17 Maggio 2012 | Exposanità Tutela della privacy del ... · dati soggetti alla legge della privacy...

Tutela della privacy del cittadino e della sicurezza dei dati sensibili nell'era del cloud computing

17 Maggio 2012 | Exposanità

Nuove soluzioni e tecnologia per il Dossier Sanitario e il Fascicolo Sanitario Elettronico

Alessandro Vallega, Oracle / [email protected]

Exposanità 2012 Alessandro Vallega, Oracle / Clusit

Agenda

• Sicurezza e privacy come soluzione architetturale per il Fascicolo Sanitario

Elettronico e il Dossier Sanitario

• Community Cloud per un operatore italiano di “FSE as a Service”

• Come realizzare Open Data

1. SICUREZZA E PRIVACY COME

SOLUZIONE ARCHITETTURALE


Una risultanza del GdL Garante FSE

• Deliverable pubblico di 15 tra

aziende, studi legali ed associazioni

appartenenti alla Oracle

Community for Security

• Approccio multidisciplinare

(approccio legale, tecnologico,

audit, standard e best practice)

• Non reinventarsi la ruota,

distinguendo l’applicazione

dall’architettura

http://fse.clusit.it/pages/Homepage.html

Ris

chio

ed

op

po

rtu

nit

à

Innovazione

Apps Data

Mobile

Computing

ile

putinggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggngggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggg

Social

Computing Cloud

Computing

2010s

Remote Access

B2B Collaboration

Data Centers

2000s

E-Commerce

Web 1.0

1990s

Soluzioni architetturali garantiscono

sicurezza ed evoluzione tecnologica

Alessandro Vallega, Oracle / Clusit

I vantaggi delle soluzioni basate

sull’architettura vs make

Pro

• Qualità (che eccede le aspettative)

• Robustezza, scalabilità

• Evoluzione, innovazione

• Sicurezza

• Riuso dell’experienza globale

• Standardizzazione

• Responsabilità del fornitore

• Costo di replica inferiore

Contro

• Costo iniziale

• Adattabilità a scelte

aziendali pregresse

• Affidamento ad un fornitore

• Integrazione e

mantenimento dei

componenti (point product

vs suite)


interessati

titolare / responsabile

incaricato

dati personali

do

ssie

r s

an

ita

rio 1

2

3

4

Fasc

ico

lo

san

ita

rio

regione 5

6 Indici o dati personali

7

8

Tecnologie utilizzabili nel FSE


interessati


incaricato

dati personali

do

ssie

r s

an

ita

rio 1

2

3

4

Fasc

ico

lo

san

ita

rio

regione 5


7

8

Aspetti di processo Aspetti tecnologici

1 Ospedali e cliniche private secondo la

norma sono Titolari del trattamento dei

dati soggetti alla legge della privacy



interessati


incaricato

dati personali

do

ssie

r s

an

ita

rio 1

2

3

4

Fasc

ico

lo

san

ita

rio

regione 5


7

8



2 I Titolari o i Responsabili autorizzano tra il

proprio personale (gli Incaricati) che hanno

la possibilità di trattare i dati sensibili degli

interessati. Tale nomina implica

l’abilitazione a specifici sistemi informativi

(informatici o manuali) distinguendo gli

accessi ai dati sanitari da quelli personali

per svolgere funzioni amministrative

Le tecnologie coinvolte riguardano:

· Autenticazione ed autenticazione forte per assicurarsi dell’identità degli Incaricati

· Autorizzazione ed autorizzazione a grana fine per consentire l’accesso ai soli dati

pertinenti il proprio lavoro

· Provisioning e deprovisioning rapido ed automatico degli account per il turn over

· Audit ed attestazione degli account per verificare ed approvare chi affettivamente ha

accesso a cosa e tenerne lo storico


interessati


incaricato

dati personali

do

ssie

r s

an

ita

rio 1

2

3

4

Fasc

ico

lo

san

ita

rio

regione 5


7

8



3 Nello svolgere il lavoro di refertazione e

creando la documentazione sanitaria

corrispondente, si viene a costituire presso

l’organizzazione e i sistemi informativi del

Titolare il dossier sanitario della persona

(così detto per il fatto di ricadere nella

responsabilità di un unico titolare)

La norma e il buon senso prevedono di proteggere accuratamente il dossier sanitario e, oltre al

controllo degli accessi in senso stretto, si prevedono:

· Criptazione del dato a riposo (nel database, filesystem o dei documenti) o in

trasmissione (tra il database server e l’application server e tra questo e i client)

· Firewall di rete, applicativi e di database per controllare le vulnerabilità applicative e

impedire gli accessi fraudolenti

· Controllo, analisi e reporting degli accessi (log management e fraud management) delle

utenze normali e privilegiate (amministratori di sistema)


interessati


incaricato

dati personali

do

ssie

r s

an

ita

rio 1

2

3

4

Fasc

ico

lo

san

ita

rio

regione 5


7

8



4 Il dossier riguarda un cittadino / paziente

(Interessato) e diversi dossier sono

costituiti per lo stesso interessato presso

diversi Titolari.


interessati


incaricato

dati personali

do

ssie

r s

an

ita

rio 1

2

3

4

Fasc

ico

lo

san

ita

rio

regione 5


7

8



5 Con la costituzione del FSE regionale viene

a crearsi un raccordo tra i diversi dossier

per permettere di realizzare il concetto di

carta di identità elettronica auspicato entro

il 2012 dal Governo. I documenti / dati che

costituiscono il dossier oppure

(preferibilmente) gli indici ma non i

contenuti di dettaglio, confluiscono nel

database regionale.

In occasione dell’interscambio informativo tra la Regione ed i diversi Titolari per produrre il

FSE sono necessarie tecnologie quali:

· Protezione del canale di comunicazione tramite tecnologie di criptazione del traffico

· Autenticazione ed autorizzazione, protezione e controllo dei web services che

implementano le interfacce tra le applicazioni.


interessati


incaricato

dati personali

do

ssie

r s

an

ita

rio 1

2

3

4

Fasc

ico

lo

san

ita

rio

regione 5


7

8



6 Il fascicolo sanitario elettronico è costituito

nel sistema informativo regionale.

Le tecnologie di sicurezza già analizzate per il Dossier rientrano interamente in gioco. Essendo

che il FSE centralizza tutti i Dossier esso rappresenta un punto maggiormente critico

dell’infrastruttura rispetto alla sicurezza. Si evidenzia in particolare la database security


interessati


incaricato

dati personali

do

ssie

r s

an

ita

rio 1

2

3

4

Fasc

ico

lo

san

ita

rio

regione 5


7

8



7 Un operatore sanitario

autorizzato accede ai

dati del FSE e tramite il

FSE ai documenti che

costituiscono i dossier.

A questo punto è opportuno considerare una serie di tecnologie che riguardano l’autenticazione, l’autorizzazione

e la trasmissione sicura. Per diversi aspetti esse forniscono una serie di servizi importanti da utilizzare di concerto

nello strato applicativo. In particolare:

· La strong autentication garantisce dell’identità degli operatori sanitari (e degli assistiti qualora

l’autorizzazione avvenga in ragione della loro contemporanea presenza)

· L’autenticazione per il FSE può essere realizzata sul sistema FSE (creando un ulteriore ed ennesima coppia di

user / password per gli addetti con tutti i rischi connessi) oppure delegata al sistema del titolare creando una

relazione di fiducia tra le due organizzazioni (identity federation) e tramite enterprise single sign-on

· Inoltre è utile il provisioning e soprattutto il deprovisioning degli account del FSE realizzato attraversando

con un unico processo informatico i confini organizzativi della Regione e dei Titolari (identity management)

· L’autorizzazione all’accesso dell’operatore viene fornita in ragione del fatto di essere “il mio medico”, o di

essere con me o di aver ricevuto una specifica autorizzazione (nominativa oppure contestuale come nel caso

di appuntamento per visita specialistica) temporanea o illimitata (autorizzazione basata su entitlements)

oppure in caso di urgenza come al pronto soccorso (log management ed exception management)

· L’autorizzazione riguarda i soli dati di pertinenza e non oscurati e nasconde anche l’oscuramento.


interessati


incaricato

dati personali

do

ssie

r s

an

ita

rio 1

2

3

4

Fasc

ico

lo

san

ita

rio

regione 5


7

8



8 L’interessato consulta il proprio FSE e i

documenti che lo costituiscono e fornisce o

revoca l’autorizzazione all’accesso agli

operatori sanitari tramite un’applicazione

web o mobile sicura

Le tecnologie da utilizzarsi riguardano ancora una volta:

· Quelle di strong autentication eventualmente basate su one time password (ricezione di

un sms su un device indipendente)

· Quelle che proteggono le applicazioni nel caso di vulnerabilità del browser o della rete o

nel caso di phishing (frauds detection e access management / sql injections).

Inoltre è opportuno utilizzare le migliori pratiche di programmazione sicura delle applicazioni.


Specifici riferimenti normativi alla cifratura del dato


Misure minime vs Misure idonee

• Attenzione al significato delle parole!

– Minima = Minima

– Idonea rispetto al profilo di rischio, evoluzione tecnologica, tipo di

dato trattato....

– Minima specificate nell’allegato B e nei provvedimenti specifici,

definite per legge, all’atto pratico più statica, profilo penale e

amministrativo

– Idonea definita in funzione di un’analisi del rischio, più legata allo stato

dell’arte, best practice, profilo civilistico

• Profilo di rischio


Tratti comuni alle diverse leggi / norme

Elemento Ambito Impatto

Autorizzazione ed

autenticazione

Tecnologico Gestione delle identità e

dell’accesso

Protezione del dato Tecnologico Sicurezza del database

Adozione delle best

practice e Analisi del

rischio

Organizzativo Information Security Management

Systems (es. ISO 27000)

2. COMMUNITY CLOUD PER UN

OPERATORE ITALIANO DI “FSE AS A

SERVICE”


Una risultanza del GdL Privacy Cloud

https://privacycloudmobile.clusit.it

• L’adozione del cloud modifica

il profilo di rischio

• Impone nuove forme di

regolamentazione degli

obblighi imposti al Titolare

dalla normativa e trasferiti al

provider, così come una

revisione delle procedure

interne che governano i

servizi trasferiti in cloud.

essandro Vallega Oracle / Clusit


Le forze che spingono verso il Cloud punto di vista di un cliente cloud

• Riduzione dei costi

• Flessibilità

• Elasticità e scalabilità

• Costo legato al reale utilizzo

• Rapidità di realizzazione di

nuove soluzioni

• Ottimizzazione ed

interoperabilità dei processi

amministrativi / di business

• Razionalizzazione dei processi

gestionali e di supporto

• Focalizzazione sul “core

business”

• Garanzia della continuità di

servizio

• Miglioramento dei Livelli di

Servizio

• Efficienze Energetica

• Controllo, misurazione e

attribuzione dei costi

• Mobilità del servizio

Fonte: Astrid Think! draft versione 2 dell’Osservatorio sul Cloud Computing nella PA; GDL 3-5


Le principali forze che ostacolano il Cloud punto di vista di un cliente cloud

• Loss of governance

• Lock-in

• Isolation failure

• Compliance risks

• Management interface

compromise

• Data protection

• Insecure or incomplete data

deletion

• Malicious insider

Fonte: ENISA Benefits, risks and recommendations for information security

* Top Security Risks


Rischio di Compliance nel Cloud

• La compliance dai propri fornitori si presume di poterla ottenere per legge

o va messa nel contratto?

• Il Cloud è vittima del suo stesso slogan: nella nuvola, non importa dove

stiano i server, l’importante è il servizio...

• Il tema è complicato dalle catene di subfornitura e dal territorio (Italia -

UE, estero tipo “equiparato”, USA, altrove)

• La figura del Titolare (italiano), del Responsabile e i suoi subfornitori in una

logica di extra territorialità


Dal punto di vista di un fornitore regionale /

nazionale / europeo il cloud è un’opportunità


Oggi un’opportunità perché

• E’ in corso un

(tentativo) di

razionalizzazione

della Privacy a

livello Europeo

• La compliance

Privacy è meglio

garantita da

un’azienda europea



• L’Europa considera il Cloud tra le sue priorità:

• Agenda Digitale; gruppi di lavoro di industry tra i quali i

player internazionali dell’IT*, survey pubbliche, Digital

Trust, previsioni di impatto sul PIL, cloud come enabler

delle PMI, lavori sul Cloud di ENISA

• L’ICT è ritenuto un settore strategico per il benessere dei

cittadini europei

• Possibile accedere ai finanziamenti



• I sistemi sono complessi da gestire e da mettere in sicurezza

per un cliente che non fa dell’IT il suo core business

• Complessità dovuta ai

molti componenti e al

fatto che per la security

non esiste un proiettile

d’argento

• Nessuna soluzione di

sicurezza copre tutto;

nell’ipotesi migliore si

hanno delle suite



• L’informatizzazione della sanità italiana è a macchia di

leopardo Con riferimento alle tipologie di strutture che interagiscono con il FSE risulta una copertura, da parte delle

Regioni e Province Autonome, rispettivamente del 43% per le ASL, del 62% per le AO e/o presidi

ospedalieri e del 19% per gli ambulatori territoriali.

In merito alle tipologie di operatori sanitari che interagiscono con il FSE emerge una copertura, nelle diverse

Regioni e Province Autonome del 71% per quanto riguarda i medici di medicina generale e pediatri di

libera scelta, del 67% con altri medici del SSN, del 29% per Infermieri e del 5% per i Farmacisti.

Infine, per quanto concerne la tipologie di prestazioni sanitarie che vengono gestite mediante il FSE nelle

diverse Regioni e Province Autonome, si rileva una percentuale del 52% per le prestazioni specialistiche

ed ospedaliere, un 33% per le prestazioni farmaceutiche, fino al 24% per le prestazioni di pronto

soccorso.

Con riferimento ai contenuti informativi gestiti dal FSE, solamente il 43% delle Regioni e Province Autonome

dichiara di gestire almeno una parte dei propri contenuti informativi sanitari nell’ambito del FSE. Si rileva,

in particolare, una prevalenza dei seguenti contenuti informativi: prescrizioni, prestazioni, referti, lettere

di dimissione, area emergenza-urgenza, patologie e cronicità. Risulta invece molto ridotta la gestione di

contenuti informativi relativi a vaccinazioni e certificati.

Relativamente alle finalità di utilizzo del FSE da parte degli operatori sanitari, particolarmente diffusa risulta

la consultazione della storia clinica del paziente, analogamente alla gestione dei processi di cura. Meno

diffusa la finalità di utilizzo del FSE nell’ambito dei percorsi diagnostico-terapeutici.

Fonte: Ministero della Salute;



• Nella PA italiana c’è bisogno di efficienza pur

mantenendo l’autonomia politica regionale (cfr. cloud e

federalismo a Forum PA)

• Un provider straniero extra EU (es. USA) è svantaggiato

dalle norme; impresa privata allo stato attuale della

norma non può operare nel SPC (CAD)


interessati


incaricato

dati personali

do

ssie

r s

an

ita

rio 1

2

3

4

Fasc

ico

lo

san

ita

rio

regione 5


7

8

I clienti del Cloud Provider FSE

personalionali

7Dossier as a Service

altre regioniFSE as a Service

3. SOFTWARE PER REALIZZARE

OPEN DATA


I vantaggi dell’open government

• Un trend di trasparenza e democrazia, che con l’open data

• abilita l’innovazione, il controllo, la partecipazione, l’intelligenza collettiva,

la realizzazione di nuovi servizi, valorizza le informazioni presenti,

permette nuovi risparmi, una miglior spesa...


Come si fa Open Data?

1. L’amministrazione identifica i

data set che sono pubblicabili

2. Si procede

all’anonimizzazione ed

eventualmente

all’aggregazione

3. Si pubblicano sul portale i raw

data con la documentazione a

supporto (e licenza copyleft)

4. Il pubblico e il mercato usano

i dati per i loro fini e per

realizzare le loro applicazioni

(mobile e non)


2

3

4


Esempi di data set in ambito sanitario

(esperienze internazionali)

• Dati sulle lista d’attesa per le prestazioni diagnostiche

• Consumo di farmaci sul territorio

• Incidenza di malattie neonatali

• Dati sull’inquinamento da combustione di idrocarburi


Architettura di riferimento

DATI FSE

ORACLE DB

Enterprise

OPEN DATA

ORACLE

MySQL

ORACLE BUSINESS

INTELLIGENCE

Processo di

anonimizzazione

del dataset

PO

RTA

LE O

PE

N D

ATA

AP

PLI

CA

ZIO

NE

FS

E /

DO

SS

IER

SA

NIT

AR

IO

Pazienti,

Operatori

Sanitari,

MMG...

Ente regionale

Operatori sanitari

ORACLE BUSINESS

INTELLIGENCE

separazione logica

Cittadini,

terze parti,

App. Provider

DATI FSE

ORACLE DB

Enterprise

OPEN DATA

ORACLE

MySQL

ORACLE BUSINESS

INTELLIGENCE

Processo di

anonimizzazione

del dataset

PO

RTA

LE O

PE

N D

ATA

AP

PLI

CA

ZIO

NE

FS

E /

DO

SS

IER

SA

NIT

AR

IO

ORACLE BUSINESS

INTELLIGENCE

separazione logica

Oracle Security (DB SEC, IAM, SOA)

Personale / Riservato - Sicuro| Anonimizzato - Aggregato


Conclusioni

• Fascicolo Sanitario Elettronico e Dossier Sanitario

– Spostare la sicurezza sull’architettura. Evitare di riscoprire l’acqua calda.

• Cloud in Sanità

– Opportunità per l’amministrazione pubblica italiana ed Europea, fattore competitivo per i cittadini Europei

• Open data

– Necessario ed auspicabile; considerare la sicurezza (anonimizzazione, riservatezza, disponibilità, integrità)

• Messaggi Oracle

– Possiamo mettere in sicurezza ogni sistema, applicazione e database in ogni ambito incluso quello sanitario del Fascicolo, Cartella e Dossier sanitario

– Possiamo accompagnare un Partner che intenda creare un private, public o community cloud assistendolo dal punto di vista tecnologico

– La nostra tecnologia collega in maniera sicura i clienti ai loro fornitori

– e permette ed incentiva la realizzazione di Open Data

Grazie per l’attenzione

Alessandro Vallega, Oracle / [email protected]

17 Maggio 2012 | Exposanità Tutela della privacy del ... · dati soggetti alla legge della privacy...

Documents

Transcript of 17 Maggio 2012 | Exposanità Tutela della privacy del ... · dati soggetti alla legge della privacy...