Negli ultimi mesi il termine blockchain ha conquistato una elevata visibilità, ma non tutti conoscono davvero le possibilità di questa nuova tecnologia e soprattutto i differenti ambiti in cui può essere utilizzata. La blockchain nel settore sanitario è di certo uno di questi ambiti, come ben analizzato nell’articolo Blockchain in Sanità, ecco tutti i problemi che può risolvere di AgendaDigitale. L’aumento del volume di dati da archiviare ed elaborare, infatti, diventa ogni anno sempre più difficile da gestire per ospedali e cliniche.
La blockchain rappresenta dunque una possibilità per la sanità in quanto uno dei suoi principali vantaggi è proprio la garanzia dell’integrità del dato, dove la condivisione sicura delle informazioni tra gli operatori sanitari e le entità che vengono in contatto con le strutture sanitarie (pazienti, medici di base, compagnie di assicurazione ecc.) sono cruciali per garantire servizi medici adeguati.
Quando le informazioni sono registrate e crittografate, diventa impossibile cambiarle o rimuoverle.
Uno degli approcci blockchain che consente la registrazione e la condivisione sicura delle informazioni è l’ancoraggio dei dati ad una blockchain pubblica. Questo metodo implica la generazione di una prova di integrità dei dati: usando questa prova, ogni utente può verificare il timestamp dei dati senza la necessità di affidarsi a terze parti.
Questo metodo consente agli utenti di:
- verificare l’integrità del dato;
- avere dei referti o consulti medici immodificabili;
- dimostrare l’integrità dei risultati della ricerca clinica;
- ridurre le spese di revisione e garantire la conformità normativa;
- garantire la sicurezza dei dati nel loro complesso.
La privacy e la sicurezza dei dati dei pazienti trattati dalle strutture sanitarie è strettamente regolamentata dal GDPR e richiede che la loro gestione sia particolarmente sicura. Tuttavia, è necessario comprendere in che modo la blockchain può aiutare a proteggere i dati fornendo allo stesso tempo un accesso magari parziale al dato.
Così la blockchain può proteggere i dati
La blockchain crea un hash, una “impronta digitale”, per ogni blocco di dato riservato o sensibile e al contempo crea un ID paziente che fungerà da collettore. Utilizzando un’API, le entità autorizzate potranno ricevere le informazioni necessarie senza che venga rivelata l’identità del paziente ma sfruttando solo l’ID generato. Allo stesso modo, un paziente potrà decidere a chi fornire l’accesso e se questo accesso sarà completo o parziale. Inoltre, un paziente potrà impostare specifiche di dettaglio di utilizzo alle terze parti, che dovrebbero dare a loro volta il loro permesso per condividere i dati con altri soggetti.
Il termine API in informatica, come spiegato nell’articolo Cosa sono le API e quale impatto hanno sul business di ZeroUnoWeb, è semplicemente l’acronimo di Application Programming Interface, prettamente legato alla programmazione software, che automatizzando alcune procedure permette di semplificare il dialogo tra un’applicazione e un’altra evitando replicazioni di codice.
Incentivate dalle esigenze di mobility e cloud, le API stanno diventando un elemento chiave del progresso perché portano una componente di integrazione e di scambio delle informazioni che rende più veloci gli accessi, assicurando nel contempo scalabilità, sicurezza e flessibilità delle piattaforme applicative realizzate.
Ovviamente permane l’importanza fondamentale di monitorare l’uso delle API aziendali e proteggerle, aspetti strategici per evitare il rischio che uno script anomalo o infetto possa generare una vulnerabilità su tutte le applicazioni e i sistemi aziendali che si interfacciano con essa.
Il rischio, infatti, potrebbe palesarsi attraverso una violazione in grado di introdurre uno script dannoso nel database principale e nel caso in cui il codice delle API non riesca a rilevare tale script e a pulire i dati prima che vengano inviati a una richiesta proveniente da altre chiamate alle API inserite in un’applicazione di terzi, questo script dannoso potrebbe essere inviato a qualsiasi applicazione collegata, compromettendo i dati di migliaia di utenti, molto spesso ignari di quello che sta accadendo alle proprie informazioni sensibili.
Proprio falle nella gestione degli accessi e delle autorizzazioni alle API sono negli ultimi anni la causa di grandi problematiche di sicurezza come, ad esempio, il recente scandalo di Google+, dove un bug presente da anni nelle API di programmazione ha consentito ad un utente malevolo di sovvertire il sistema e recuperare in modo fraudolento i dati di oltre 500.000 utenti e portato alla chiusura del social network di casa Google.
A cura di Marco Rizzi, Information & Cyber Security Advisor presso P4I – Partners4Innovation e Gaia Rizzato, Trainee Information & Cyber Security presso P4I – Partners4Innovation
