condivisione dei dati elettronici in medicina -Vellucci

” La condivisione dei dati elettronici in medicina: sicurezza e privacy”

Francesco Vellucci

Comitato di Consulenza Società Italiana Telemedicina e sanità elettronica

Roma, 4 dicembre 2015

09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy

ing Francesco Vellucci 2

• I Medici raccolgono ed utilizzano dati sia nel proprio PC che in database di varia tipologia

• I Medici condividono dati con banche dati istituzionali, in cloud sul web, con altri Medici, con Pazienti, usando dati simili con finalità sanitarie ma anche amministrative

• L’approvazione del Fascicolo e del Dossier sanitario offre ulteriori indicazioni alla condivisione dei dati sensibili e sanitari

Alcune constatazioni

Gestire appropriatamente tali dati può essere complesso e non immediato.

Condividere i dati elettronici in medicina li espone maggiormente, e aumenta la possibilità che vengano diffusi

illegittimamente e/o che vengano alterati nei contenuti.

Servizi Provider

ADSL - Fibra

Wi-FI NFC

4G Bluetooth

Storage on line

Drop box

Private Cloud

Connessioni dirette con Pazienti

Monitor CHAT

Servizi ASL

FSE Dossier Servizi INPS

Certificati

Servizi Aziendali

MDM Wiping

Servizi di Store

App Store

Play Store

WEB Store

I canali di condivisione sono sempre più sofisticati

Servizi di Messaging



• Novembre 2015: Rapporto Forrester Research sulla Cybersecurity: La più rilevante delle predizioni relative alla cybersecurity per il 2016 é: "We’ll see ransomware for a medical device or wearable."

Le difese non sono ancora sufficientemente robuste



• Settembre 2015 S.Erven e M.Collao - Derby Con 5.0 (Kentucky): Una honeypot, costituita da un sistema MRI e da un defibrillatore, è stata attaccata in 6 mesi 55.416 volte da 299 malware.

If you're on morphine and you can figure out how to hack your own pump" then medical device security clearly "isn't very good," Evren said.

21

Ott

ob

re 2

01

5

La Sanità è al centro dell’attenzione!



Esiste un mercato delle informazioni personali



Significa, almeno:

1. Comprendere la tipologia dei dati che si vuole condividere

2. Riferirsi alle disposizioni di legge applicabili a dette tipologie

3. Adottare le misure adeguate alla protezione dei dati

condivisione responsabile

Vi sono altri aspetti che rendono più o meno efficace la condivisone dei dati: la loro interoperabilità e fruibilità. Ma non ne parleremo

cosa estraggo da pdf, se non sono presenti metadati sui contenuti?

• Dati personali - Dati sensibili - Dati sanitari

• Codice in materia di protezione dei dati personali • Codice civile

• Misure minime e Misure idonee ad evitare potenziali

«danni» a terzi.

In primo luogo occorre aver chiaro il tipo di dato e la finalità per la quale è utilizzato, anche e soprattutto nel momento in cui lo condividiamo.



Dati personali: qualunque informazione relativa a persona fisica, che può condurre alla sua identificazione, anche indirettamente mediante riferimento a qualsiasi altra informazione. Se i dati personali sono idonei a rivelare lo stato di salute e la

vita sessuale, sono dati sensibili

Sei dati sensibili, sono contemporanemente: 1) a contenuto sanitario, 2) trattati da organismi sanitari o da professionisti sanitari 3) usati al fine di proteggere la salute dell’individuo, di soggetti terzi o della collettività, allora sono Dati Sanitari

1. Comprendere la tipologia dei dati da condividere

Per ciascuna tipologia è previsto l’obbligo o meno della richiesta di consenso all’Interessato ed il coinvolgimento o

meno del Garante.



Oltre alla richiesta di Consenso e alla gestione della corretta Informativa, la 196 prevede l’adozione delle misure minime di sicurezza (all. tecnico B) e di quanto necessario per la protezione dei dati Personali. Tra queste:

In arrivo Nuovo Regolamento Europeo concernente la Protezione dei Dati Personali

Codice in materia di protezione dei dati personali

2. Riferirsi alle disposizioni di legge applicabili

• Utilizzo di un sistema di autorizzazione contro il rischio di intrusione e dell'azione di programmi malevoli.

• Adozione di tecniche di cifratura o di codici identificativi per i trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari

• utilizzo di credenziali di Autenticazione, e loro gestione • login + password o dispositivo di autenticazione, o caratteristica

biometrica. Password: min. 8 caratteri



Le misure minime vanno lette e implementate alla luce degli aggiornamenti tecnologici

Vanno trasformate in Misure Idonee, in linea con le evoluzioni tecnologiche, adatte ad assicurare la protezione dei dati oggetto del trattamento. Art. 15. Danni cagionati per effetto del trattamento • Chiunque cagiona danno ad altri per effetto del trattamento di dati

personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile.

Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno. due diligence proattiva

3. Adottare le misure idonee

Il concetto di «danno» aumenta gli aspetti da proteggere



Proteggere le Informazioni, condivise e non, significa adottare tutti gli accorgimenti necessari a ridurre il rischio che possano avvenire furti,

manipolazioni, distruzione, alterazione, impedimento all’accesso delle informazioni

Proteggere le Informazioni significa anche proteggere le funzionalità operative degli strumenti utilizzati (ad es. le app

mediche, i sistemi diagnostici e analitici, i sistemi di comunicazione con il Paziente)

Security promotes Safety

Quindi, non solo Riservatezza (privacy) ma anche Integrità (affidabilità) e Disponibilità (accessibilità)




I dati sensibili e sanitari, condivisi o meno, vanno tutelati da 3 punti di vista complementari:

mantenere la segretezza modifica solo chi

è autorizzato

assicurare che le Informazioni e le infrastrutture siano accessibili quando occorre.




Es: evitare che un piano cure, un dosaggio, una

diagnosi possano essere alterati!

Es: impedire la diffusione non

autorizzata di una diagnosi, prescrizione.

Evitare di non poter accedere a dati indispensabili in emergenza.

Non ripudio garanzia

legale del mittente

Es: Assicurare il Paziente che io sono proprio io

Proteggere gli accessi

Username e password non è gran ché. • Le password non dimostrano che Mario Rossi è davvero Mario Rossi

ma solo che la persona che usa lo username di Mario Rossi ha digitato la pw corretta.

• Sul web è facile camuffare l’identità impersonificazione. • Spesso si riusano le stesse password usati per siti non riservati per

accedere a siti più “sensibili”,!

Username e password non bastano se si trattano informazioni mediche, bancarie, etc!

Dobbiamo iniziare a ragionare di classificazione e di livelli di sicurezza: poiché non è possibile proteggere tutto nello stesso

modo, proteggiamo meglio ciò che è più importante




L’Italia ha elaborato lo SPID (Sistema Pubblico per la gestione dell’Identità Digitale), che prevede tre tipologie identità:

• primo livello: se “rischio moderato” pin/password

• secondo livello: se “rischio ragguardevole” : identità a doppia credenziale, tipo banca password e codice (es: OTP)

• terzo livello, se «rischio molto alto» verifica di due fattori (credenziali) basati su certificati digitali e chiavi private su dispositivi conformi ai requisiti di sicurezza delle norme comunitarie sulla firma digitale.

Proteggere gli accessi




Un riferimento:

Ma se ci «limitiamo» a controllare l’accesso ai dispositivi, ai server, agli archivi, facciamo solo una parte del lavoro. • Anonimizzare i dati:

• Pseudonimizzazione • Aggiunta di rumore statistico • Sostituzione • …..

Potenziale identificabilità dei dati resi anonimi: Inferenza

Quando un soggetto deduce la storia completa di ciò che ha saputo attraverso l'aggregazione di informazioni. E’ la capacità di ricavare

informazioni non esplicitamente disponibili. E i motori di ricerca hanno quantitativi enormi di informazioni

I profili di dati genetici … a rischio di identificazione se l’unica tecnica utilizzata è l’eliminazione dell’identità del donatore….. la combinazione di risorse genetiche pubblicamente accessibili (ad es., registri genealogici, necrologie, risultati delle interrogazioni dei motori di ricerca) e di metadati concernenti i donatori di DNA (data della donazione, età, luogo di residenza) possono rivelare l’identità di determinate persone, anche se il DNA è stato donato “in forma anonima”. (GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI)

Proteggere la Riservatezza




• Sta diventando sempre più user friendly

• Un file criptato potreste metterlo anche su Drop Box, con buona sicurezza!!

• La «forza» della criptazione risiede, per quanto riguarda l’Utente, nella robustezza della password usata.

• La password può essere rubata e va protetta.

Criptare i dati

Proteggere la Riservatezza




E’ possibile proteggere, con appositi algoritmi, sia l’Integrità che la Provenienza dei dati, anche in modo indipendente

Possono leggere in molti ma il Destinatario è certo che il

documento gli è arrivato dal Mittente e che corrisponde a

quanto inviato.

Solo il Destinatario può leggere, ed è certo che il documento gli è arrivato dal Mittente e che corrisponde a quanto inviato.

La Firma Digitale protegge entrambi

gli aspetti

Se si aggiungere la criptografia si garantisce anche la Riservatezza




Condivisione dei dati via cloud

le perplessità:

• Rischi derivanti da giurisdizioni diverse dalla italiana

• lock in: quanto mi lego ad uno specifico provider

• Mancato isolamento tra i dati di clienti diversi

• Possibilità di insider malevolo presso il cloud provider

• E-discovery: acquisizione di dati a fini giudiziali

Se possibile criptare in proprio le informazioni prima di trasferirle al cloud.

I vantaggi: disponibilità ovunque, sincronizzazione tra i dispositivi, minore gestione…



whatsapp

Da una ricerca dell’8 ottobre 2105 dell’Imperial College London team risulta che Il 65% dei Medici usa “messaggiare” testi e il 46% anche immagini a colleghi

Chiediamoci:

• il messaggio è inviato al numero GIUSTO?

• Avete inserito solo dati anonimizzati?

• Vi siete ricordati che, anche se Whatsapp nell’ultimo anno ha introdotto la criptazione “end to end”, dovete fidarvi quantomeno del Provider (es: Whatsapp) e della sua sicurezza?

• Avete disabilitato la visione dell’ultimo accesso a “Tutti”?

Condivisione dei dati via Messaging



• Avete presupposto che tutti i contenuti su Internet sono pubblici e accessibili a tutti?

• Vi siete ricordati che un Paziente Anonimo potrebbe essere comunque identificato attraverso una serie di altre informazioni, ad es. una descrizione delle condizioni cliniche, zona di residenza…etc. ?

• Siete disposti a lasciare che i vostri dati alimentino gli ANALYTICS ?

Condivisione dei dati via Social



Conclusioni

La situazione è molto complessa e richiede attenzione su più fronti. • A livello Professionale: aumentare la consapevolezza (Sanitari, Care

Givers, Cittadini, Istituzioni, Pazienti)

• Abituarsi a classificare il livello di riservatezza e criticità dei dati, così da poter adottare le misure di protezione idonee

• Adottare comportamenti opportuni di sicurezza

• A livello dei Produttori: operare per il miglioramento della usabilità delle interfacce applicative, per criptare e anonimizzare in primis

• A livello Istituzionale: • individuare e far applicare regole per la validazione dei software e

hardware medicali, apps in primo luogo.

• Promuovere Servizi di Verifica, anche online, delle vulnerabilità presenti nei sistemi informativi usati da professionisti ( PC, smartphone, tablets..). occorrono tariffe accettabili ed efficienza.



Grazie francesco. [email protected]

Documents

condivisione dei dati elettronici in medicina -Vellucci