINALII CU ACESTE DATE?

Desigur, o astfel de arhivă de date va fi apetisantă pentru o mulțime de persoane, din motive şi obiective foarte diferite. Un prim comentariu al nostru este, evident, legat de piaţa neagră a datelor personale în lumea infracțiunilor, adică acele date esenţiale pentru a crea fraude financiare precum cele pe care Repubblica le ilustrează în alte servicii de anchetă.

Presupunând totuşi, alte scenarii ilegale, am explicat această situaţie unui tânăr expert în securitate informatică, Pawel Zorzan Urban, şi i-am cerut opinia.

“Mă pot gândi imediat la revânzarea ilegală a acestor date”, spune Zorzan Urban, “poate unui cumpărător care poate asigura un profit ridicat. Să ne gândim la lumea asigurărilor, să ne imaginăm că asigurarea analizează posibilitatea de a accepta asigurarea de viaţă a unui client”.

“Din datele achiziţionate de la ASL, asiguratorul află că clientul face câte o vizită oncologică la fiecare şapte zile. Acest exemplu nu ne împiedică desigur să ne gândim la scenarii mai clasice”, continuă Pawel Zorzan, “cum ar fi vânzarea acestor date unor grupuri specializate în furtul de identitate. Baza de date de care mi-aţi vorbit, de fapt, conţine toate datele necesare pentru cei care comit furtul de identitate, deoarece sunt prezente în arhivele digitale ale acelui grup spitalicesc datele fiecărei persoane care a fost, chiar şi numai o singură dată, într-una dintre secţiile medicale din grup”.

Să ne imaginăm acum un scenariu diferit: haideţi să luam un orăşel cu un primar foarte expus, fie pentru că aparţine unui anumit partid politic, fie din alte motive. Ideea de a pune online datele private ale acelui primar şi ale familiei sale aminteşte de strămoşeasca “expunere pe căruţă” (condamnatul era legat pe o căruţă şi expus la înjurături, huiduieli şi scuipat de către cetăţeni, n.d.r.) în variantă digitală şi 2.0.

Pe de altă parte, vorbim despre un ASL cu aproape 500.000 de pacienţi activi şi circa 25.000 dintre ei cu programări active pentru următoarele 60 de zile de la data discuţiei…

Nu sunt numere mici şi este de reţinut faptul că daunele unei astfel de falii informatice sunt incalculabile. Dacă această situație va fi făcută public, să nu ne mirăm dacă se va depune un recurs colectiv în judecată împotriva grupului medical amintit mai sus, aşa cum deja a fost cazul şi este des cazul în SUA, în mai multe sectoare, printre care şi cel financiar, exact din cauza vulnerabilităţilor informatice.

În fine, nu putem exclude o luare de poziţie serioasă din partea Garantului Italian al Datelor Personale, care foarte probabil ar începe cu amenzi usturătoare la adresa structurii medicale incriminate, obiectul investigaţiei noastre.

Ceea ce ne întrebăm acum, însă, merge mult mai departe decât acest exemplu. Câte grupuri medicale din țară şi din străinătate expun în mod atat de iresponsabil datele pacienţilor? Câţi tineri hackeri au identificat deja fisuri în multe alte site-uri web ale administraţiei publice şi/sau au profitat deja să vândă pe bani grei rezultatele  obţinute de către grupări organizate de cybercrime.

Concluzii

  • Domeniul Information Security aplicat lumii e-Health este în fază preistorică.
  • Există o nevoie extremă şi imediată de:
    • cercetare aplicată,
    • teste de securitate a dispozitivelor (Ethernet, WiFi, Bluetooth, ZigBee…),
    • teste de securitate a software-ului, (poate chiar înainte de a fi cumpărat!),
    • sensibilizarea publicului din domeniu,
    • cultură şi conştientizare atât a personalului informatic cât şi medical şi mai ales cel managerial.
  • Problema este foarte diferită faţă de cea a ICT Security din lumea financiară, TLC etc…, pentru că aici vorbim în special de vieţi umane aflate în joc!

EDITIE SPECIALA – INTERNET OF THINGS

1499
Pierluigi Paganini Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information...

1245
Mika Lauhde Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia...

2192
Ioan-Cosmin MIHAI Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things...

1327
autor: Jean Christophe Schwaab Recent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu...

1277
Laurent Chrzanovski Anul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către...

1271
Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română,...