Tutela della privacy del cittadino e della sicurezza dei dati sensibili nell'era del cloud computing
17 Maggio 2012 | Exposanità
Nuove soluzioni e tecnologia per il Dossier Sanitario e il Fascicolo Sanitario Elettronico
Alessandro Vallega, Oracle / [email protected]
Exposanità 2012 Alessandro Vallega, Oracle / Clusit
Agenda
• Sicurezza e privacy come soluzione architetturale per il Fascicolo Sanitario
Elettronico e il Dossier Sanitario
• Community Cloud per un operatore italiano di “FSE as a Service”
• Come realizzare Open Data
1. SICUREZZA E PRIVACY COME
SOLUZIONE ARCHITETTURALE
Exposanità 2012 Alessandro Vallega, Oracle / Clusit
Una risultanza del GdL Garante FSE
• Deliverable pubblico di 15 tra
aziende, studi legali ed associazioni
appartenenti alla Oracle
Community for Security
• Approccio multidisciplinare
(approccio legale, tecnologico,
audit, standard e best practice)
• Non reinventarsi la ruota,
distinguendo l’applicazione
dall’architettura
http://fse.clusit.it/pages/Homepage.html
Ris
chio
ed
op
po
rtu
nit
à
Innovazione
Apps Data
Mobile
Computing
ile
putinggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggngggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggg
Social
Computing Cloud
Computing
2010s
Remote Access
B2B Collaboration
Data Centers
2000s
E-Commerce
Web 1.0
1990s
Soluzioni architetturali garantiscono
sicurezza ed evoluzione tecnologica
Alessandro Vallega, Oracle / Clusit
I vantaggi delle soluzioni basate
sull’architettura vs make
Pro
• Qualità (che eccede le aspettative)
• Robustezza, scalabilità
• Evoluzione, innovazione
• Sicurezza
• Riuso dell’experienza globale
• Standardizzazione
• Responsabilità del fornitore
• Costo di replica inferiore
Contro
• Costo iniziale
• Adattabilità a scelte
aziendali pregresse
• Affidamento ad un fornitore
• Integrazione e
mantenimento dei
componenti (point product
vs suite)
Exposanità 2012 Alessandro Vallega, Oracle / Clusit
interessati
titolare / responsabile
incaricato
dati personali
do
ssie
r s
an
ita
rio 1
2
3
4
Fasc
ico
lo
san
ita
rio
regione 5
6 Indici o dati personali
7
8
Tecnologie utilizzabili nel FSE
Exposanità 2012 Alessandro Vallega, Oracle / Clusit
interessati
titolare / responsabile
incaricato
dati personali
do
ssie
r s
an
ita
rio 1
2
3
4
Fasc
ico
lo
san
ita
rio
regione 5
6 Indici o dati personali
7
8
Aspetti di processo Aspetti tecnologici
1 Ospedali e cliniche private secondo la
norma sono Titolari del trattamento dei
dati soggetti alla legge della privacy
Tecnologie utilizzabili nel FSE
Exposanità 2012 Alessandro Vallega, Oracle / Clusit
interessati
titolare / responsabile
incaricato
dati personali
do
ssie
r s
an
ita
rio 1
2
3
4
Fasc
ico
lo
san
ita
rio
regione 5
6 Indici o dati personali
7
8
Tecnologie utilizzabili nel FSE
Aspetti di processo Aspetti tecnologici
2 I Titolari o i Responsabili autorizzano tra il
proprio personale (gli Incaricati) che hanno
la possibilità di trattare i dati sensibili degli
interessati. Tale nomina implica
l’abilitazione a specifici sistemi informativi
(informatici o manuali) distinguendo gli
accessi ai dati sanitari da quelli personali
per svolgere funzioni amministrative
Le tecnologie coinvolte riguardano:
· Autenticazione ed autenticazione forte per assicurarsi dell’identità degli Incaricati
· Autorizzazione ed autorizzazione a grana fine per consentire l’accesso ai soli dati
pertinenti il proprio lavoro
· Provisioning e deprovisioning rapido ed automatico degli account per il turn over
· Audit ed attestazione degli account per verificare ed approvare chi affettivamente ha
accesso a cosa e tenerne lo storico
Exposanità 2012 Alessandro Vallega, Oracle / Clusit
interessati
titolare / responsabile
incaricato
dati personali
do
ssie
r s
an
ita
rio 1
2
3
4
Fasc
ico
lo
san
ita
rio
regione 5
6 Indici o dati personali
7
8
Tecnologie utilizzabili nel FSE
Aspetti di processo Aspetti tecnologici
3 Nello svolgere il lavoro di refertazione e
creando la documentazione sanitaria
corrispondente, si viene a costituire presso
l’organizzazione e i sistemi informativi del
Titolare il dossier sanitario della persona
(così detto per il fatto di ricadere nella
responsabilità di un unico titolare)
La norma e il buon senso prevedono di proteggere accuratamente il dossier sanitario e, oltre al
controllo degli accessi in senso stretto, si prevedono:
· Criptazione del dato a riposo (nel database, filesystem o dei documenti) o in
trasmissione (tra il database server e l’application server e tra questo e i client)
· Firewall di rete, applicativi e di database per controllare le vulnerabilità applicative e
impedire gli accessi fraudolenti
· Controllo, analisi e reporting degli accessi (log management e fraud management) delle
utenze normali e privilegiate (amministratori di sistema)
Exposanità 2012 Alessandro Vallega, Oracle / Clusit
interessati
titolare / responsabile
incaricato
dati personali
do
ssie
r s
an
ita
rio 1
2
3
4
Fasc
ico
lo
san
ita
rio
regione 5
6 Indici o dati personali
7
8
Tecnologie utilizzabili nel FSE
Aspetti di processo Aspetti tecnologici
4 Il dossier riguarda un cittadino / paziente
(Interessato) e diversi dossier sono
costituiti per lo stesso interessato presso
diversi Titolari.
Exposanità 2012 Alessandro Vallega, Oracle / Clusit
interessati
titolare / responsabile
incaricato
dati personali
do
ssie
r s
an
ita
rio 1
2
3
4
Fasc
ico
lo
san
ita
rio
regione 5
6 Indici o dati personali
7
8
Tecnologie utilizzabili nel FSE
Aspetti di processo Aspetti tecnologici
5 Con la costituzione del FSE regionale viene
a crearsi un raccordo tra i diversi dossier
per permettere di realizzare il concetto di
carta di identità elettronica auspicato entro
il 2012 dal Governo. I documenti / dati che
costituiscono il dossier oppure
(preferibilmente) gli indici ma non i
contenuti di dettaglio, confluiscono nel
database regionale.
In occasione dell’interscambio informativo tra la Regione ed i diversi Titolari per produrre il
FSE sono necessarie tecnologie quali:
· Protezione del canale di comunicazione tramite tecnologie di criptazione del traffico
· Autenticazione ed autorizzazione, protezione e controllo dei web services che
implementano le interfacce tra le applicazioni.
Exposanità 2012 Alessandro Vallega, Oracle / Clusit
interessati
titolare / responsabile
incaricato
dati personali
do
ssie
r s
an
ita
rio 1
2
3
4
Fasc
ico
lo
san
ita
rio
regione 5
6 Indici o dati personali
7
8
Tecnologie utilizzabili nel FSE
Aspetti di processo Aspetti tecnologici
6 Il fascicolo sanitario elettronico è costituito
nel sistema informativo regionale.
Le tecnologie di sicurezza già analizzate per il Dossier rientrano interamente in gioco. Essendo
che il FSE centralizza tutti i Dossier esso rappresenta un punto maggiormente critico
dell’infrastruttura rispetto alla sicurezza. Si evidenzia in particolare la database security
Exposanità 2012 Alessandro Vallega, Oracle / Clusit
interessati
titolare / responsabile
incaricato
dati personali
do
ssie
r s
an
ita
rio 1
2
3
4
Fasc
ico
lo
san
ita
rio
regione 5
6 Indici o dati personali
7
8
Tecnologie utilizzabili nel FSE
Aspetti di processo Aspetti tecnologici
7 Un operatore sanitario
autorizzato accede ai
dati del FSE e tramite il
FSE ai documenti che
costituiscono i dossier.
A questo punto è opportuno considerare una serie di tecnologie che riguardano l’autenticazione, l’autorizzazione
e la trasmissione sicura. Per diversi aspetti esse forniscono una serie di servizi importanti da utilizzare di concerto
nello strato applicativo. In particolare:
· La strong autentication garantisce dell’identità degli operatori sanitari (e degli assistiti qualora
l’autorizzazione avvenga in ragione della loro contemporanea presenza)
· L’autenticazione per il FSE può essere realizzata sul sistema FSE (creando un ulteriore ed ennesima coppia di
user / password per gli addetti con tutti i rischi connessi) oppure delegata al sistema del titolare creando una
relazione di fiducia tra le due organizzazioni (identity federation) e tramite enterprise single sign-on
· Inoltre è utile il provisioning e soprattutto il deprovisioning degli account del FSE realizzato attraversando
con un unico processo informatico i confini organizzativi della Regione e dei Titolari (identity management)
· L’autorizzazione all’accesso dell’operatore viene fornita in ragione del fatto di essere “il mio medico”, o di
essere con me o di aver ricevuto una specifica autorizzazione (nominativa oppure contestuale come nel caso
di appuntamento per visita specialistica) temporanea o illimitata (autorizzazione basata su entitlements)
oppure in caso di urgenza come al pronto soccorso (log management ed exception management)
· L’autorizzazione riguarda i soli dati di pertinenza e non oscurati e nasconde anche l’oscuramento.
Exposanità 2012 Alessandro Vallega, Oracle / Clusit
interessati
titolare / responsabile
incaricato
dati personali
do
ssie
r s
an
ita
rio 1
2
3
4
Fasc
ico
lo
san
ita
rio
regione 5
6 Indici o dati personali
7
8
Tecnologie utilizzabili nel FSE
Aspetti di processo Aspetti tecnologici
8 L’interessato consulta il proprio FSE e i
documenti che lo costituiscono e fornisce o
revoca l’autorizzazione all’accesso agli
operatori sanitari tramite un’applicazione
web o mobile sicura
Le tecnologie da utilizzarsi riguardano ancora una volta:
· Quelle di strong autentication eventualmente basate su one time password (ricezione di
un sms su un device indipendente)
· Quelle che proteggono le applicazioni nel caso di vulnerabilità del browser o della rete o
nel caso di phishing (frauds detection e access management / sql injections).
Inoltre è opportuno utilizzare le migliori pratiche di programmazione sicura delle applicazioni.
Exposanità 2012 Alessandro Vallega, Oracle / Clusit
Specifici riferimenti normativi alla cifratura del dato
Exposanità 2012 Alessandro Vallega, Oracle / Clusit
Misure minime vs Misure idonee
• Attenzione al significato delle parole!
– Minima = Minima
– Idonea rispetto al profilo di rischio, evoluzione tecnologica, tipo di
dato trattato....
– Minima specificate nell’allegato B e nei provvedimenti specifici,
definite per legge, all’atto pratico più statica, profilo penale e
amministrativo
– Idonea definita in funzione di un’analisi del rischio, più legata allo stato
dell’arte, best practice, profilo civilistico
• Profilo di rischio
Exposanità 2012 Alessandro Vallega, Oracle / Clusit
Tratti comuni alle diverse leggi / norme
Elemento Ambito Impatto
Autorizzazione ed
autenticazione
Tecnologico Gestione delle identità e
dell’accesso
Protezione del dato Tecnologico Sicurezza del database
Adozione delle best
practice e Analisi del
rischio
Organizzativo Information Security Management
Systems (es. ISO 27000)
2. COMMUNITY CLOUD PER UN
OPERATORE ITALIANO DI “FSE AS A
SERVICE”
Alessandro Vallega, Oracle / Clusit
Una risultanza del GdL Privacy Cloud
https://privacycloudmobile.clusit.it
• L’adozione del cloud modifica
il profilo di rischio
• Impone nuove forme di
regolamentazione degli
obblighi imposti al Titolare
dalla normativa e trasferiti al
provider, così come una
revisione delle procedure
interne che governano i
servizi trasferiti in cloud.
essandro Vallega Oracle / Clusit
Alessandro Vallega, Oracle / Clusit
Le forze che spingono verso il Cloud punto di vista di un cliente cloud
• Riduzione dei costi
• Flessibilità
• Elasticità e scalabilità
• Costo legato al reale utilizzo
• Rapidità di realizzazione di
nuove soluzioni
• Ottimizzazione ed
interoperabilità dei processi
amministrativi / di business
• Razionalizzazione dei processi
gestionali e di supporto
• Focalizzazione sul “core
business”
• Garanzia della continuità di
servizio
• Miglioramento dei Livelli di
Servizio
• Efficienze Energetica
• Controllo, misurazione e
attribuzione dei costi
• Mobilità del servizio
Fonte: Astrid Think! draft versione 2 dell’Osservatorio sul Cloud Computing nella PA; GDL 3-5
Alessandro Vallega, Oracle / Clusit
Le principali forze che ostacolano il Cloud punto di vista di un cliente cloud
• Loss of governance
• Lock-in
• Isolation failure
• Compliance risks
• Management interface
compromise
• Data protection
• Insecure or incomplete data
deletion
• Malicious insider
Fonte: ENISA Benefits, risks and recommendations for information security
* Top Security Risks
Exposanità 2012 Alessandro Vallega, Oracle / Clusit
Rischio di Compliance nel Cloud
• La compliance dai propri fornitori si presume di poterla ottenere per legge
o va messa nel contratto?
• Il Cloud è vittima del suo stesso slogan: nella nuvola, non importa dove
stiano i server, l’importante è il servizio...
• Il tema è complicato dalle catene di subfornitura e dal territorio (Italia -
UE, estero tipo “equiparato”, USA, altrove)
• La figura del Titolare (italiano), del Responsabile e i suoi subfornitori in una
logica di extra territorialità
Exposanità 2012 Alessandro Vallega, Oracle / Clusit
Dal punto di vista di un fornitore regionale /
nazionale / europeo il cloud è un’opportunità
Exposanità 2012 Alessandro Vallega, Oracle / Clusit
Oggi un’opportunità perché
• E’ in corso un
(tentativo) di
razionalizzazione
della Privacy a
livello Europeo
• La compliance
Privacy è meglio
garantita da
un’azienda europea
Exposanità 2012 Alessandro Vallega, Oracle / Clusit
Oggi un’opportunità perché
• L’Europa considera il Cloud tra le sue priorità:
• Agenda Digitale; gruppi di lavoro di industry tra i quali i
player internazionali dell’IT*, survey pubbliche, Digital
Trust, previsioni di impatto sul PIL, cloud come enabler
delle PMI, lavori sul Cloud di ENISA
• L’ICT è ritenuto un settore strategico per il benessere dei
cittadini europei
• Possibile accedere ai finanziamenti
Exposanità 2012 Alessandro Vallega, Oracle / Clusit
Oggi un’opportunità perché
• I sistemi sono complessi da gestire e da mettere in sicurezza
per un cliente che non fa dell’IT il suo core business
• Complessità dovuta ai
molti componenti e al
fatto che per la security
non esiste un proiettile
d’argento
• Nessuna soluzione di
sicurezza copre tutto;
nell’ipotesi migliore si
hanno delle suite
Exposanità 2012 Alessandro Vallega, Oracle / Clusit
Oggi un’opportunità perché
• L’informatizzazione della sanità italiana è a macchia di
leopardo Con riferimento alle tipologie di strutture che interagiscono con il FSE risulta una copertura, da parte delle
Regioni e Province Autonome, rispettivamente del 43% per le ASL, del 62% per le AO e/o presidi
ospedalieri e del 19% per gli ambulatori territoriali.
In merito alle tipologie di operatori sanitari che interagiscono con il FSE emerge una copertura, nelle diverse
Regioni e Province Autonome del 71% per quanto riguarda i medici di medicina generale e pediatri di
libera scelta, del 67% con altri medici del SSN, del 29% per Infermieri e del 5% per i Farmacisti.
Infine, per quanto concerne la tipologie di prestazioni sanitarie che vengono gestite mediante il FSE nelle
diverse Regioni e Province Autonome, si rileva una percentuale del 52% per le prestazioni specialistiche
ed ospedaliere, un 33% per le prestazioni farmaceutiche, fino al 24% per le prestazioni di pronto
soccorso.
Con riferimento ai contenuti informativi gestiti dal FSE, solamente il 43% delle Regioni e Province Autonome
dichiara di gestire almeno una parte dei propri contenuti informativi sanitari nell’ambito del FSE. Si rileva,
in particolare, una prevalenza dei seguenti contenuti informativi: prescrizioni, prestazioni, referti, lettere
di dimissione, area emergenza-urgenza, patologie e cronicità. Risulta invece molto ridotta la gestione di
contenuti informativi relativi a vaccinazioni e certificati.
Relativamente alle finalità di utilizzo del FSE da parte degli operatori sanitari, particolarmente diffusa risulta
la consultazione della storia clinica del paziente, analogamente alla gestione dei processi di cura. Meno
diffusa la finalità di utilizzo del FSE nell’ambito dei percorsi diagnostico-terapeutici.
Fonte: Ministero della Salute;
Exposanità 2012 Alessandro Vallega, Oracle / Clusit
Oggi un’opportunità perché
• Nella PA italiana c’è bisogno di efficienza pur
mantenendo l’autonomia politica regionale (cfr. cloud e
federalismo a Forum PA)
• Un provider straniero extra EU (es. USA) è svantaggiato
dalle norme; impresa privata allo stato attuale della
norma non può operare nel SPC (CAD)
Exposanità 2012 Alessandro Vallega, Oracle / Clusit
interessati
titolare / responsabile
incaricato
dati personali
do
ssie
r s
an
ita
rio 1
2
3
4
Fasc
ico
lo
san
ita
rio
regione 5
6 Indici o dati personali
7
8
I clienti del Cloud Provider FSE
personalionali
7Dossier as a Service
altre regioniFSE as a Service
3. SOFTWARE PER REALIZZARE
OPEN DATA
Exposanità 2012 Alessandro Vallega, Oracle / Clusit
I vantaggi dell’open government
• Un trend di trasparenza e democrazia, che con l’open data
• abilita l’innovazione, il controllo, la partecipazione, l’intelligenza collettiva,
la realizzazione di nuovi servizi, valorizza le informazioni presenti,
permette nuovi risparmi, una miglior spesa...
Exposanità 2012 Alessandro Vallega, Oracle / Clusit
Come si fa Open Data?
1. L’amministrazione identifica i
data set che sono pubblicabili
2. Si procede
all’anonimizzazione ed
eventualmente
all’aggregazione
3. Si pubblicano sul portale i raw
data con la documentazione a
supporto (e licenza copyleft)
4. Il pubblico e il mercato usano
i dati per i loro fini e per
realizzare le loro applicazioni
(mobile e non)
Alessandro Vallega, Oracle / Clusit
2
3
4
Exposanità 2012 Alessandro Vallega, Oracle / Clusit
Esempi di data set in ambito sanitario
(esperienze internazionali)
• Dati sulle lista d’attesa per le prestazioni diagnostiche
• Consumo di farmaci sul territorio
• Incidenza di malattie neonatali
• Dati sull’inquinamento da combustione di idrocarburi
Exposanità 2012 Alessandro Vallega, Oracle / Clusit
Architettura di riferimento
DATI FSE
ORACLE DB
Enterprise
OPEN DATA
ORACLE
MySQL
ORACLE BUSINESS
INTELLIGENCE
Processo di
anonimizzazione
del dataset
PO
RTA
LE O
PE
N D
ATA
AP
PLI
CA
ZIO
NE
FS
E /
DO
SS
IER
SA
NIT
AR
IO
Pazienti,
Operatori
Sanitari,
MMG...
Ente regionale
Operatori sanitari
ORACLE BUSINESS
INTELLIGENCE
separazione logica
Cittadini,
terze parti,
App. Provider
DATI FSE
ORACLE DB
Enterprise
OPEN DATA
ORACLE
MySQL
ORACLE BUSINESS
INTELLIGENCE
Processo di
anonimizzazione
del dataset
PO
RTA
LE O
PE
N D
ATA
AP
PLI
CA
ZIO
NE
FS
E /
DO
SS
IER
SA
NIT
AR
IO
ORACLE BUSINESS
INTELLIGENCE
separazione logica
Oracle Security (DB SEC, IAM, SOA)
Personale / Riservato - Sicuro| Anonimizzato - Aggregato
Exposanità 2012 Alessandro Vallega, Oracle / Clusit
Conclusioni
• Fascicolo Sanitario Elettronico e Dossier Sanitario
– Spostare la sicurezza sull’architettura. Evitare di riscoprire l’acqua calda.
• Cloud in Sanità
– Opportunità per l’amministrazione pubblica italiana ed Europea, fattore competitivo per i cittadini Europei
• Open data
– Necessario ed auspicabile; considerare la sicurezza (anonimizzazione, riservatezza, disponibilità, integrità)
• Messaggi Oracle
– Possiamo mettere in sicurezza ogni sistema, applicazione e database in ogni ambito incluso quello sanitario del Fascicolo, Cartella e Dossier sanitario
– Possiamo accompagnare un Partner che intenda creare un private, public o community cloud assistendolo dal punto di vista tecnologico
– La nostra tecnologia collega in maniera sicura i clienti ai loro fornitori
– e permette ed incentiva la realizzazione di Open Data
Grazie per l’attenzione
Alessandro Vallega, Oracle / [email protected]
Top Related