Home » Media » Foto » La Ricetta Dematerializzata a Rischio Blackout.

La Ricetta Dematerializzata a Rischio Blackout.

Un Tallone di Achille del sistema di autenticazione può mettere a rischio il funzionamento della dematerializzata su tutto il territorio nazionale

Era verso la fine degli anni novanta quando, dopo aver attivato nell’Azienda Ospedaliera di Verona il servizio di posta elettronica e la navigazione internet, mi trovavo ad affrontare la duplice problematica di gestire la navigazione degli utenti e la loro autenticazione informatica. Mi vennero in tal senso aiuto alcuni software opensource : il proxy server squid, il servizo di autenticazione messo a disposizione dal server Ldap e la possibilità di integrare il server proxy ed il server di posta elettronica con il medesimo server Ldap. Riuscii in tal modo a gestire tramite un unico sistema di autenticazione debole, l’identità degli utenti che tramite la username e la password personale potevano sia accedere alla propria casella email istituzionale che abilitarsi per la navigazione internet.

Si può cercare di superare la protezione garantita da un sistema di autenticazione debole se, conoscendo almeno la username di un account, si utilizzano quei programmi di brute force attach che provando combinazioni di lettere e numeri tentano di individuare la password.

All’interno di una rete privata, i sistemi di autenticazione debole possono ancora essere tollerati in quanto se è attivo un servizio di monitoraggio dei servizi di rete, le eventuali postazioni che attaccano un account su un sistema possono essere abbastanza facilmente identificate e bloccate.

Al contrario sulla rete internet, pubblica, l’adozione dei sistemi di autenticazione debole mette seriamente in pericolo la sicurezza informatica ed è anche per questo che la username di default dell’amminstratore del sistema, di solito “admin”, viene solitamente cancellata e sostituita con un’altra più complessa e ignota ai più.

Per controbilanciare l’azione dei programmi di brute force attach verso account con username nota, tra le contromisure che si adottano vi è quella di bloccare per alcuni minuti la possibilità di ulteriore autenticazione per quegli account per i quali un determinato numero di tentativi di accesso sono falliti. Alcuni siti incrementando anche progressivamente il tempo di blocco se falliscono ulteriori tentativi, rendono ancor più inefficaci le azioni dei programmi di attacco.

Un sistema di tale tipo, che prevede inoltre la possibilità di recuperare autonomamente la password. è quello implementato sul sito dell”INPS per il servizio di autenticazione degli utenti tramite Codice Fiscale e PIN, utilizzato ad esempio dal medico certificatore dell’invalidità civile.

Autenticazione INPS

Diverso è il sistema di protezione adottato dal sito del Ministero delle Finanze per il Sistema Tessera Sanitaria sul quale a livello nazionale i medici devono oggi obbligatoriamente autenticarsi per compilare i certificati di malattia online. Dallo stesso sistema di autenticazione dipende anche il corretto funzionamento dei software di gestione della cartella clinica ambulatoriale utilizzati in ambito nazionale dai MMG, dai PLS ed anche dal personale sanitario delle strutture pubbliche.

L’autenticazione dell’utente che sul sito del SistemaTs ha sbagliato la password per 8 volte consecutive, viene disabilitata e per riattivarla è necessario interpellare l’ amministratore di sicurezza al quale si è stati assegnati, di solito un unico amministrativo dell’ASL di appartenenza.

(Resta attiva la possibilità di accesso al sito dell’INPS in quanto richiede credenziali diverse.)

Autenticazione SistemaTS

La disabilitazione comporta per il medico l’impossibilità di compilare online il certificato di malattia e l’impossibilità di essere autorizzato a trasmettere la ricetta dematerializzata ed a stamparne il relativo promemoria da rilasciare al paziente; il certificato di malattia dovrà in tal caso essere compilato sul cartaceo e le ricette per farmaci e prestazioni verranno stampate sul vecchio modulo rosso del SSN. .

Sicuramente capita saltuariamente che un amministrazione di sicurezza debba riabilitare quel medico che sbaglia ripetutamente ad autenticarsi direttamente sul sito del SistemaTS o quel medico che per distrazione ha sbagliato ha trascrivere la password nel proprio software di cartella clinica dopo averla aggiornata correttamente sul sito stesso, operazione che per il rispetto delle norme sulla sicurezza, deve essere obbligatoriamente ripetuta ogni 90 giorni.

Ma potrebbe anche capitare che un qualsiasi utente, anche non medico, dopo aver inserito il codice fiscale di un medico, codice facilmente reperibile in rete ad esempio dagli elenchi degli iscritti all’albo disponibili sui siti degli ordini dei medici, volontariamente sbagli la password per 8 volte disabilitando in tal modo la ricetta dematerializzata e i certificati di malattia online per quel medico al quale corrisponde il codice fiscale utilizzato.

Potrebbe ancora capitare, ed è più facile realizzarlo che descriverlo, che qualche burlone, recuperato l’elenco dei codici fiscali di tutti i medici nazionali, dia in pasto la lista ad uno di quei programmi liberamente disponibili in rete per il crack delle password, configurandolo per leggerla e inviare almeno 8 tentavivi di accesso per codice, bloccando in tal modo in poche ore il funzionamento della dematerializzata su tutto il territorio nazionale, con i conseguenti disagi dei pazienti e con tutta la soddisfazione degli amministratori di sicurezza che si troveranno a dover riabilitare entro breve tutti gli utenti a loro assegnati.

A tal punto è veramente auspicabile che l’attivazione del Sistema Pubblico per la gestione dell’Identità Digitale (SPID), che come annunciato il 13 luglio 2015 dal Direttore dell’AgID (Agenzia per l’Italia Digital) dovrebbe partire nel prossimo autunno e con il quale le pubbliche amministrazioni potranno consentire l’accesso in rete ai propri servizi, oltre che con lo stesso SPID, solo mediante la carta d’identità elettronica e la carta nazionale dei servizi, venga realizzata quanto prima e quanto prima estesa a tutti i servizi e su tutto il territorio nazionale.

You must be logged in to post a comment Login