Come la Lombardia garantisce la sicurezza della Crs

Presentata in un convegno la struttura che garantisce la riservatezza dei dati della Carta regionale dei servizi

Se c’è un documento che contiene dati sensibili questo è sicuramente la
Carta regionale dei servizi. Lanciata dalla Regione Lombardia,
la Crs permette di prenotare visite ed esami e di leggere i referti direttamente
dal computer del medico di base, collegandosi semplicemente con la rete
telematica della Regione. Inoltre, permette di prenotare le
prestazioni mediche
, leggere i referti e viene usata al posto delle
tradizionali ricette cartacee. Informazioni riservate per le quali deve essere
garantita una sicurezza elevatissima.


E questo è quanto ha cercato di assicurare Lombardia
Informatica
, che si occupata in prima persona dello sviluppo
dell’infrastruttura. In prima istanza, la società ha stabilito un percorso di
Security management, che ha permesso di definire approcci,
procedure, metodi e modalità entro cui si spiegare le attività progettuali e
quelle operative relative alla sicurezza che si sarebbero svolte garantendo
l’applicazione del decreto legislativo 196/03.
“La sicurezza della sessione applicativa dell’utente in rapporto al sistema – ha spiegato Riccardo Lanza, chief architect di Lombardia Informatica intervenuto al convegno sulla sicurezza organizzato da Sirmi e Milano Finanza – ha avuto inizio tramite un
approccio che ha privilegiato l’aspetto organizzativo. In pratica, prima di
tutto è stato definito l’ambiente di riferimento attraverso un sistema di user management a cui è stato collegato un sistema con il compito di gestire le funzioni di identificazione primaria e secondaria, di autorizzazione, di accesso ai servizi e di accounting. L’obiettivo era di tracciare le azioni compiute per un eventuale controllo successivo”
.


Tali funzioni avevano alla base un’infrastruttura a chiave
pubblica
. “In questo modo – ha proseguito Lanza – abbiamo capitalizzato il fatto che il progetto permetteva di fornire agli operatori la capacità di firmare digitalmente, utilizzando una smart card”.
L’organizzazione è
descritta nel database di sicurezza secondo lo standard X521. I parametri
ricavati dall’organizzazione e utilizzati nel controllo degli accessi
comprendono le credenziali dell’utente, il suo ruolo, il distinguished name (un
insieme di caratteri che identifica in modo univoco un utente) e l’access
control list. Quest’ultima è costruita a partire dai legami relazionali tra
credenziali e servizi esposti dall’aderente.




Le
autorizzazioni
– ha precisato Lanza –
sono basate su una espressione booleana e una mezza
dozzina di attributi della credenziale, come ruolo, territorio, struttura e così
via. Il processo di autorizzazione si applica alle due tipologie tecniche di
servizi in modo analogo sia per l’accesso alle Web Application (Wa) sia ai Web
Service (Ws). L’amministrazione degli accessi è integrata per gli ambienti Wa-Ws
e la valutazione delle regole viene fatta sul front end , mentre l’autorizzazione è tracciata in modo selettivo sugli utenti a discrezione degli amministratori. La Public key infrastructure è il supporto tecnologico a queste funzioni e fornisce i certificati tramite cui è regolamentata la sicurezza”
.



Alla chiave pubblica si uniscono
certificati
finalizzati alla sicurezza del documento applicativo,
funzioni di firma, cifratura per archiviazione, marcatura temporale, certificati
memorizzati sulla smart card dell’operatore e finalizzati alla sicurezza della
comunicazione fra componenti distribuite di piattaforma. Il certificato e la
chiave privata contenuti nella smart card del cittadino sono utilizzati per la
connessioni con i principali web server di mercato tramite il protocollo
di sicurezza per le transazioni Ssl v3
(requisito Cns). Si
tratta di processi di autenticazione in cui l’applicazione utente firma,
con la chiave privata relativa a tale certificato, quanto ricevuto da un server
remoto (requisito Cns).


Infine, troviamo i processi di attestazione ovvero
di firma elettronica non avanzata per attestare, nel dominio Siss, la presenza del cittadino durante l’erogazione di una prestazione.
Sino ad oggi sono state distribuiti oltre 8,5 milioni di
Carte regionali dei servizi e 208 sono le farmacie avviate. Ha aderito
all’iniziativa più della metà dei medici e dei pediatri dell’intera Regione.
Tutte le Asl hanno integrato al Siss i propri sportelli di scelta e revoca, così
come tutte le Aziende ospedaliere della Regione hanno avviato la fase di servizi
iniziali e già i 2/3 è nella fase di consolidamento. Oltre la metà delle
transazioni Siss sono sottoscritte con la firma digitale.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome