Analisi della sicurezza

di un sistema informativo sanitario

Programmazione Sicura (6 CFU), LM Informatica, A. A. 2016/2017

Dipartimento di Scienze Fisiche, Informatiche e Matematiche

Università di Modena e Reggio Emilia

Ing. Fausto Mazzoni

Storyboard

The Jackal: Half a million. In cash.

Half in advance, and half on completion.

Montclair: Half a million francs?

The Jackal: Dollars.

Montclair: Are you mad?

The Jackal: Considering you expect to get

France in return, I'd have thought

it a reasonable price.The Day of the Jackal - Fred Zinnemann, 1973 2

Nome: Fausto Mazzoni

Ruolo: Ingegnere Informatico

Contatti: fausto.mazzoni@protendo.it

Di cosa mi occupo:

Misuro il grado di sicurezza dei sistemi informativi aziendali

Analisi tecnica ma non solo…

3

Chi Sono

4

Quote

“If you think technology can

solve your security problems,

then you don’t understand

the problems and you don’t

understand the technology.”

Bruce Schneier

La sicurezza si declina attraverso il presidio di quattro ambiti:

conoscenza tecnologica

conoscenza delle normative

conoscenza degli standard

formazione delle persone

5

Visione Olistica

6

Come?

7

Quote

“Misura ciò che è

misurabile e rendi

misurabile ciò che

non lo è”

Galileo Galilei

8

Il metodo scientifico

Documentare la metodologia utilizzata - best practice!

La metodologia è applicata nel rispetto della legge

I risultati ottenuti sono quantificabili e dunque misurabili

I risultati ottenuti sono riproducibili

I risultati riflettono fatti o evidenze derivati esclusivamente

dalla metodologia adottata

9

Etica

Agire rispettando la committenza e le leggi

regole di ingaggio iniziali pattuite attraverso un contratto

scritto e firmato

MAI prendere iniziative personali senza aver comunicato a

controparte l’azione che si sta conducendo

10

Attenzione!

Art. 615-ter. del CODICE PENALE

Accesso abusivo ad un sistema informatico o telematico.

Chiunque abusivamente si introduce in un sistema informatico o telematico

protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o

tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

La pena è della reclusione da uno a cinque anni:

...

3) se dal fatto deriva la distruzione o il danneggiamento del sistema o

l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il

danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.

Qualora i fatti … riguardino sistemi informatici o telematici di interesse militare o

relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione

civile o comunque di interesse pubblico… (aggravanti)

11

Periodicità

Contesto dinamico che muta continuamente

valutazione di sicurezza di un SI è (sarebbe)

un’attività da condurre ciclicamente

Obiettivo: migliorare nel tempo la sicurezza del SI

12

Iterazione

Ciclo di Deming

Plan Analisi, metriche

Do Esecuzione sperimentale

Check Valutazione, controllo

Act Azioni correttive

13

Aggiornamento dell’albero di attacco

Approccio già visto a lezione…

14

Indipendenza dal contesto

Il pattern di Deming è agnostico rispetto all’ambito in cui lo si

applica Prefase necessaria di raccolta informazioni

Minacce sui dati

Tecnologia / servizi sanitari

Normative vigenti

15

Perché?

16

Perché…

Accesso abusivo a dati con l’obiettivo di estorcere denaro

alle vittime o di sottrarre informazioni per ricavarne

denaro. Un business molto profittevole….

17

Minacce sui dati

18

Le cifre dei cattiviRapporto Clusit

Un’organizzazione è certa

di subire un attacco

informatico di entità

significativa entro

i prossimi 12 mesi

Crimine informatico in

Germania: 1,6% del PIL, circa 60.000 milioni di $

19

Altri cattivi più subdoli…

L’asset automobile per esempio….

20

La realtà aumentataSito di incontri per persone in cerca

di relazioni extraconiugali

Business basato su su

riservatezza e confidenzialità

Agosto 2015: «The Impact Team»

riversa sul web le anagrafiche dei clienti (25 Gbyte)

La reputazione di 32 milioni di utenti è stravolta

21

La Lezione appresa

Dati fonte di profitto per molti settori d’impresa (leciti,

pseudoleciti, illeciti)

La tecnologia ha cambiato la vita quotidiana delle persone

Non esiste separazione tra mondo analogico e mondo digitale

Perché Facebook, Google, Twitter sono gratuiti?

I dati personali sono tra i più profittevoli e rischiosi da gestire

22

I buoni

I cittadini responsabili

Lo stato

➢ Polizia postale

➢ Guardia di finanza

➢ Carabinieri

Controllo del territorio con la finalità di sopprimere le condotte

illecite e garantire la sicurezza della società

23

Normative Vigenti

24

La nuova «privacy europea»

Come sono protetti dal punto di vista legislativo i dati personali?

Fino ad aprile 2016 il codice unico privacy D.Lgs 196/2003

A maggio 2016 il parlamento europeo ha approvato il nuovo

Regolamento Europeo n. 2016/679

«regolamento relativo alla protezione delle persone fisiche con riguardo al

trattamento dei dati personali nonché alla libera circolazione di tali dati»

Il nuovo regolamento entrerà in vigore a livello sanzionatorio a

maggio 2018

25

Privacy… what’s?

La privacy è un diritto non un dovere…

chiunque ha diritto alla protezione/tutela dei dati personali

che lo riguardano

Scopo evitare che il trattamento dei dati da parti di altri soggetti

avvenga senza il consenso dell’avente diritto, ovvero in modo da

recargli pregiudizio.

26

Tassonomia

Dati Personali Dati Comuni

Dati GiudiziariDati Sensibili

Geolocalizzazione?

27

Trattamento

Un trattamento è qualsiasi azione volta a gestire

(insert/update/delete) dati di natura personale.

Ogni trattamento deve essere ispirato ai principi di necessità,

pertinenza e non eccedenza.

La procedura di protezione dei dati personali è tutta

racchiusa in questo meccanismo:

28

Opt-in

29

Obbligo di protezione

Sia il D.Lgs 196/2003 che il nuovo Regolamento Europeo

obbligano i soggetti pubblici e privati che trattano dati

personali a:

mettere in atto misure tecniche e organizzative adeguate

volte a tutelare i diritti degli interessati

proteggere i dati personali conferiti

30

Tecnologia(dei sistemi informativi sanitari)

CONOSCERE in modo dettagliato la loro architettura…

prima di procedere con qualsivoglia azione….

31

Analizzare, capire, studiare…

32

How

33

Sistema Informativo Sanitario

Un Sistema Informativo Sanitario (SIS) è composto da

sottosistemi chiamati Sistemi Informativi Dipartimentali

(SID):

SID amministrativi: gestiscono la logistica del paziente +

fatturazione (dato amministrativo)

SID diagnostici: esami, referti (dato clinico)

Caratteristica imprescindibile di qualsiasi SIS:

razionalizzazione ed efficienza dei flussi di lavoro

34

When

35

Prima Generazione

In nome dell’efficienza economica le architetture dei sistemi

informativi sono profondamente mutate nel tempo

Client

Top Management

F1 F2 F3

Task

so

f Fu

nct

ion

1

Task

so

f Fu

nct

ion

2

Task

so

f Fu

nct

ion

3

A

Business Unit I

W

B

Business Unit II

W Y Server

36

Seconda Generazione

Si implementano a posteriori agenti intermediari che

consentono ad entità diverse di dialogare

Client

Server

Top Management

PA

F2 F3

Task

so

f F

un

ctio

n1

Task

so

f F

un

ctio

n2

Task

so

f F

un

ctio

n3Tasks of Process A

Tasks of Process B

Tasks of Process C

PB

PC

F1

A

Business Unit I

W

B

Business Unit II

W Y

Middleware

37

Terza Generazione

Architettura orientata ai servizi

Interoperabilità: dato condiviso indipendentemente dalla

tecnologia che lo genera

A

Business Unit I

W

B

Business Unit II

W Y

C

Data Center III

W Y

Top Management

PA

F2 F3

Tasks of Process A

Tasks of Process B

Tasks of Process C

PB

PC

F1

Consumers

Provider

38

Where

39

Health Level 7

Lo standard HL7 nasce come risposta all’esigenza di

trasmettere in modo strutturato dati che afferiscono alla

salute dei pazienti

Formalizza l’ambito semantico e sintattico della

comunicazione:

definisce il formato delle informazioni trasmesse

(payload dei messaggi)

è un protocollo di comunicazione di livello applicativo

40

Health Level 7

le informazioni sono impacchettate in messaggi strutturati

non sono trasmessi on demand

modalità broadcast verso tutti i sottosistemi o

entità riceventi

Non fa riferimento ad aspetti implementativi o tecnologici,

rende interoperabili intrinsecamente le varie entità che

compongono un SIS sanitario.

41

Health Level 7

42

Intervallo

43

Riassunto

Minacce sui dati

Tecnologia dei servizi sanitari

Normative vigenti

44

Plan

45

Interoperabilità

Obiettivo: i servizi che garantiscono l’interoperabilità del

dato sanitario

Output: valore di rischiosità legato al trattamento del dato

rispetto a questo particolare ambito

46

Architettura Oggetto di Analisi

SIS della struttura S:

SID amministrativo (E)

SID diagnostico (RP)

E ed RP sono sulla

stessa LAN

Che cosa succede dal punto di vista

della rischiosità del dato trasmesso?

47

Eventi HL7

comunicazione basata su HL7

condivisione delle anagrafiche dei pazienti

ordini/prestazioni da erogare e fatturare su E

ordini/prestazioni erogare e refertare su RP

accesso condivisione dei referti prodotti

48

Definizioni

Difetto - una qualunque deviazione dalle specifiche

Bug - un errore di implementazione

Debolezza - difetto o bug che potrebbe, sotto opportune

ipotesi, rendere reale una minaccia di sicurezza

Vulnerabilità - una debolezza presente, comprensibile e

sfruttabile da un attaccante

Minaccia – probabilità di accadimento di un evento avverso

Danno – un impatto indesiderato che subisce

un’organizzazione (soldi in altre parole…)

49

Che cosa è il rischio?

un’organizzazione investe in sicurezza se si esprime in

termini di denaro il danno potenziale a cui è soggetta

Equazione del rischio (famiglia ISO 27000)

Rischio = Minaccia x Vulnerabilità X Danno

~ 29 € a paziente

fatturato annuo /

n. pazienti

50

Do

51

Raccolta delle informazioni

Tapping, intercettare dati in modo passivo…

52

Sniffer

strumento in grado di intercettare le informazioni

scambiate da due entità

si memorizzano tutti gli header e i payload incapsulati

secondo lo standard definito dallo stack TCP/IP

E RP

172.29.170.32 172.29.170.33

53

Evidenze raccolte

pacchetti in transito da HL7 Router (E) a

HL7 Listener (RP)

54

Messaggio HL7

55

Check

56

Verifiche

Procedendo con l’analisi delle evidenze raccolte…

57

Esempio di messaggi intercettabili

variazione anagrafica

sessione operativa: inserimento, in carico, refertata

58

Conseguenzesi ricostruisce la comunicazione tra E ed RP: nessuna

confidenzialità

solo controlli formali e logici nella comunicazione, no hash

crittografiche: integrità non garantita in senso forte

no cifratura asimmetrica per firmare messaggi: non è

garantita l’autenticazione dell’origine dei dati

no terza parte fidata per la firma (con timestamp) di eventi:

monitoraggio debole e non repudiation non garantita insenso forte

59

Criticità maggiore

Vulnerabilità esistente, attaccante può:

ricostruire l’anagrafica dei pazienti

ricostruire le prestazioni radiologiche fruite

no accesso referti

Si rammenti la definizione di dato sensibile… IDONEO…

60

Quantificazione del Rischio

Tabella della rischiosità in funzione della dimensione

dell’organizzazione

NON tiene conto di sanzioni da parte dell’autorità garante

Attuazione di un piano in relazione al valore da difendere

Probabilità Pazienti Vulnerabilità Danno Rischio

0,01 1 1 € 29,00 € 0,29

0,01 10 1 € 290,00 € 2,90

0,01 100 1 € 2.900,00 € 29,00

0,01 1.000 1 € 29.000,00 € 290,00

0,01 10.000 1 € 290.000,00 € 2.900,00

0,01 100.000 1 € 2.900.000,00 € 29.000,00

0,01 1.000.000 1 € 29.000.000,00 € 290.000,00

61

Act

62

Mitigazione

eliminare la vulnerabilità

63

Canale dedicato

Possibilità di mitigazione:

Doppia scheda di rete su E ed RP

1. erogazione normale servizio

2. comunicazione fisica dedicata per traffico HL7

Effetto sulla probabilità, non sulla vulnerabilità

64

SSL/TLS

HL7 agnostico rispetto alla comunicazione

abilitazione protocollo SSL/TLS sopra TCP/IP

certificati per garantire oltre alla confidenzialità

autenticazione e non rifiuto

Se i sistemi E ed RP sono sicuri

vulnerabilità = 0

65

Conclusioni

66

La sicurezza informatica non si risolve presidiando solo

l’aspetto tecnologico

Approccio scientifico nella conduzione di un’analisi di

sicurezza

definizioni di metriche

risultati quantificabili e deterministici

strumenti adeguati rispetto all’analisi che si conduce

(proporzionati economici)

Digest 1.1

67

Digest 1.2

Consapevolezza del contesto

Normative legali

Normazioni/Standard

Conoscenza degli strumenti da parte degli utenti

Approccio etico verso la committenza nel rispetto delle leggi

La cosa più difficile…

tradurre in soldi la rischiosità

68

Grazie

69

Riferimentihttps://en.wikipedia.org/wiki/The_Day_of_the_Jackal_(film)

https://clusit.it/rapporto-clusit/

http://www.garanteprivacy.it/regolamentoue

https://secure.edps.europa.eu

http://ec.europa.eu/justice/data-protection/article-29/index_en.htm

http://194.242.234.211/documents/10160/0/Regolamento+UE+2016+679.+Con+riferimenti+ai+consideran

do

https://www.wireshark.org

http://www.27000.org

http://www.hl7.org

http://www.hl7italia.it

https://en.wikipedia.org/wiki/Health_Level_7

http://www.salute.gov.it