Saluti a tutti
Rispondo in merito richiesto e a quanto scritto..
ad un medico hanno rubato il portatile di lavoro con dentro i dati
sensibili dei pazienti e senza un backup.
E' una cosa che ha un'alta probabilità di accadimento, il medico avrebbe
dovuto applicare quanto recita l'allegato B dell'attuale codice in
materia dei dati sensibili
già evidenziato anche con altra mail: la legge prevede il backup dei
dati ed il ripristino "entro 7 gg" da eventuali perdite. (mai sentito
parlare di politiche di disaster recovery ?)
Da quanto mi è noto, i dati oltre che sul PC del Dottore
dovrebbero(ripeto dovrebbero) esistere anche sul sistema centralizzato
del SSN (per questioni contabili / gestione della spesa sanitaria /ecc.)
ma non tutti i dati sanitari, solo quelli legati ai farmaci e alle
visite mediche specialistiche.
Con le ultime "sanit card" (quelle con il chip per intenderci) è
previsto (meglio, sarebbe...) che parte dei dati risiedano sulla memoria
delle stesse per consentire la gestione "privata" dei dati sanitari
altamente sensibili.
... Poi esiterebbe anche il fascicolo elettronico sanitario ...
(che immane confusione !!)
La vedo difficile e, alla luce delle attuali applicazioni (e beata
'gnoranza informatica all'uso), di chissà quale futuro periodo
implementativo, salvo alcune regioni all'avanguardia.
1) la legge prevede la denuncia ai CC o qualche altra forma di denuncia?
Oppure silenzio e compra un altro pc?
Non credo che la legge preveda qualcosa a tal proposito. Credo dipenda
dall'eventuale uso che venisse fatto dei dati contenuti nel PC. Dipende
molto da in quali mani il PC andrà a finire. Nella migliore delle
ipotesi viene formattato ed usato o venduto. Dipende molto anche da "che
tipo" di dati ci sono nell'hard disk ...
Se il portatile è stato rubato => denuncia per furto !!
Specie se il portatile non è di proprietà del medico (dipende da ASL a ASL).
Il fatto che contenga dati "sensibili" che, potenzialmente, possono
essere utilizzati per chissa' quali scopi.. meglio cautelarsi no ?
2) La prossima volta cosa dovrebbe / potrebbe fare?
Backup in chiaro su dropbox?
Truecrypt di un file e backup su dropbox?
Altro...
Una buona politica di salvataggio dei dati e l'uso di Truecrypt.
Dropbox potrebbe essere una soluzione, ma al solo scopo di mettere su di
esso il container criptato di Truecrypt che però verrebbe montato
localmente al PC. In questo modo nessuno potrebbe vedere il contenuto
del container e lo stesso sarebbe immediatamente disponibile a fronte
dell'uso con un nuovo PC.
la buona politica dipende da mille fattori, come già detto DropBox non è
la panacea. Perchè allora non Google docs o FTP sul proprio spazio web ?
e i mitici CD / DVD ?? no ? oppure un bel disco esterno (crittografato !!) ?
Il fatto che si tratta dati sanitari senza crittografia... la vedo dura
anche in relazione alle previsioni legislative vigenti.
Truecrypt o anche GPG, o analoghi metodi di crittatura, sono un MUST.
.. come sempre poi ..non si pensa a cosa si sarebbe potuto / dovuto fare
ma all'italica visione: "2) La prossima volta cosa dovrebbe / potrebbe
fare?"
Possibile che il SSN imponga l'uso di un software e non si preoccupi
dei dati?
(chiedo, non lo so!)
Sono tante le cose che vengono "imposte". Ai dati, con la legislazione
odierna, ci deve pensare il proprietario degli stessi ... Presto uscirà
il nuovo Data Protection Act ed allora forse ci saranno delle norme più
precise, ma se uno ci pensa bene è già tutto abbastanza ben descritto
nella 196/03 ... Devono essere applicate le misure minime, che prevedono
anche la cifratura o l'offuscamento o comunque la protezione nel caso i
dati trattati siano sensibili, giudiziari, etc etc
"repetita juventus" (cifr: G. Covatta et altri): SI !!
Per il trattamento di dati sensibili sanitari sono previste misure
aggiuntive fra le quali anche quelle di cifratura fino ad arrivare,
qualora il medico abbia accesso a tali informazioni, all'accesso tramite
impronte digitali nel caso di dati genetici (casi rarissimi di malattie
per i quali il medico registri anche queste info sulla scheda paziente
(brr..)!!)
Poi quanto sopra finora detto.. non esite manco il backup o peggio la
cifratura minima... Che dire "mo' so c...i sui".
Saluti
Stefano
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
