Pagare una vaccinazione contro il COVID-19 sul dark web per più di $1000 e mai riceverla sembra una scena tratta da una sceneggiatura di Hollywood. Ma secondo le agenzie di cybersecurity come Check Point, questa situazione si sta presentando ai pazienti che sempre più vogliono vaccinarsi. Attività fraudolente come questa e falsi prodotti farmaceutici come quelli descritti in questa nota della FDA, rischiano di erodere la fiducia nella validità dei vaccini COVID-19. Le aziende biofarmaceutiche hanno stabilito piattaforme di tracciabilità in risposta a regolamenti globali come il Drug Supply Chain Security Act (DSCSA) della FDA, ma molti fornitori in ambito healthcare e pazienti non hanno uno strumento valido per verificare i prodotti farmaceutici alla fine della catena di fornitura. Per le aziende biofarmaceutiche che sviluppano e distribuiscono i vaccini COVID-19 a 7,8 miliardi di pazienti in tutto il mondo, questo rappresenta la “tempesta perfetta” della lotta in atto per evitare che i prodotti contraffatti danneggino i pazienti, mantenendo la fiducia nel vaccino COVID-19 stesso, e per fronteggiare il virus su scala globale.
La limitata fiducia dei consumatori nel vaccino COVID-19 è un ostacolo che l’industria sanitaria deve superare. Secondo un sondaggio in 15 paesi eseguito da Ipsos, solo il 32% delle persone assumerebbe un vaccino COVID-19 immediatamente, se disponibile. YouTube, secondo una nota del CEO di YouTube Susan Wojcicki, ha rimosso da febbraio 2020 oltre mezzo milione di video che diffondono disinformazione sulla pandemia COVID-19. Nel mondo di oggi, le teorie cospirazioniste che viaggiano incontrollate sui social media possono influenzare la percezione pubblica.
In questo blog, mostriamo come i produttori farmaceutici possono utilizzare AWS per consentire ai clienti, agli operatori sanitari e ai pazienti, di convalidare l’autenticità di un vaccino COVID-19 utilizzando le informazioni dell’etichetta ed un repository globale di tracciabilità fornito dai produttori farmaceutici. Il cliente scansiona il codice a barre dell’etichetta contenente il numero di identificazione unico del vaccino ed esegue una query di ricerca di verifica per confermare la fonte di produzione e le transazioni associate.
Panoramica della verifica del vaccino COVID-19
Per abilitare le capacità di verifica del vaccino COVID-19 su scala globale, l’architettura deve soddisfare i seguenti requisiti:
- Fornire un accesso utente a bassa latenza per gli operatori sanitari
- Mantenere prestazioni costanti su scala globale
- Scalare in modo flessibile e senza interruzioni per i picchi di richieste
- Fornire capacità di disaster recovery
- Ridurre al minimo i costi operativi e di supporto
- Integrarsi con i sistemi Track and Trace esistenti
Il seguente diagramma illustra l’architettura che fornisce tempi di risposta di pochi millisecondi per le ricerche di verifica dei vaccini. Lo scopo principale di un’architettura che utilizza più regioni (active-active) è quello di fornire un routing basato sulla latenza che instradi il traffico verso la region più vicina per fornire l’esperienza più veloce. L’architettura permette una replica dei dati veloce e affidabile tra le region, grazie a servizi stateless e routing DNS, evitando le chiamate tra regioni.
Come identificare e verificare l’autenticità dei vaccini COVID-19
Passo 1: data ingestion e archiviazione
Dati i piani aggressivi di distribuzione dei vaccini, ci potrebbero essere decine di milioni di vaccini somministrati ogni giorno, il che fornirebbe un carico di lavoro imprevedibile a un database relazionale. Per mantenere un elevato livello di prestazioni per gli operatori sanitari su scala globale, Amazon DynamoDB viene utilizzato per fornire prestazioni a singola cifra (in millisecondi) all’interno della region su qualsiasi scala. La funzionalità delle Global Tables di DynamoDB fornisce un database multi-region e multi-active per la nostra API, in grado di replicare automaticamente le tabelle nelle regioni AWS selezionate. Ciò consente di evitare il lavoro indifferenziato di replicare i dati tra le regioni e di risolvere i conflitti di aggiornamento, consentendo di concentrarsi sulla logica di business della propria applicazione.
Per affrontare il requisito del carico di lavoro imprevedibile, DynamoDB utilizza AWS Application Auto Scaling per regolare dinamicamente la capacità di elaborazione fornita dal cliente, in risposta al traffico effettivo. Ciò consente a una tabella o a un indice secondario globale di aumentare la sua capacità di lettura e scrittura per gestire improvvisi aumenti di traffico senza throttling. Quando il carico di lavoro diminuisce, Application Auto Scaling riduce la capacità allocata in modo da non pagare per risorse inutilizzate.
I produttori di vaccini avranno bisogno di tracciare miliardi di dosi di prodotto farmaceutico, insieme alle transazioni commerciali e basate su eventi che si verificano nella catena di fornitura per ogni singola unità venduta. La soluzione di verifica dei vaccini è progettata per funzionare sia con soluzioni di tracciamento on-premises che sul cloud, utilizzando un batch job periodico per archiviare le informazioni del prodotto in una tabella DynamoDB. Per un cliente internazionale, il team dei servizi professionali di AWS ha aiutato a spostare la sua soluzione globale di tracciabilità SAP nel cloud AWS. Sebbene non sia obbligatorio per la verifica dei vaccini, lo spostamento della loro soluzione da on-premises ad AWS ha permesso al loro repository di serializzazione di aumentare la capacità così da poter gestire la produzione e la tracciabilità del vaccino COVID-19.
Passo 2: API per la verifica del vaccino
Per consentire l’integrazione in qualsiasi interfaccia utente front-end, le richieste di verifica sono indirizzate attraverso Amazon API Gateway. API Gateway è un servizio gestito che fornisce ai clienti la possibilità di creare, pubblicare, mantenere, monitorare e proteggere l’API di verifica del vaccino su scala globale. API Gateway consente di collegare programmaticamente la API al codice in esecuzione su AWS Lambda, e quindi consente di invocare il codice Lambda dalla propria API. Lambda è un servizio di computazione serverless che consente di eseguire il codice senza doversi occupare del provisioning di server fisici o virtuali, fornendo agli sviluppatori la flessibilità di sviluppare con il loro linguaggio di programmazione preferito, e scalare automaticamente in base al numero delle richieste.
In questa soluzione, stiamo usando una API REST che si integra con le funzioni Lambda utilizzando una semplice integrazione proxy. Quando un client front-end chiama l’API, API Gateway invia la richiesta alla funzione Lambda e restituisce la risposta della funzione al client. Le API sono configurate come endpoint regionali in modo che il traffico possa essere instradato da un singolo hostname globale a ciascuno degli endpoint regionali utilizzando Amazon Route 53 (DNS).
Una REST API è composta da risorse e metodi. Per l’API, stiamo usando due risorse: /getvaccineinfo e /healthcheck. La combinazione del percorso della risorsa e un’operazione (ad esempio, GET, PUT, POST) identifica il metodo dell’API.
L’API di verifica dei vaccini usa:
- Metodo GET /getvaccineinfo per restituire informazioni su una specifica fiala di vaccino
- Metodo GET /healthcheck per restituire una verifica di base dello stato di salute dell’API, assicurando che il traffico venga instradato solo verso risorse attive e disponibili (vedi Passo 3: Instradamento della richiesta di verifica)
Passo 3: Indirizzamento della richiesta di verifica
Per evitare interruzioni all’operatore sanitario che esegue la verifica del vaccino e garantire resilienza alla soluzione, dobbiamo garantire che la richiesta venga indirizzata alla regione più vicina. Route 53, un servizio web DNS (Domain Name System) altamente disponibile e scalabile, esegue tre funzioni principali in qualsiasi combinazione: registrazione del dominio, instradamento DNS e verifica dello stato dei servizi (health check).
Route 53 consente anche di utilizzare la console web per trasferire domini esistenti da altre soluzioni DNS o registrare un dominio specifico per la ricerca del vaccino, come esempiovaccinelookup.com. Quando si registra un dominio con Route 53, rendiamo automaticamente Route 53 il servizio DNS per quel dominio. Route 53 crea una hosted zone che ha lo stesso nome del dominio, assegna quattro name server e aggiorna il dominio per utilizzare quei server.
Una volta che un dominio è stato registrato, si creano dei record per dire al DNS come si vuole che il traffico venga instradato per quel dominio. Route 53 supporta sette diverse politiche di routing: semplice, failover, geolocalizzazione, geoprossimità, latenza, multivalore e pesata. L’instradamento basato sulla latenza determina la regione che fornisce la latenza più bassa per l’utente. Per esempio, se un operatore sanitario lavora in Thailandia e la latenza misurata è più bassa a Singapore (ap-southeast-2), le richieste del fornitore saranno indirizzate a Singapore. L’indirizzamento basato sulla latenza utilizza misurazioni effettuate durante un certo periodo di tempo per riflettere questi cambiamenti periodicamente.
I controlli di Route 53 monitorano lo stato e le prestazioni della vostra API. Route 53 offre tre diversi controlli (health check): monitorare un endpoint, monitorare altri health check (composti) e monitorare gli allarmi di Amazon CloudWatch. Possiamo usare un health check per monitorare un endpoint che è specificato dal dominio corrispondente. Route 53 invia richieste automatiche all’API di health check per verificare che sia raggiungibile, disponibile e funzionante. Quando un health check fallisce, Route 53 dirigerà il traffico solo verso gli endpoint sani utilizzando il failover DNS.
Passo 4: Prevenire gli attacchi alla rete
Per la protezione contro gli attacchi DDoS, AWS fornisce AWS Shield Standard e AWS Shield Advanced. Tutti i clienti AWS beneficiano della protezione automatica di AWS Shield Standard, senza costi aggiuntivi. AWS Shield difende dagli attacchi DDoS più comuni e frequenti a livello di rete e di trasporto che prendono di mira le applicazioni. Per livelli più elevati di protezione contro gli attacchi, AWS Shield Advanced fornisce un ulteriore livello per rilevare e mitigare gli attacchi DDoS più grandi e sofisticati e una visibilità quasi in tempo reale dell’attacco. AWS Shield Advanced vi dà anche l’accesso 24×7 al DDoS Response Team (DRT) di AWS per la mitigazione manuale di casi particolari che influenzano la vostra disponibilità.
AWS WAF (Web Application Firewall) è un firewall per applicazioni web che aiuta a proteggere le applicazioni e le API dagli attacchi. Consente di configurare un insieme di regole chiamate web access control list (web ACL) che approvano, bloccano o contano le richieste web in base a regole e condizioni personalizzabili. AWS WAF proteggerà la vostra API Gateway API dai comuni exploit web, come SQL Injection e gli attacchi di cross-site scripting (XSS). Questi potrebbero influenzare la disponibilità e le prestazioni delle API, compromettere la sicurezza o consumare risorse eccessive. Le regole permetteranno di approvare o bloccare le richieste da specifici intervalli di indirizzi IP, richieste da blocchi CIDR, richieste che provengono da un paese o da una region specifica e richieste che contengono codici SQL o script dannosi.
Considerazioni finali
COVID-19 è stata la più grande sfida sanitaria dell’era moderna. Dal 17 febbraio 2021, 12 vaccini sono disponibili al pubblico in almeno 131 paesi e sono state somministrate oltre 304 milioni di dosi del vaccino COVID-19. Poiché questo corrisponde solo al 2,3% dei 7,8 miliardi di persone che rappresentano la popolazione globale, la strada davanti a noi è ancora lunga.
La soluzione di verifica del vaccino COVID-19 fornisce un gateway per informazioni accurate sul vaccino agli operatori sanitari. Può anche essere migliorata per offrire funzionalità aggiuntive come la restituzione di FAQ sul vaccino, istruzioni di dosaggio, avvertenze/precauzioni, facilità di accesso per la segnalazione di eventi avversi e accesso ai professionisti sanitari. Questo fornisce un meccanismo per consentire il supporto di clienti e pazienti attraverso la scansione di codici a barre con numeri di identificazione unici del prodotto, offrendo anche preziose informazioni al produttore per migliorare le operazioni.
by Alex Casalboni, AWS Senior Developer Advocate