Lo sviluppo tecnologico e la crescita della digitalizzazione in ambito sanitario hanno fatto sì che, negli ultimi anni, siano migliorati i servizi che ospedali, strutture sanitarie e poliambulatori possono offrire ai propri utenti. Il trend è segnato, ma si tratta di una prospettiva non priva di rischi. Infatti, la grande mole di dati raccolta attraverso gli strumenti tecnologici è molto appetibile e la cybersecurity in sanità è una priorità. Questo non solo per i dati clinici, ma anche per i dati fiscali, soprattutto ora che la fatturazione elettronica per gli studi medici, così come per tutte le altre realtà imprenditoriali, sta per divenire realtà. Sono stati fatti dei passi avanti grazie al GDPR, ma la strada è ancora lunga.
Cybersecurity in sanità: rischi e sfide
Il segreto professionale è alla base del, fondamentale, rapporto di fiducia che lega medico e paziente. Un legame che, però, può essere indebolito dalla possibilità di attacchi e buchi nella sicurezza degli archivi che custodiscono una mole di dati in crescita costante. Infatti, la diffusione delle nuove tecnologie ha fatto sì che aumentino gli strumenti per la raccolta di informazioni preziose per la salute, ma anche molto appetibili per i cyber criminali.
Vulnerabilità ed efficienza in molti casi sono due facce della stessa medaglia. Ciò sia perché i dati raccolti in ambito sanitario sono particolarmente preziosi e delicati, sia perché è un settore in costante evoluzione per cui non sempre l’intero reparto riesce a stare al passo con l’ultima innovazione. Il budget da destinare alla digitalizzazione non è sempre sufficientemente vasto per coprire tutte le spese e quindi capita che i dispositivi in uso abbiano sistemi operativi differenti, software con aggiornamenti distinti, modalità di connessione disparate.
Il rischio, concreto, è che, subendo un attacco di tipo cibernetico, non siano in pericolo “soltanto” i dati, ma anche le terapie stesse e di conseguenza la salute dei pazienti.
Cosa succede se un ospedale subisce un cyber attacco?
La prima conseguenza di un possibile attacco che vada a minare la cybersecurity in ambito sanitario è che non si colpisce quasi mai un solo punto. Macchinari e device, infatti, sono molto spesso interconnessi per cui la violazione anche in un solo punto, spalanca una voragine. Prevederne le effettive conseguenze è spesso impossibile, proprio per l’interdipendenza dei dispositivi e il rischio che appartengano a livelli diversi di sviluppo tecnologico, protetti in maniera altrettanto differente.
A rendere ancor più vulnerabile il sistema è il fatto che, molto spesso, i sistemi di autenticazione utilizzati si basano sull’utilizzo di password selezionate dai medici e dal personale sanitario. Ciò le rende facilmente violabili così come a rischio sono i sistemi di connettività wireless.
La questione non è semplice come può sembrare: infatti, in situazioni di urgenza, è normale che il personale sanitario abbia bisogno di uno strumento veloce per accedere ai dati di cui ha bisogno e attivare i software. Per questo, la password è spesso qualcosa di abbastanza semplice, veloce, a portata di mano, esattamente il contrario di un’autenticazione complessa a più fattori che verrebbe richiesta per una sicurezza maggiore. È normale, di conseguenza, che si trovi una via di mezzo fatta di password appuntate sui post it, chiavette USB utilizzate su più dispositivi, ma anche computer che restano accesi ore e giorni. Esattamente il contrario di quanto richiesto dalle buone pratiche di cybersecurity.
L’Unione Europea in azione per la cybersecurity in sanità
Una risposta a questo tipo di complessità, che può mettere a repentaglio anche la salute delle persone, viene sia dall’Unione Europea che da anni ritiene la cybersecurity sanitaria una priorità, sia dall’Italia.
La Commissione Europea, in particolare, ha richiamato i paesi membri alla necessità di sviluppare metodi e strumenti alternativi per garantire la sicurezza dei dati e delle informazioni impiegati nei processi sanitari digitalizzati. È fondamentale, secondo quanto specifica la call H2020, creare reti tra ospedali, ambulatori e industrie ICT per sperimentare soluzioni condivise e in grado di rispondere alle esigenze concrete della cybersicurezza.
In Italia, invece, è stato avviato a marzo il primo gruppo di studio sul tema. Nato su stimolo del Centro nazionale per la telemedicina e del Centro nazionale per le tecnologie innovative in sanità pubblica, partecipano l’Istituto Superiore per la Sanità, la Polizia postale e un gruppo di accademici esperti dell’argomento. L’obiettivo è garantire il pieno sviluppo di un sistema nazionale capace di assicurare la protezione della privacy e dei dati personali dei pazienti e garantire uno sviluppo tecnologico e digitale in piena sicurezza.