Analisi Asl, è facile violare la privacy
Password troppo semplice per leggere i referti on line, un paziente scopre l’inghippo. L’azienda: è una sperimentazione
TERAMO. Ottenere i risultati delle analisi on line è possibile, anche alla Asl di Teramo. Ma con il rischio che li leggano tutti. Alla faccia della privacy, parola tanto sbandierata ma spesso non rispettata. A segnalare l’inghippo è Mario Chiesi, ingegnere informatico e occasionalmente paziente dell’ospedale di Giulianova, che sabato scorso con la sua compagna è andato a farsi le analisi. Descrive quanto accaduto in una leggera dal titolo esplicativo: “Salute pubblica(ta)”.
A parte le file chilometriche, «ma ok... è sabato mattina, è normale che sia pieno visto che per molte persone è l'unico giorno a disposizione, e poi siamo in Abruzzo, e i disservizi del sistema sanitario sono la norma, per cui ci siamo più che abituati», la coppia si chiede se sia possibile il ritiro dei referti per via telematica, utile per non doversi recare di nuovo in ospedale. Il sollievo provato quando scoprono che è possibile dura poco. Entrambi ricevono un foglio con un link con le credenziali: utente, password e Pin. «Sarà per deformazione professionale, ma l'occhio mi cade inevitabilmente sui dati forniti per l'accesso al servizio. Sarà che per lavoro devo gestire centinaia, anzi migliaia, di credenziali, ma intuisco qualcosa di strano», scrive Chiesi . L’ingegnere legge: utente: 20131232421; password: 12102421; pin: 31232421. Già il fatto di usare solo numeri e non anche lettere - fa notare- «non è il massimo in termini di sicurezza». Poi nota che le ultime quattro cifre sono uguali per tutti e tre i codici, e questo rende l’accesso di un malintenzionato ancor più semplice. E ancora: «noto anche che la parte iniziale del codice utente e della password corrispondono alla data odierna: 2013 (l'anno) e 1210 (12 ottobre). Tutto ciò di per sé sarebbe già sufficiente a facilitare enormemente l'accesso online illegittimo a questi dati che, ricordiamo, possono essere estremamente sensibili. A questo punto chiedo alla mia compagna di farmi vedere il suo foglio, e rimango totalmente senza parole. In pratica i tre codici erano identici a miei, con la sola differenza dell'ultima cifra, denotando chiaramente che c'era una banale progressione numerica». Le cifre erano aumentate di una unità.«Ci confrontiamo anche con la signora in fila dietro di noi: anche lei aveva codici identici ai nostri con la sola variazione delle ultime cifre. In conclusione è come dire che tutti i referti degli esami di laboratorio di tutti gli utenti della Asl sono visibili pubblicamente online da chiunque… alla faccia della privacy!». Non bisogna nemmeno essere draghi del computer: capito l’inghippo se si vuol sapere perchè è in ospedale il vicino di casa, che magari è tre persone dietro di noi nella fila, basta aggiungere 3 ai codici. «Mi piacerebbe tanto sapere chi è il genio dell'informatica che ha realizzato questo algoritmo formidabile per la generazione delle credenziali, sarei di curioso di sapere qual è lo stipendio del responsabile dei sistemi informativi della Asl», conclude Chiesi che all’uscita dell’ospedale incontra il sindaco Francesco Mastromauro e gli segnala il problema.
La Asl replica che «si tratta di una forma per il momento sperimentale. Come tale è caratterizzata da un algoritmo semplice, che già nelle prossime ore, come da programma, sarà più complesso e che dalla fine del mese (conclusa la sperimentazione), sarà completamente diverso. Quando infatti sarà a pieno ritmo, il servizio sarà attivo con un sistema in cui saranno gli stessi pazienti a scegliere la propria password. Siamo comunque molto soddisfatti che già in questa prima fase ci sia stata tanta attenzione, che non ci aspettavamo di certo». E ancora: « Ovviamente faremo di tutto (ed è garantito che il sistema attivo da fine mese sarà sicurissimo), per garantire la privacy dei cittadini che usufruiranno del servizio ma riteniamo nel contempo che i fruitori dei servizi, in media, non siano intenzionati a penetrare ogni sistema solo per il gusto di farlo».
©RIPRODUZIONE RISERVATA