PM - HOME PAGE ITALIANA PM-TELEMATIC PUBLISHING PSYCHO-BOOKS

PM-TP
PSYCHOMEDIA
Psycho-Books


SICUREZZA INFORMATICA
PER PSICOLOGI E PSICHIATRI

Luca Pezzullo @ 2002 per Psychomedia Telematic Review

INTRODUZIONE



"Ho avuto per 6 mesi un programma spia nel mio computer. Me lo sono preso semplicemente aprendo una email. Poi mi hanno avvertito che tutte le cartelle cliniche che avevo registrato nel disco fisso potevano essermi state trafugate da settimane, senza che io lo sapessi."
Anonimo Psichiatra

"ROMA (Reuters) - Insolito furto questa notte in un ospedale romano. I ladri, penetrati negli uffici del complesso ospedaliero San Filippo Neri dopo aver scassinato una finestra, hanno infatti rubato parti di computer e le memorie in cui erano immagazzinati i dati relativi ai pazienti del nosocomio.
Lo hanno riferito a Reuters fonti della questura."
Lancio Reuters, 8 gennaio 2001

"Gli elaboratori devono essere protetti contro il rischio di intrusione (...) mediante idonei programmi, la cui efficacia ed aggiornamento sono verificati con cadenza almeno semestrale."
DPR 318/99, Misure minime in tema di trattamento dei dati personali

"Art. 36. 1.Chiunque, essendovi tenuto, omette di adottare le misure necessarie a garantire la sicurezza dei dati personali, è punito con la reclusione sino ad un anno. Se dal fatto deriva nocumento, la pena è della reclusione da due mesi a due anni. 2. Se il fatto di cui al comma 1 è commesso per colpa si applica la reclusione fino a un anno." Legge 675/96 (Legge sulla Privacy)


Questa vuole essere un'introduzione semplice e chiara ai principali problemi di sicurezza informatica che possono colpire l'incauto psicologo/psichiatra che si avventura per i mari di Internet, magari navigando con il computer che contiene tutti i dati personali dei suoi clienti.
Ovvero, si proverà a spiegare in maniera "poco tecnicistica" come ridurre drasticamente i rischi di virus, infiltrazioni, download illeciti, perdita di dati e quant'altro, scritto in un linguaggio semplice ed adatto alle limitazioni tecnico-informatiche di gran parte degli psicologi e psichiatri.

Molte delle minacce esaminate nelle prossime pagine sono indubbiamente remote, ma, nel caso colpissero, particolarmente distruttive. L'utente medio difficilmente corre rischi "esotici", quali un pericoloso pirata informatico che decida di penetrare specificatamente nel suo computer; ma molte minacce "normali" sono non di meno sufficienti a preoccupare, data la frequente delicatezza dei dati personali custoditi nei computer degli operatori psi-. Può essere quindi utile presentare una panoramica delle principali opzioni di sicurezza informatica. Sarà cura di ciascuno valutare poi quali e quanti misure di sicurezza adottare, in base al tipo di attività che svolge in rete ed ai dati da proteggere. La sicurezza è sempre una via di mezzo tra paranoia ed ingenuità, ed il livello di sicurezza da realizzare è sempre derivante da un'analisi del rapporto costi/benefici necessario a realizzarlo.
Queste linee-guida sono una buona cintura di sicurezza. Non vi salveranno da un TIR (cioè un attacco specifico, deliberato ed altamente professionale), ma vi aiuteranno in molti altri tipi di incidenti, anche di gravità medio-alta.

Perchè è necessario proteggersi

Analizziamo alcune situazioni possibili, e che possono farci capire in pochi secondi l'urgente necessità di sviluppare una "cultura della sicurezza informatica".

Uno psichiatra od uno psicoterapeuta che mantengano dati clinici sensibili sul computer che usano per navigare in Internet stanno esponendosi ad un rischio non indifferente: che tutti i dati dei loro pazienti e della loro attività possano essere persi o copiati da terze persone.
Quella che può sembrare una minaccia remota è in realtà molto più vicina di quanto si immagini.

- Un semplice virus delle macro di Word è in grado di cancellare tutti i documenti ("sensibili" o meno) che teniamo sul computer. Una soluzione efficace è l'uso di un buon antivirus, ma quanti lo usano e lo tengono continuamente aggiornato ?

- Un professionista che navighi con lo stesso computer su cui mantiene le schede o le cartelle dei pazienti rischia di ritrovarsi infettato con un Troiano. I Troiani sono dei programmi sviluppati per introdursi nei computer bersaglio e prenderne il controllo, oppure per prelevare o modificare, in maniera nascosta, i files presenti (compresi i files di sistema). Questo significa che un professionista che inconsapevolmente riceve un troiano (ad esempio tramite un banale allegato di posta elettronica) rende "de facto" disponibili tutte le schede cliniche dei suoi pazienti al primo "ragazzino di passaggio". Per difendersi da questo tipo di minacce è necessario accoppiare un antivirus con un firewall, ma quanti psicologi sanno anche solo di cosa si tratti ?

- L'ipotesi peggiore è quella di un attacco deliberato al sistema del professionista. Remota, ma non impossibile (ed anzi, si inizia già a sentire parlare dei primi casi). Prendiamo ad esempio il marito di una paziente, la quale ha in corso una complessa causa di divorzio. Il marito sa che la moglie è una nostra cliente; si procura un semplice troiano da uno dei tantissimi siti Internet che li diffondono liberamente, e ci invia una email infetta. Se la apriamo senza controllarla, ci troviamo (senza saperlo) con il troiano installato nel nostro sistema. Il marito potrà quindi verificare con calma tutti i dati, le schede, le informazioni riservate relative alla moglie, e potrà sfruttarli a piacere per la sua causa di divorzio. En passant, può anche visionare a suo piacere i dati di tutti gli altri pazienti...
La soluzione a questo tipo di problemi è quella di unire un buon antivirus, un ottimo firewall ed un efficace programma di crittografia.

Questo tipo di discorso può sembrare troppo tecnico allo psicologo o psichiatra medio, ma in realtà così non è.
Si tratta di pratiche "igieniche" semplici e sicure, che il professionista psi- deve mettere in atto non solo per buon senso, ma anche per garantire responsabilmente la privacy e la sicurezza dei dati dei suoi pazienti. Quello della sicurezza informatica dei dati sensibili inizia sempre più a configurarsi come uno stringente obbligo deontologico e legale (si veda l'appendice per un'analisi di quanto dice la legge, e delle conseguenze a cui può andare incontro un professionista "distratto").
Lasciare senza protezione i dati dei clienti sullo stesso computer con cui si naviga, equivale semplicemente a lasciare "la porta dello studio aperta a tutti i passanti", ai curiosi, ai parenti, agli amici (ed ai nemici) dei nostri pazienti. Non ha il minimo senso, assolutamente il minimo senso, chiudere a chiave le cartelle cartacee in un armadio dello studio, se poi le "distribuiamo liberamente" tramite Internet al primo "curioso" dotato di un minimo (ma davvero un minimo) di competenza tecnica.

Una recentissima rilevazione di Symantec, una delle più importanti società internazionali di sicurezza informatica, ha permesso di scoprire che oltre il 30% dei personal computer usati per connettersi in rete presentano gravissime vulnerabilità nei confronti di tentativi di intrusione informatica (tali da rendere pressochè automatico l'accesso a chi dispone del programmino giusto), ed oltre il 35% non ha la minima difesa contro i virus… tenete conto che il campione era autoselezionato tra coloro che pensavano di avere un PC “sicuro”.

Pensate di non averne bisogno ? È una libera scelta. Ma prima, fate un semplice giretto su questo sito (http://snoop.anonymizer.com), e guardate quante cose è possibile sapere di voi e del vostro computer solo facendo un innocente giretto su un qualunque sito: sistema operativo, scripting attivati, siti visitati, contenuti dei cookies, indirizzo IP, percorso fatto dai pacchetti di dati scambiati col sito, etc…
Ed adesso immaginate quante cose è possibile vedere (e fare) sul vostro sistema, se qualcuno che se ne intende ne avesse veramente voglia… non è "terrorismo psicologico", ma la semplice constatazione di fatti e problemi ormai quotidiani.

Gli unici requisiti necessari per comprendere questa guida ed iniziare a proteggersi meglio sono la conoscenza minima del sistema operativo utilizzato, sapere cosa sono files e directory, la differenza tra software ed hardware, e praticamente null'altro. Come si vede, competenze assolutamente elementari.

La Guida è suddivisa in varie sezioni, i cui contenuti si applicano pressochè a tutti i sistemi PC (e Mac, anche se i Mac sono intrinsecamente più sicuri dei sistemi PC+Windows). Solo il discorso che faremo in relazione alle “impostazioni del sistema operativo”, si riferirà in particolare modo agli utenti dotati di PC con sistema operativo Windows 95/98/ME. Windows 2000 è un sistema professionale e di rete, a cui comunque si possono applicare molte delle cose scritte. Windows NT è un sistema di rete (di cui solitamente non dovrete preoccuparvi voi). Windows Xp “dovrebbe” garantire una maggiore stabilità e sicurezza del sistema, prevedendo anche un rudimentale Firewall (si veda la sezione apposita) e sistemi di autenticazione per i profili utente e l'accesso ai dati (anche se sono già emerse le sue prime, gravi, vulnerabilità). La versione Professional di Xp è molto curata sotto il profilo della sicurezza dei dati, e prevede la cifratura completa del File System (si veda più avanti la parte sulla crittografia). Informazioni più specifiche per tutti questi sistemi operativi possono essere comunque reperite nelle fonti di aggiornamento indicate alla fine del testo.

Prima di tutto, invito però a leggere il Disclaimer posto in fondo all'ultima parte della Guida. Non vi spaventate, le procedure esposte nella Guida sono veramente "sicure" (nella maggior parte dei casi, sono proprio "banali"): ma non vorrei mai trovarmi citato per danni per imperizie, o problemi software, o qualunque altro problema che possa eventualmente capitare. Idem per un utilizzo illecito delle informazioni presentate (sai mai che uno psicologo decida di giocare al pirata informatico... comunque è difficile, essendo informazioni sostanzialmente orientate alla protezione più che all'attaco).
Un disclaimer del genere lo trovate anche su qualunque libro di testo di medicina, o sulla confezione di un videogioco.
Vi siete assunti le vostre responsabilità ? :-)
Bene, allora adesso possiamo iniziare...

La Guida è divisa in più parti, per facilitarne la consultazione. Sono quindi leggibili modularmente, anche se i continui rimandi interni ed il normale sviluppo del discorso preferirebbero una lettura organica… Ma siccome il tempo è poco, dopo aver letto la prima parte potete iniziare ad approfondire i temi che più vi servono senza altri prerequisiti.

La prima parte comprende l'introduzione, l'Analisi di Rischi ed Attacchi, e le Impostazioni del Sistema Operativo.
La seconda parte comprende i fondamenti di Protezione dei Documenti e le modalità per impostare una buona Password (per quanto possa stupirvi, è una delle cose più delicate e difficili).
La terza parte è relativa ai problemi di Privacy ed anonimato in Rete: navigazione web anonima e sicura, il Profiling, lo Spyware e l'utilizzo degli Anonymous Remailer per l'invio di email anonime.
La quarta parte tratta due problemi critici: da un lato i Virus e la Difesa Antivirale, dall'altro i Firewalls per proteggersi dai tentativi di intrusione telematica.
La quinta parte riguarda la Crittografia, ovvero le (semplici) tecniche per cifrare i propri dati riservati sul computer, o per scambiarsi email sicure.
La sesta parte contiene le Appendici (l'analisi e la discussione delle disposizioni di legge che ci riguardano direttamente in tema di protezione dei dati informatici sensibili; la guida dettgliata a ZoneAlarm; i riferimenti bibliografici e webografici; il disclaimer).

Buona lettura, e soprattutto, ricordatevi che adesso avete tutti gli strumenti per proteggere la sicurezza informatica dei vostri dati e dei vostri clienti… ora fatene buon uso ! :-)


PM - HOME PAGE ITALIANA NOVITÁ RIVISTA TELEMATICA EDITORIA MAILING LISTS