Autenticazione e user experience nei servizi sanitari online

Introduzione

Creare un modello organizzativo di supporto alla sanità digitale è un’operazione particolarmente complessa, dove il dominio di rischio da gestire è fortemente caratterizzato da problematiche di natura legislativa, organizzativa e culturale. Un governo del sistema, oltre alla parte tecnologica, deve considerare l’intero contesto socio-economico, includendo ricerca e territorio. Allo stesso modo, lo sviluppo del singolo servizio digitale deve coinvolgere tutti gli attori per ottimizzare e valorizzare la qualità dei servizi, sia dal punto di vista dell’erogazione che della fruizione. Questo passaggio è fondamentale per innovare, massimizzare l’utilizzo delle tecnologie ed instaurare un rapporto di fiducia con il cittadino.

L’esperienza dell’utente nella fruizione dei servizi sanitari online può avere un impatto negativo sull’organizzazione. La percezione di task ridondanti, tempo sprecato per svolgere operazioni banali, errori, messaggi sbagliati possono infatti degradare considerevolmente la user experience complessiva. Una prima impressione delle funzionalità e della fiducia percepita dall’utente può essere legata all’interazione con il sistema di verifica e conferma dell’identità digitale. Il compito di bilanciare correttamente il costo ed il beneficio dell’autenticazione è, infatti, un obiettivo fondamentale.

Nella sua forma più comune, user e password, l’autenticazione si è rivelata negli anni una misura di sicurezza sempre più debole, oggi non più sufficiente ad assicurare la protezione delle informazioni sanitarie. Vincoli tecnici ed eccezioni alle policy di sicurezza, sono degli elementi che insieme alle cattive abitudini degli utenti contribuiscono al degrado costante della qualità di questo meccanismo di protezione:

– Complicazione. Le password complesse sono difficili da ricordare: ciò è un dato di fatto. Si preferisce memorizzarle in posti facilmente reperibili (in maniera cartacea, come il classico bigliettino all’interno del taccuino e il post-it sulla scrivania, sia in maniera elettronica: falsi contatti nella rubrica telefonica personale, documenti di lavoro adatti a questo scopo, email, ecc…)

– Proliferazione. I diversi sistemi software, normalmente presenti in un’azienda multi servizi quale è una azienda sanitaria, possiedono il loro meccanismo di autenticazione: questo tipo di organizzazione tecnica denota una conformazione a silos. Ci sono troppe credenziali da ricordare e, come molte analisi dimostrano, gli utenti scelgono la stessa password sia per servizi aziendali sia personali.

– Uso scorretto. Ciò accade quando qualcuno utilizza l’identità digitale di un altro utente, per esempio in caso di password condivise e delega, anche sistematica, delle credenziali. Molti casi di cronaca raccontano di frodi in sanità svolte “rubando” le password dei colleghi.

– Mancanza di consapevolezza. L’utente non si cura della protezione della sua identità digitale e sottovaluta i rischi associati alla perdita delle proprie credenziali. Il rischio risulta ancora più alto quando la password è debole, non viene mai cambiata, viene ceduta anche temporaneamente al collega o ad altre figure professionali.

– Continuità operativa. L’utente che dimentica la password può attendere un tempo indefinito per ottenerne una nuova. Il processo di reset può creare problemi di continuità di servizio, incrementando i costi del sistema. Considerato che in un’organizzazione vi possono essere centinaia di trattamenti sanitari informatizzati, questo ritardo non è trascurabile.

– Portabilità. I sistemi di autenticazione impattano molto sull’operatività dell’utente. L’accesso tramite smartcard necessita di ulteriore hardware aggiuntivo poco pratico da trasportare, che crea un forte ostacolo in mobilità.

Esistono inoltre delle criticità a livello organizzativo: la struttura dei servizi eredita i difetti dell’organizzazione, in particolare se strutturata in dipartimenti. Gli attori coinvolti spesso non si parlano tra loro e creano ostacoli nella predisposizione dei meccanismi di integrazione e dello scambio dei dati, aggravando notevolmente i costi dei processi. La complessità tecnologica, lo scenario di rischio in continua evoluzione e la compliance richiedono un ISM – Information Security Management, ma  nelle aziende non sono presenti dei modelli organizzativi di supporto a tale paradigma.

L’introduzione di un framework per gestire l’identità digitale, in questo scenario specifico, può certamente aiutare ad inquadrare e  risolvere le problematiche elencate precedentemente, creando le giuste condizioni per ottimizzare gli investimenti, migliorare la cultura aziendale ed il grado di sicurezza globale.

La protezione dell’identità digitale

Il processo di autenticazione elettronica, in generale, è utilizzato per verificare l’identità digitale di un soggetto nell’utilizzo di un servizio online. Questo meccanismo può essere gestito con livelli di sicurezza differenti, in base alla criticità dei servizi offerti e dai dati trattati. La tecnologia SPID, per esempio, si basa sullo standard ISO/IEC DIS 29115 e stabilisce tali “Level of Assurance” – LoAs e definisce tre livelli di sicurezza, relativi a diversi livelli dello standard:

– Primo livello: (Level of Assurance 2 (LoA2) dello standard ISO/IEC DIS 29115). Questo livello è utilizzato quando il rischio associato ad autenticazione errata è moderato. Ciò garantisce un buon livello di sicurezza, utilizzando un singolo fattore di autenticazione. Esempio: userID + password.

– Secondo Livello: (Level of Assurance 3 (LoA3) dello standard ISO/IEC DIS 29115). Questo livello è utilizzato quando c’è alta confidenza in un’identità asserita dall’entità, ed esiste un “rischio sostanziale” associato ad errata autenticazione. Ciò garantisce un alto livello di sicurezza. Ogni informazione segreta scambiata nell’autenticazione deve essere protetta con la crittografia. Esempio: UserID + password + OTP.

– Terzo livello: (Level of Assurance 4 (LoA4) dello standard ISO/IEC DIS 29115). Questo livello garantisce un altissimo grado di sicurezza ed è compatibile con l’uso di due sistemi di autenticazione a due fattori, basati su certificati digitali e chiavi private memorizzate in dispositivi conformi alla Direttiva 1999/93/CE all.3 . Il livello è appropriato per tutti i servizi per i quali il furto dell’identità può causare seri e gravi danni. I Service Providers che gestiscono dati sanitari devono interfacciarsi con gli Identity Providers a questo livello di protezione. Esempio: smartcard + PIN.

Ad oggi, vi sono circa 3656 pubbliche amministrazioni che erogano 4155 servizi tramite l’autenticazione con SPID. Alla fine del 2017 tutte queste organizzazioni dovranno prevedere questa tecnologia, secondo le specifiche sopracitate. Le organizzazioni sanitarie dovranno implementare SPID a livello 3 nel trattamento di dati sanitari.

Un risparmio in termini di tempo operatore

Da una stima presentata il 15 Ottobre 2016 al IX Congresso Nazionale SIHTA – Società Italiana Health Technology Assessment, per un singolo trattamento con circa 4600 utenti, si è calcolato che in un anno vengono svolti 575 reset password. Un operatore ICT interno costa mediamente 25,46€/ora: se questo soggetto impiega, ad esempio, 10 minuti per svolgere un reset password – rintracciando il professionista clinico, comunicando le modalità di reset, contattando la terza parte gestore del servizio, ogni reset password costa 4,24 €. Il costo totale per un singolo trattamento è 2.438,00€. In un’organizzazione sanitaria con 100 trattamenti il costo operatore complessivo  è di 243.000,00€/anno. In ogni caso tale valore è sottostimato, poiché:

– il tempo per un reset password dipende sia dai Service Level Agreements, sia dal fatto che reperire telefonicamente il professionista sanitario – impegnato in un reparto ospedaliero, in un pronto soccorso e in sala operatoria – può comportare anche delle ore.

– continuità operativa: vi sono costi dovuti al blocco del servizio per l’utente coinvolto;

– terze parti: vi sono costi relativi alle attività svolte dai fornitori esterni.

Queste evidenze, naturalmente, possono aiutare il CIO – Chief Information Officer nella valutazione del costo opportunità per la messa a regime di un servizio/attività fondamentale alla sicurezza, come l’IT Change Management.

Autenticazione non a norma

Dal punto di vista della privacy, SPID è designato per essere a norma con il nuovo GDPR – General Data Protection Regulation, in quanto all’art. 32 il Titolare ed il Reponsabile del Trattamento adotterebbero adeguate misure di cautela per proteggere i dati personali. In tal modo si ridurrebbe il rischio di incidenti di sicurezza, data breach, sanzioni da parte dell’Autorità Garante e risarcimenti da parte degli interessati per eventuale danno privacy.

Attualmente, in molti servizi di Fascicolo Sanitario Elettronico online, si accede a livello 2 e non a livello 3.

Ciò però sembra in contrasto con il GDPR poiché, in base alla definizione di SPID, il livello 2 non è un’adeguata misura di cautela. Il livello di protezione massima esiste già ed è fornito gratuitamente al cittadino, non con SPID ma tramite la Tessera Sanitaria.

Il recepimento della norma non ha tenuto conto dello standard ISO/IEC DIS 29115: ciò è probabilmente accaduto per il fatto che, già in passato, per incentivare l’uso dei servizi online al cittadino, alcune aziende sanitarie hanno effettuato un abbassamento dei livelli di sicurezza nel processo di autenticazione, implementando un meccanismo OTP – One Time Password. Di conseguenza il rischio legato a questo processo è aumentato.

I cittadini che utilizzano SPID o altri sistemi di autenticazione via OTP, però, non sono informati del fatto che i loro dati non sono garantiti con il livello di sicurezza massimo previsto.

Esistono numerosi malware in grado di intercettare la password e l’OTP veicolata sul medesimo dispositivo: l’autenticazione su smartphone con OTP tramite SMS può essere tranquillamente ‘bucata’. E’ da chiedersi se, in caso di violazione dei dati sanitari, la responsabilità può essere anche estesa all’IP – Identity Provider che ha fornito il servizio di autenticazione con un livello di assurance non aderente allo standard.

Contromisure

Per migliorare il servizio ed elevare il livello di sicurezza dei sistemi di autenticazione di livello 2 attuali, sarebbe comunque possibile intervenire con delle contromisure a costo contenuto:

1) Rendere a norma il livello di sicurezza dell’autenticazione   inserendo un fattore di autenticazione in più rilasciato da un’autorità certificata, come ad esempio un documento di riconoscimento. Alcune cifre in posizione random del numero della Carta d’Identità potrebbero essere richieste in fase di autenticazione per aumentare il livello di sicurezza.

2) Migliorare la user experience. Ad oggi molte applicazioni per il cittadino sono fruibili solo via browser, e sui dispositivi mobili vi sono problemi di impostazione del layout grafico, con conseguenti difficoltà di inserimento dei dati di autenticazione. Occorre minimizzare l’input dei dati: il codice fiscale (16 cifre) ed il numero di tessera sanitaria (20 cifre) sono molto difficili da ricordare: risulta verboso e complicato digitarli senza errori in mobilità. Occorre tenere presente che, ad oggi, la piattaforma più diffusa è lo smartphone: occorre fornire un’applicazione mobile che offra un’interfaccia grafica intuitiva, migliorando la mobilità del servizio con un facile e minimo inserimento dei dati necessari all’autenticazione, minimizzando gli errori in fase di digitazione. Il numero di tessera sanitaria può essere memorizzato sul dispositivo personale e può essere utilizzato il qr-code per evitare la digitazione del codice fiscale da parte dell’utente: il tempo di download di un referto, ad esempio, può essere drasticamente ridotto se il qr-code è memorizzato sulla ricevuta di accettazione dell’esame.

Conclusione

Migliorare l’usabilità, la facilità, l’efficienza del sistema significa dare maggior senso e valore all’interazione con il servizio, garantendo il massimo grado di dignità per il fruitore.

Le aziende sanitarie dovrebbero mettere sempre al primo posto questi principi oggettivi per sostenere il modello di supporto della tecnologia, essendo gestori di dati sanitari delle persone e quindi attori di massima responsabilità etica e sociale.

L’implementazione di un meccanismo di autenticazione richiede sicuramente alla base un modello organizzativo valutato nell’intero sistema sanitario, secondo i principi dell’Health Technology Assessment.

Le situazioni di non-compliance, però, richiedono un’immediata risoluzione, nella prospettiva di minimizzare il rischio legato al dato sanitario e gestire il cambiamento tecnologico.

SUGGERIMENTI BIBLIOGRAFICI

• Truffa al San Martino di Genova: I ‘furbetti delle analisi’ violavano i computer
  http://genova.repubblica.it/cronaca/2017/01/22/news/truffa_al_san_martino_i_furbetti_delle_analisi_violavano_i_computer-156580772/
• IX Congresso Nazionale SIHTA
  http://www.sihta.it/component/content/article/297
• Sistema Pubblico per la gestione dell’Identità Digitale – SPID
  http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/spid
• Osservatorio Europrivacy
  http://europrivacy.info/it/
• The Hacker News – End of SMS-based 2-Factor Authentication
  http://thehackernews.com/2016/07/two-factor-authentication.html

A cura di:

Dott. Giampaolo Franco – Azienda Provinciale per i Servizi Sanitari di Trento

Prof. Bruno Crispo – Dipartimento di Ingegneria e Scienza dell’Informazione – Università di Trento

Dott. Giovanni Maria Guarrera – Azienda Provinciale per i Servizi Sanitari di Trento

Dott. Claudio Dario – Azienda Provinciale per i Servizi Sanitari di Trento.