CON UN CLIC TI VIOLO UNA ASL

"Basta un clic per violare una Asl"
di ALESSANDRO LONGO - La Repubblica
C'è una città di media grandezza, nel Nord Italia, dove un qualsiasi malintenzionato con un po' di dimestichezza con il computer può manipolare a piacimento la lista degli assistiti dal servizio sanitario pubblico. È quanto ha scoperto un hacker ventenne e l'ha riferito a Repubblica, sotto la garanzia dell'anonimato, fornendo le prove di quanto è possibile fare con pochi clic. Il tutto, su una Asl con 500mila pazienti attivi e poco meno di 25mila prenotazioni previste tra novembre e dicembre 2014.

Tutto per colpa di un livello di sicurezza che rasenta lo zero. A quanto risulta, il problema è sorto quando - già mesi fa- si è deciso di rimuovere la richiesta di password in un passaggio fondamentale per l'accesso a quei dati. Motivo? Semplificare il servizio a farmacisti e medici che devono accedere al database. In passato, infatti, i gestori del sistema erano tempestati da telefonate di chi aveva dimenticato la password. Insomma, è come se si decidesse di togliere una serratura solo perché c'è qualcuno che continua a dimenticarsi le chiavi. Adesso basta conoscere la porta giusta e con una spinta chiunque può entrare.

Non possiamo dare ulteriori dettagli sul problema, perché questa falla non è ancora stata risolta (ma Repubblica ne ha correttamente avvisato la Polizia Postale). Possiamo però dire che chiunque, da qualunque computer, può adesso rimuovere un paziente dal database dell'Asl; creare una prenotazione Cup presso la stessa Asl, senza fare code e senza pagarla. Ma anche, persino, accedere allo storico di tutte le prenotazioni fatte dai pazienti: esami, visite, prelievi, operazioni. È possibile anche rimuovere una prenotazione Cup: in questo caso la vulnerabilità informatica ha conseguenze gravissime nel mondo reale. Immaginiamo infatti una prenotazione fatta tre mesi prima da un paziente per una visita dal cardiochirurgo. Il malintenzionato potrebbe sostituirsi al paziente, sfruttando quella falla informatica.

Ma quali vantaggi potrebbero ricavarne i criminali? Numerosi. "Un simile archivio di dati farebbe gola a tantissime persone, per esempio per venderli al mercato nero dei dati personali", spiega Pawel Zorzan, esperto di sicurezza informatica, di origini polacche, anche se vive e lavora in Italia. "Pensiamo infatti al mondo assicurativo; immaginiamo un'assicurazione che sta pensando se accettare o meno l'assicurazione sulla vita di un cliente. Dai dati acquistati della Asl l'assicurazione verrebbe invece a scoprire che il cliente effettua, ogni sette giorni, una visita oncologica", continua. "Uno scenario più classico è la vendita di questi dati a bande specializzate nei furto di identità. Il database di cui mi avete parlato, infatti, contiene tutti i dati necessari a chi compie furti di identità".