Abbiamo chiesto al ricercatore Lorenzo Bracciale, docente di Sanità Digitale dell’ateneo di Tor Vergata, in che cosa consiste questa vulnerabilità e perché è importante.
Si è conclusa mercoledì 6 marzo la conferenza CyberSec2024 in cui il gruppo di ricerca di medical security dell’Università di Roma “Tor Vergata”/CNIT ha presentato una vulnerabilità nel Fascicolo Sanitario Elettronico (FSE).
Appena scoperta, la vulnerabilità è stata segnalata al CSIRT secondo la prassi del Coordinated Vulnerability Disclosure, e ad oggi risulta corretta.
L’aspetto maggiormente preoccupante è stato il lasso di tempo passato dalla notifica (giugno 2023) alla risoluzione (gennaio/febbraio 2024). Oltre 7 mesi, un tempo molto lungo specie se confrontato con le 24 ore di tempo che la direttiva NIS2 impone per la segnalazione di una vulnerabilità.
Abbiamo chiesto al ricercatore Lorenzo Bracciale, docente di Sanità Digitale dell’ateneo di Tor Vergata, in che cosa consiste questa vulnerabilità e perché è importante.
“La vulnerabilità è data da un problema tecnico nell’implementazione di un componente del Fascicolo Sanitario Elettronico chiamato Taccuino. Il Taccuino è un posto dove i cittadini possono caricare dei dati medicali e questi sono resi disponibili a tutto il personale sanitario autorizzato a vedere i dati del paziente”, ha spiegato Bracciale. “L’implementazione che abbiamo testato permetteva però di caricare qualunque tipo di file, compresi malware o codice javascript malevolo, aprendo le porte a un attacco noto come Stored Cross Site Scripting (XSS). La vulnerabilità, di per se è abbastanza semplice, poteva però avere un impatto importante per due motivi. Il primo è che il codice iniettato poteva girare sugli applicativi tipicamente autenticati dei medici e quindi consentire data exfiltration massivi o furto di identità dei professionisti sanitari tramite ad esempio uno spear phishing molto difficile da individuare. Il secondo – ha concluso – è che il FSE non è solo un sito web, ma una infrastruttura distribuita complessa, pertanto i dati iniettati possono essere letti da tantissime applicazioni di backoffice diverse. Insomma stiamo parlando di un ecosistema interoperabile anche a livello internazionale, non di un singolo software.”
La notizia è particolarmente preoccupante nel periodo storico in cui ci troviamo, dove, grazie ai fondi PNRR, il Fascicolo Sanitario Elettronico sta avendo un periodo di espansione. La Missione 6 Componente 2 (Innovazione, ricerca e digitalizzazione del Servizio Sanitario Nazionale) mira infatti a potenziare il FSE al fine di garantirne la diffusione, l’omogeneità e l’accessibilità su tutto il territorio nazionale per assistiti e professionisti sanitari. In particolare, il DM 77 dell’8 agosto 2022 ha definito obiettivi precisi per l’investimento, tra cui l’obbligo per i Medici di Medicina Generale di contribuire all’alimentazione del FSE.
In questa fase di grande cambiamento abbiamo chiesto quindi al prof. Giuseppe Bianchi, direttore del CNIT National Lab of Network Assurance & Monitoring e docente di Sicurezza delle Reti presso l’Università di Roma “Tor Vergata”, cosa sarebbe possibile fare per mitigare i rischi dati da questi cambiamenti. Qui il video intervento del prof. Bianchi alla Conferenza CyberSec2024.
“E’ un tema complesso che merita approfondimenti opportuni. Intanto però permettetemi di suggerire tre azioni concrete. La prima è l’istituzione di un monitoraggio continuo delle infrastrutture critiche. Nella conferenza abbiamo fatto vedere anche come con strumenti disponibili su internet era possibile trovare numerose problematiche in diversi applicativi e sistemi sanitari italiani. Secondo noi è necessario investire in questo tipo di monitoraggio continuo”, ha dichiarato Bianchi. “Assistiamo spesso infatti ad azioni prescrittive che vanno ad aumentare il carico di lavoro burocratico e tecnico di strutture come quelle sanitarie già pesantemente sotto organico. Serve virare verso azioni supportive, in cui enti terzi segnalino problemi direttamente alle strutture e agiscano con una vigilanza attiva, prevenendo almeno i problemi più semplici. La seconda azione prevede una maggior collaborazione con la comunità scientifica e in generale la comunità cyber, definendo percorsi e incentivi chiari per il bug reporting/bountying. In sostanza si chiama la comunità a “testare” secondo alcune regole precise la sicurezza dei sistemi e a segnalare in modo opportuno i bug prima che dei malintenzionati possano abusarne. Questa strategia è già in atto da grandi multinazionali come Doctolib, la World Health Organization, e perfino il Pentagono, per rafforzare la loro postura cyber. Perché non portare queste soluzioni anche in Italia? La terza è una maggior formazione dedicata e congiunta che miri alla formazioni di esperti sia nel dominio sanitario che di cybersecurity. Questo perché è necessario erogare servizi utili, fruibili e sicuri e solo esperti di entrambi i domini sono in grado di analizzare e valutare correttamente tutti i trade-off e le opportunità specifiche”, ha concluso.
Alla conferenza sono state presentate infatti anche altre vulnerabilità medicali e situazioni da “attenzionare”. Sappiamo che l’ACN si sta muovendo ma è indubbio che serva anche un aiuto specifico.