Dott. Tarcisio Niglio, M.D. Sicurezza & Privacy nella gestione di un Registro Nazionale: l esperienza ISS con il CNMR

Documenti analoghi

DEONTOLOGIA PROFESSIONALE

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

Area Socio Culturale istituzionale e legislativa. Corso ASA Diurno 2010/2011

Consenso Informato e Privacy

NOTIFICAZIONE E PUBBLICITÀ LEGALE DEGLI ATTI NELL AMMINISTRAZIONE PUBBLICA DIGITALE

Trasferimento dei Dati all Estero. Titolo VII Art

Procedura per la tenuta sotto controllo delle registrazioni PA.AQ.02. Copia in distribuzione controllata. Copia in distribuzione non controllata

ORDINE DEI MEDICI CHIRURGHI E DEGLI ODONTOIATRI ÄRZTE- UND ZAHNÄRZTEKAMMER BOLZANO BOZEN IMPORTANTE

Modulo PCT Redattore atti per il Processo Telematico. Versione speciale per gli iscritti al Consiglio dell Ordine degli Avvocati di Roma

La soluzione software per Avvocati e Studi legali

PROTOS GESTIONE DELLA CORRISPONDENZA AZIENDALE IN AMBIENTE INTRANET. Open System s.r.l.

Regolamento per la tutela della riservatezza dei dati personali

Funzionalità. Richiesta area su server remoto. Logica di utilizzo di MDG

CERTIPOSTA.NET, LA PEC CON TIMENET

la legge sulla privacy e il trattamento dei dati sanitari

Posta Elettronica Certificata obbligo e opportunità per le Imprese e la PA

La soluzione software per Commercialisti e Consulenti Fiscali

R E G I O N E U M B R I A GIUNTA REGIONALE. Direzione Affari Generali della Presidenza e della Giunta regionale. Servizio Segreteria della Giunta

Documento Programmatico sulla sicurezza

PEC un obbligo che semplifica

EUROCONSULTANCY-RE. Privacy Policy

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

Strumenti digitali e privacy. Avv. Gloria Galli

Oggetto: Informativa ai sensi e per gli effetti dell articolo 13 del D. Lgs. n. 196 del 30 giugno 2003 relativo alla protezione dei dati personali

Il PC in Studio. dott. Andrea Mazzini

EasyPROtection. La soluzione software per Commercialisti e Consulenti Fiscali. DATI E DOCUMENTI PROTETTI Sempre. Ovunque.

1 Come posso registrarmi al servizio? 2 In quanto tempo la posta viene spedita/recapitata?

POSTA ELETTRONICA CERTIFICATA

METALRACCORDI SRL. Busto Arsizio 01/11/2006 Cliente e fornitore

PARCO OGLIO NORD ENTE DI DIRITTO PUBBLICO

LA SOLUZIONE. EVOLUTION, con la E LA TECNOLOGIA TRASPARENTE IL SOFTWARE INVISIBILE INVISIBILE ANCHE NEL PREZZO R.O.I. IMMEDIATO OFFERTA IN PROVA

Centro Tecnico per la Rete Unitaria della Pubblica Amministrazione

Il documento informatico e la firma digitale

Gennaio. SUAP On Line i pre-requsiti informatici: La firma digitale

La CASSAFORTE DIGITALE per

PROCEDURA OPERATIVA. - Comunicare attraverso un filo diretto con Pronto-Care e con gli studi convenzionati

* Creare un documento unico di iscrizione in formato tessera (card) per tutti gli iscritti all Ordine dei Consulenti del Lavoro che:

RETI DI COMPUTER Reti Geografiche. (Sez. 9.8)

Lo scenario: la definizione di Internet

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

L adempimento della notificazione al Garante per la Privacy

La vostra professionalità ha bisogno di uno spazio web giusto

PIANO PER LA SICUREZZA DEI DOCUMENTI INFORMATICI

StudioPro. by Boole Server. DATI E DOCUMENTI PROTETTI La soluzione Boole Server per Avvocati e Studi Legali Associati

REFERTO ONLINE LIBRETTO SANITARIO ELETTRONICO TI PRESENTIAMO IL NUOVO SPORTELLO ULSS9: CASA TUA

Informativa ex art. 13 D.lgs. 196/2003

PRIVACY E DELLA SICUREZZA (ASPETTI CHE IL CLOUD POTREBBE METTERE IN PERICOLO)

NUOVA CERTIFICAZIONE MEDICA DI MALATTIA PROFESSIONALE TRASMISSIONE ON-LINE. Dott.ssa Pierina Sgammotta Responsabile processo lavoratori INAIL

La normativa italiana

Federico Minio Puntoced s.a.s. Dottore Commercialista di Cambi Laura & c.

RACCOMANDAZIONE N. R (91) 10 DEL COMITATO DEI MINISTRI AGLI STATI MEMBRI SULLA COMUNICAZIONE A TERZI DI DATI PERSONALI DETENUTI DA ORGANISMI PUBBLICI

Indice Prefazione Capitolo 1 Tecnologie dell informazione e della comunicazione e sistemi informativi 1.1 Informatica e ICT

REGOLAMENTO DI ACCESSO A INTERNET PRESSO IL SERVIZIO BIBLIOTECA CIVICA PATRIMONIO STUDI

La telematica. Informatica per le discipline umanistiche Note sulla telematica. Segnale analogico / digitale

La dematerializzazione della documentazione amministrativa: situazione e prospettive

Identità e autenticazione

Posta Elettronica Certificata & Firma Digitale

SOMMARIO. Presentazione... Note sugli autori... Parte Prima IL NUOVO CODICE E GLI ADEMPIMENTI Antonio Ciccia

Documenti cartacei e digitali. Autenticità. Cosa si vuole garantire? Riservatezza. Integrità 11/12/2012. PA digitale: documenti e firme (I.

SCHEMA DI DELIBERAZIONE

PARTE SPECIALE Sezione II. Reati informatici

InfoCertLog. Scheda Prodotto

Serve a garantire la nostra privacy nell era era della comunicazione digitale.

Provincia Autonoma di Bolzano Disciplinare organizzativo per l utilizzo dei servizi informatici, in particolare di internet e della posta

Capire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.

Il nuovo codice in materia di protezione dei dati personali

I dati personali degli Utenti le strutture di RETE Reggio Emilia Terza Età sono registrati in forma cartacea nella Cartella Personale Utente e nel

Manuale Helpdesk per utenti

REGOLAMENTO PER L USO DELLA POSTA ELETTRONICA CERTIFICATA

Tutela della privacy

ICT (Information and Communication Technology): ELEMENTI DI TECNOLOGIA

L interscambio documentale per via telematica: strumenti e mezzi

La sicurezza del sistema informativo dello studio professionale e la normativa sulla privacy

PROCEDURA UTILIZZO PORTALE DEI REFERTI LABORATORIO ANALISI AZIENDALE

La sicurezza in un azienda ospedaliera tra archiviazione ottica sostitutiva e fascicolo sanitario elettronico

Introduzione alla crittografia con OpenPGP

Marca da bollo (l eventuale esenzione va motivata)

Obiettivi di accessibilità. per l anno ISIS "Manzini" - San Daniele del Friuli

Prestazioni psicologiche a distanza e pubblicità professionale in internet: aspetti etici e deontologici Dott. Renzo Mosanghini

FORM CLIENTI / FORNITORI

DOMANDA DI AMMISIONE. _l / sottoscritt nato a il Provincia residente a in via C H I E D E

RICHIESTA DI RISARCIMENTO DANNI

4. LO SCARICO DELLA PRATICA PER L INVIO TELEMATICO AL REGISTRO DELLE IMPRESE. 1. Scarico della pratica per la spedizione telematica

La responsabilità amministrativa degli enti si estende ai delitti in materia di trattamento dei dati personali. Novità introdotte dal D.l. n. 93/2013.

Allegato 3 Sistema per l interscambio dei dati (SID)

Creare una Rete Locale Lezione n. 1

REGOLAMENTO PER LA GESTIONE DELLE PROCEDURE DI PUBBLICAZIONE ALL ALBO PRETORIO ON LINE

Firma HSM. A cura di: Enrico Venuto. Politecnico di Torino Coordinatore sicurezza informatica di ateneo

CitySoftware PROTOCOLLO. Info-Mark srl

In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.

COMUNE DI CLUSONE SERVIZIO HOME AUTISMO

COMUNE DI SAN GIORGIO DELLA RICHINVELDA

StoneFax User Guide. (Settembre 2011 ver.1.1) StoneFax-User-Guide-ita-1.1.docx

137/2015 Ottobre/13/2015 (*) Napoli 22 Ottobre 2015

e-government La Posta Elettronica Certificata

ACCORDO DI RISERVATEZZA. fra. Auto Model Sport Club Italiano (AMSCI) Corso Mazzini n. 171 e Socio Richiedente Lugo di Romagna (RA) 1.

Rubrica legale - ICT Security Giugno 2004 Autore: Daniela Rocca (SG&A) SEPARAZIONE E CRIPTAZIONE DEI DATI IN AMBITO SANITARIO

Internet e il World Wide Web. Informatica di Base A -- Rossano Gaeta 1

e quindi di navigare in rete. line può essere limitato a due persone o coinvolgere un ampio numero

DATABASE MASTER (SEDE PRINCIPALE)

Transcript:

Dott. Tarcisio Niglio, M.D. Servizio Informatico Istituto Superiore di Sanità Roma Sicurezza & Privacy nella gestione di un Registro Nazionale: l esperienza ISS con il CNMR Prevenzione Italia - CLUSIT - Roma 29 ottobre 2004 Dott. Tarcisio Niglio, M.D. Servizio Informatico Istituto Superiore di Sanità Roma Sicurezza & Privacy nella gestione di un Registro Nazionale: l esperienza dell ISS Prevenzione Italia - CLUSIT - Roma 8 aprile 2005 1

Dott. Tarcisio Niglio, M.D. Servizio Informatico Istituto Superiore di Sanità Roma Sicurezza & Privacy di alcuni Archivi Sanitari dell ISS: stato dell arte Prevenzione Italia - CLUSIT - Roma venerdì 17 giugno 2005 Archivio Sanitario Nazionale Sig. Xyz Cartella clinica Risultati Laboratorio TRASMISSIONE cartacea email online 2

TELEMATICA Tecnologie Informatiche di Telecomunicazione: Hardware Software Modem (provider) INTERNET Rete (nodo) 3

Norme sulla riservatezza del contenuto dei dati scambiati Art. n.622 del Codice Penale Rivelazione di segreto professionale: Chiunque, avendo notizia, per ragione del proprio stato o ufficio, o della propria professione o arte, di un segreto, lo rivela senza giusta causa, ovvero lo impiega a proprio o altrui profitto, è punito, se dal fatto può derivare nocumento, con la reclusione fino a un anno o con la multa da L 60.000 a 1 milione (c.p.326). 4

Art. n.9 del Codice di Deontologia Medica della FNOMCeO Il medico deve mantenere il segreto su tutto ciò che gli è confidato o che può conoscere in ragione della sua professione; omissis Costituiscono giusta causa di rivelazione, oltre alle inderogabili ottemperanze a specifiche norme legislative (referti, denunce, notifiche e certificazioni obbligatorie): a) - la richiesta o l autorizzazione da parte della persona assistita o del suo legale rappresentante, previa specifica informazione sulle conseguenze o sull opportunità o meno della rivelazione stessa; b) - l urgenza di salvaguardare la vita o la salute dell interessato o di terzi, nel caso in cui l'interessato stesso non sia in grado di prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere e di volere; c) - l'urgenza di salvaguardare la vita o la salute di terzi, anche nel caso di diniego dell'interessato, ma previa autorizzazione del Garante per la protezione dei dati personali La morte del paziente non esime il medico dall obbligo del segreto. Il medico non deve rendere al Giudice testimonianza su ciò che gli è stato confidato o è pervenuto a sua conoscenza nell esercizio della professione. La cancellazione dall'albo non esime moralmente il medico dagli obblighi del presente articolo. Art. n.33 e 169 del DECRETO LEGISLATIVO 30 giugno 2003, n. 196 Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni o con l'ammenda da 10.000 euro a 50.000 euro. 5

LIVELLI DI SICUREZZA TRASFERIMENTO SERVER CLIENT Collegamento modem diretto modem modem Collegamento lento tra PC uguali 6

Velocità di connessione Modem ISDN Doppia ISDN ADSL ADSL fast WAN high speed 56 KB 64 KB 128 KB 1.280 KB 4.096 KB 50.000 KB Modem (provider) INTERNET Rete (nodo) 7

Indirizzo IP (Internet Protocol) 172.16.1.131 Equivale al mnemonico www.iss.it Indirizzo IP del gateway intranet 10.200.0.1 Molteplici sottoindirizzi 10.200.xxx.xxx 8

Struttura di un nodo IP spoofing client 198.22.125.1 ( simulato ) www.mioserver.com 198.22.125.1 ( vero ) INTERNETX 9

LIVELLI DI SICUREZZA TRASFERIMENTO SERVER CLIENT Virus Worm Malware Spyware Network worm 10

X5O!P%@AP[4\PZX54(P^)7CC)7}$ EICAR-STANDARD-ANTIVIRUS- TEST-FILE!$H+H* Inizio del listato esadecimale del codice binario del Virus JS_CBASE.EXP1 Aliases: Troj/Mimail-A W32.Mimail.A@mm 0000000 4b50 0403 000a 0000 0000 43f3 2f56 45a3 0000010 490a 5a55 0000 5a55 0000 000c 0000 656d 0000020 7373 6761 2e65 7468 6c6d 494d 454d 562d 0000030 7265 6973 6e6f 203a 2e31 0a30 6f43 746e 0000040 6e65 2d74 6f4c 6163 6974 6e6f 463a 6c69 0000050 3a65 2f2f 6f66 2e6f 7865 0a65 6f43 746e 0000060 6e65 2d74 7254 6e61 6673 7265 452d 636e 0000070 646f 6e69 3a67 6220 6e69 7261 0a79 4d0a 0000080 905a 0300 0000 0400 0000 ff00 00ff b800 0000090 0000 0000 0000 4000 0000 0000 0000 0000 00000a0 0000 0000 0000 0000 0000 0000 0000 0000 00000b0 0000 0000 0000 0000 0000 8000 0000 0e00 00000c0 ba1f 000e 09b4 21cd 01b8 cd4c 5421 6968 00000d0 2073 7270 676f 6172 206d 6163 6e6e 746f 00000e0 6220 2065 7572 206e 6e69 4420 534f 6d20 00000f0 646f 2e65 0d0d 240a 0000 0000 0000 5000 0000100 0045 4c00 0301 a800 a39d 003f 0000 0000 11

Riassumendo il versante hardware: L unico PC sicuro al 100% è quello spento e possibilmente NON in rete. LIVELLI DI SICUREZZA TRASFERIMENTO SERVER CLIENT 12

Metodi di crittografia Lisandro (400 a.c.) Metodo della striscia di cuoio su bastone 13

Cifrario di Giulio Cesare (100-40 a.c.) Chiaro a b c d e f g h i j k l m n o p q r s t u v w x y z Cifrato D E F G H I J K L M N O P Q R S T U V W X Y Z A B C Messaggio segreto Chiaro e s e m p i o d i c i f r a t u r a s e m p l i c e Cifrato H V H J M L R G L F L I U D W X U D V H P S O L F H Enigma (1918) La macchina presenta una meccanica a tre rotori D, C, S forniti di 26 contatti elettrici su ogni faccia che in modo segreto connettono ogni contatto sulla faccia destra con un contatto sulla faccia sinistra; e all'estrema sinistra un riflettore con 26 contatti elettrici solo sulla faccia destra, accoppiati a due a due secondo uno schema segreto. 14

Crittografia a doppia chiave (?!?) e Pretty Good Privacy Phil R Zimmermann (1991) Chiave pubblica (su Server remoto) Chiave privata (sul PC locale) internet 15

Sicurezza delle chiavi del PGP 384 bit 512 bit 1024 bit 2048 bit bassa commerciale militare proibita in USA Messaggio dal dottor Verdi al dottor Rossi Testo da cifrare Chiave PUBBLICA di ROSSI Testo cifrato Chiave PRIVATA di ROSSI Risultato finale Confermo diagnosi HIV pz Xyzw Dr. Verdi 03 02 FF D5 56 21 6B AA E3 77 89 8C 6F 77 AB 32 10 00 Confermo diagnosi HIV pz Xyzw Dr. Verdi 16

Nell esempio riportato: Verdi è sicuro che solo Rossi leggerà il suo messaggio. Ma chi assicura Rossi che il messaggio viene proprio da Verdi?!? Messaggio dal dottor Verdi al dottor Rossi Testo da cifrare Confermo diagnosi HIV pz Xyzw Dr. Verdi Chiave PUBBLICA di ROSSI Testo cifrato 03 02 FF D5 56 21 6B AA E3 77 89 8C 6F 77 AB 32 EF 34 2B A9 Chiave PRIVATA di ROSSI Risultato finale Confermo diagnosi HIV pz Xyzw EF 34 2B A9 Il codice è OK!!! Chiave PRIVATA di VERDI Chiave PUBBLICA di VERDI 17

Con la firma digitale: Verdi è sicuro che solo Rossi leggerà il suo messaggio. Rossi è sicuro che solo Verdi può aver scritto il messaggio. Ma chi ci assicura che Rossi è Rossi e che Verdi è Verdi?!? Modem (provider) INTERNET Rete (nodo) 18

Archivio Sanitario Nazionale Flusso dei dati e relativa gestione Sig. Xyz Cartella clinica Risultati Laboratorio TRASMISSIONE cartacea email online Archivio Sanitario Nazionale Sig. Xyz Cartella clinica Risultati Laboratorio Sig. Xyz CODICE CODICE Cartella clinica Risultati Laboratorio Firma digitale Crittografia 1024 bit https 128 bit Archivi separati fisicamente e logicamente 19

Archivio Sanitario Nazionale E-mail Anagrafica Back-up Carta On-line elaborazione dati sanitari Pagine volatili in ASP o simili su Web Gestione del Flusso dei Dati E-mail Programma di compilazione VB o Java Programma di estrazione verso DB Carta Scheda stampabile Word o PDF Data entry manuale nel DB Fusione delle 3 parti di DB On-line Programma ASP (Java o VB) Programma di interfaccia con DB 20

Scheda raccolta dati (analisi del progetto TERCHELA) 12 pagine 18 aree tematiche Poco più di 200 informazioni 15-20 minuti di tempo 21

Studio di coorte sulla ipercolesterolemia in età pediatrica nelle Comunità delle Serre Calabre (Vibo Valentia) Rischi nella Gestione Elettronica dell Informazione Sindrome di Star Trek 22

?!? Conclusioni?!? Sicurezza all interno (privacy dei contenuti) Sicurezza dall esterno (cracker & hacker) Aggiornamento continuo (hardware & software) Potrete trovare una copia di queste diapositive all indirizzo internet: http://www.tarcisio.net/20050617/niglio.pdf per contatti con Dott. Tarcisio Niglio Tel.: 06.4990.3141 Fax.: 06.6227.6150 Email: etrusco@iss.it 23