Un virus (non informatico) ha messo in ginocchio l’intero pianeta: sembra l’incipit di un romanzo di fantascienza, ma purtroppo è la realtà di quanto abbiamo vissuto e stiamo vivendo tuttora ogni giorno.

L’uomo ha conosciuto sicuramente altre pandemie, ma possiamo affermare che questa è la prima volta di una pandemia in un mondo tecnologicamente avanzato, interconnesso e digitalmente evoluto, con tutti gli aspetti positivi e negativi del caso.

Per capire come l’utilizzo del digitale può aiutarci a superare il particolare momento che stiamo vivendo, riprendiamo gli aspetti trattati dall’approfondimento fatto tempo fa nell’evento Digitale e sanità ai tempi del Covid-19, organizzato da ASSI – Bologna alla fine dello scorso maggio.

In questo webinar (usufruibile nel canale YouTube di ASSI) sono stati esaminati due aspetti molto importanti di questo ambito: la gestione e il controllo dei dati della pandemia e i rischi/pericoli (per la cybersecurity) di un’app di tracciamento distribuita a tutta la popolazione.

Sono due aspetti tipici di come l’information technology, raccogliendo ed elaborando dati, può aiutare la comprensione di fenomeni che impattano sulla qualità della vita di ognuno. In questa sintesi cercheremo di evidenziare quanto è stato presentato.

Gestione e controllo dei dati della pandemia

Con l’aiuto di Vittorio Aronica (Transformation Director – Engineering D.HUB), abbiamo seguito il percorso che è stato compiuto dalla Regione Veneto e dai partner tecnologici coinvolti, tra i quali Engineering D.HUB, per contrastare la pandemia fin dagli inizi.

Innanzitutto è necessario tornare indietro nel tempo di qualche mese, ricordando la situazione che esisteva a fine febbraio-inizio marzo, quando ancora non erano note molte cose che ora conosciamo.

Regione Veneto è stata una delle prime regioni colpite dai primi casi di Covid-19; l’esigenza di avere informazioni precise e in real time sulla diffusione del Sars-CoV-2 è risultata quanto mai indispensabile da subito per poter prendere decisioni sul governo della situazione e per predisporre un’immediata risposta del sistema sanitario regionale.

Già dagli ultimi giorni di febbraio si diede il via alla creazione di un sistema di biosorveglianza che riuscisse a raccogliere, integrare, interpretare e far visualizzare le informazioni essenziali sui diversi aspetti della diffusione del virus, basandosi su dati di geolocalizzazione, modelli epidemiologici, mappe predittive e analisi particolareggiata dei dati.

Questo tipo di monitoraggio, eseguito costantemente, permise di prendere decisioni e monitorare l’efficacia di queste decisioni in termini dei benefici ottenuti.

L’unità di crisi regionale decise, come priorità, di fornire un ausilio per i medici di base, dimostratosi poi vincente, con lo scopo di conoscere lo stato di salute dei pazienti in tempo reale; il requisito, espresso il 27 febbraio, si concretizzò i primi di marzo con una prima versione del servizio per i medici di medicina generale.

Nei giorni successivi, con metodologia Agile, e quindi con un incremento successivo di servizi e funzionalità, il sistema venne reso disponibile per i membri della task-force regionale, a seguire per gli operatori delle aziende sanitarie e alla fine anche per i medici competenti delle imprese operative nel territorio. Ognuno di questi attori con visibilità sulle informazioni limitata al proprio ruolo e profilo in ottemperanza al rispetto della data privacy.

e4Bios di Engineering
Progetto e4Bios di Engineering al servizio della sanità in emergenza Covid-19

Man mano che cresceva il contenuto informativo del sistema attraverso l’integrazione di nuovi flussi informativi e della realizzazione di mappe di contagio, emerse in modo chiaro e inequivocabile la problematica relativa alle RSA per anziani e la relativa gestione in priorità.

In questo modo venne individuata, quindi, la portata del fenomeno nel territorio, supportando le autorità sanitarie nelle decisioni più opportune circa l’esigenza di testare con i tamponi tutta la popolazione residenziale nelle case di riposo e l’applicazione di norme restrittive sulla mobilità delle persone e sull’accesso alle aree critiche.

Inoltre, ciò permise un’analisi previsionale dell’evoluzione del contagio, individuando le zone di possibile espansione per il Covid-19, così da organizzare per tempo i presidi sanitari e la risposta del sistema sanitario regionale in termini di risorse operative.

Le informazioni quindi esistevano già nel sistema: era necessario mettere assieme dati provenienti da fonti e silos differenti (ospedali, regione, asl, laboratori, etc.) e darne una visualizzazione integrata, immediata e centrata sulla problematica Covid.

Il lavoro di Engineering, attraverso la piattaforma software di biosorveglianza Eng-DE4BIOS, fu proprio quello di integrare i dati e aggregarli in maniera logica per creare un vero e proprio ecosistema IT.

Questo allo scopo di poter comunicare i risultati in modalità semplice (attraverso la grafica e le visualizzazioni in tempo reale) di come le informazioni si modificavano nel tempo.

Questa esperienza di successo si ebbe grazie al lavoro sinergico fra i decisori delle istituzioni, i clinici, gli specialisti IT della regione e gli specialisti IT di Engineering, dove lo sforzo reciproco di capire e parlare lo stesso linguaggio consegnò il risultato di eccellenza che conosciamo e che poi venne esportato anche in altre realtà.

Possiamo quindi affermare che, anche a fronte di un numero consistente di dati circoscritti ai singoli ambiti, solo se viene eseguita un’operazione di omogeneizzazione e messa in relazione dei dati emergono poi le informazioni di cui abbiamo necessità per capire e interpretare i fenomeni.

App di tracciamento, rischi e pericoli

Il secondo tema trattato è altrettanto importante perché riguarda come la tecnologia di cui disponiamo può aiutarci a identificare e circoscrivere l’epidemia fin dall’inizio, analizzando i contatti e identificando i possibili contagi riconducibili a un malato di Covid-19 non ancora identificato.

Ovviamente questo aspetto viene cronologicamente dopo il periodo di emergenza della primavera scorsa e si identifica come presidio di prevenzione per mitigare il rischio di contagio.

L’idea di un’App di tracciamento (contact tracing) nasce inizialmente, in Oriente dove si è sviluppata originariamente l’epidemia, ma, in una società come la nostra, si porta dietro molti problemi legati alla privacy e ai rischi e pericoli per la cybersicurezza dei dati trattati.

Anche in questo caso occorre fare un passo indietro nel tempo, perché molte cose ora si sono chiarite e l’App Immuni è attiva su tutto il territorio nazionale, mentre a fine maggio molti erano i dubbi e le perplessità legate alla partenza della App governativa.

Stefano Fratepietro, Ceo – Tesla Consulting, Cso – Be Shaping the Future, ha iniziato il proprio intervento ricordando l’iter, in verità per alcuni aspetti anomalo, che ha portato alla selezione e alla scelta di Immuni. Ci si sarebbe aspettata una selezione più approfondita e con verifiche tecniche puntuali, ma forse i tempi erano stretti e la necessità di partire, in previsione del termine del lockdown, era impellente.

Stefano Fratepietro, Ceo - Tesla Consultng, Cso - Be Shaping the Future
Stefano Fratepietro, Ceo – Tesla Consultng, Cso – Be Shaping the Future

Sappiamo infatti che le app, come tutti i software, possono avere criticità di sicurezza nello sviluppo del codice, nell’esercizio, nell’infrastruttura tecnologica in cui sono inserite e nella custodia dei dati memorizzati che trattano.

La delicatezza dei dati che vengono trattati impone perciò dei livelli di sicurezza IT molto elevati per impedire le violazioni della privacy e il potenziale furto per usi illegittimi.

L’approfondimento è proseguito affrontando gli aspetti infrastrutturali legati alle piattaforme Android e IOS, con i possibili relativi problemi di compatibilità, alla tecnologia “Bluetooth Low Energy” e agli aspetti di gestione dei dati di tracciamento che, restando memorizzati nel telefono, vengono inviati a un’infrastruttura centrale solo in caso di bisogno e non costantemente.

Da citare lo sforzo fatto da Google ed Apple per arrivare alla standardizzazione del protocollo di comunicazione “Bluetooth Low Energy”, anche se poi, in merito alla distanza di rilevamento stabilita in circa un metro, entra in gioco anche la diversa sensibilità dei vari smartphone.

Altro aspetto trattato da Fratepietro è stata la gestione dell’infrastruttura di erogazione dei servizi e di memorizzazione dei dati, nel rispetto dei requisiti di sicurezza e privacy, da parte di Sogei. È fondamentale che tutto l’impianto abbia le caratteristiche atte a garantire la protezione dai rischi.

Ricordiamo che Sogei è la società di information technology 100% del Ministero dell’Economia e delle Finanze e opera fornendo servizi per gli enti governativi.

Un aspetto importante è che tutti i dati, siano essi salvati sullo smartphone o sul server, saranno cancellati non appena non saranno più necessari e in ogni caso non oltre il 31 dicembre 2020. (fonte: sito istituzionale di Sogei).

Il dibattito sulla sicurezza di Immuni, iniziato fin dall’avvio del progetto, è ancora in corso e probabilmente sono state fatte tutte le attività necessarie a ogni App commerciale (analisi del codice, mobile penetration test, etc.) e le garanzie di una gestione adeguata ci tranquillizzano su questi aspetti.

Restano aperti invece tutti quegli aspetti legati ai rischi di social engineering che riguardano tutti noi, cioè gli utenti: non è un caso che si siano già segnalati episodi di phishing, spoofing, false App, pubblicità con malware associate proprio alla App governativa e la tendenza sarà inevitabilmente all’aumento.

In questo momento viviamo in una fase dove la paura di una seconda ondata è tangibile, in vista di un autunno-inverno ancora senza vaccino.

Per questa ragione l’utilizzo di Immuni va oltre il senso civico e assume un aspetto pratico di rilevanza, ma è da sottolineare che uno dei pilastri della cybersecurity è proprio la consapevolezza (awareness) dei rischi a cui ci si espone attraverso i nostri comportamenti e le azioni: ricordiamoci che i cybercriminali li conoscono bene (per il loro tornaconto).

Andrea Guglielmi – Consigliere ASSI – Bologna

© RIPRODUZIONE RISERVATA