Sanità Digitale e sicurezza informatica: il problema della cyber security riguarda tutti i settori, ma soprattutto quello sanitario.
Da un lato, infatti, le nuove tecnologie applicate alla salute stanno aumentando nel numero e nella disponibilità, grazie anche alla diffusione capillare dei dispositivi mobile, dall’altro, invece, i dati raccolti e trattati da questi servizi, ma non solo da questi, sono estremamente sensibili e “appetibili” per i cyber criminali.
Il GDPR innalza gli standard per la protezione dei dati, eppure non tutte le strutture sanitarie sono pronte.
Anche centri medici, poliambulatori e studi medici sono esposti, per questo è importante conoscere i rischi che si corrono e quali sono le possibilità di tutela.
La tecnologia fa passi da gigante, ma il sistema è ancora vulnerabile
Il rapporto tra tecnologia, digitale e salute si è trasformato in pochi anni. Nel 2015, per esempio, esistevano al mondo “solo” 28.343 applicazioni per smartphone dedicate alla salute, nel 2018 erano quasi raddoppiate, 47.911.
Oggi non esiste un censimento delle app, è diventato un dato quasi irrilevante a fronte della diffusione capillare degli smartphone che hanno strumenti legati alla salute e al benessere integrati, degli smartwatch e degli altri applicativi wearable che consentono la raccolta di tanti dati sulla nostra salute e sulle nostre abitudini di tutti i giorni. Ci sono app per ogni cosa: mantenersi in forma, seguire una dieta, contare i passi, smettere di fumare, monitorare la frequenza cardiaca e la pressione, applicazioni che ricordano al paziente di assumere i farmaci…
Quando parliamo di digitalizzazione della salute, quindi, è importante considerare anche gli strumenti tecnologici utilizzati dalle strutture sanitarie.
Ogni centro medico o poliambulatorio utilizza computer, software e programmi nella quotidianità e conserva una mole significativa di dati sensibili a proposito dei propri pazienti.
Sebbene la raccolta dei dati (sia da parte delle app sia da parte delle strutture sanitarie) possa avvenire nel pieno rispetto della normativa di tutela della privacy, ciò non protegge da eventuali rischi. Al contrario, l’aumento della mole di informazioni ultrasensibili ha fatto sì che ospedali, poliambulatori e studi medici siano diventati sempre di più il bersaglio di attacchi informatici.
Secondo i dati riportati dal Sole 24 ore, una cartella clinica può valere fino a 2.000 dollari nel dark web. Ciò perché conserva al suo interno molte informazioni estremamente varie sulla persona, dai dati anagrafici allo stato di salute, fino ad alcuni dettagli legati allo stile di vita. Conoscere i rischi legati alla cybersecurity è, dunque, estremamente urgente per tutte le strutture che si occupano della salute delle persone; è un passo cruciale per poter prevenire gli hack o reagire prontamente in caso di attacco.
Cybersecurity e sanità: quali sono i rischi per i centri medici?
L’intero comparto della sanità in Italia è vulnerabile ai cyber attacchi. Secondo il rapporto CLUSIT 2022 sulla sicurezza ICT, il settore sanitario è stato l’obiettivo del 13% degli attacchi informatici tentati lo scorso anno, in aumento del 24,8% rispetto al 2020.
L’hack più grave è stato quello subito dal sistema informatico dell’Asst Fatebenefratelli Sacco di Milano lo scorso 1° maggio. I portali di tutte le strutture gestite dall’azienda sono stati messi offline. Diverse le conseguenze: il fatto che il personale abbiamo dovuto utilizzare soltanto modulistica cartacea ha comportato, a sua volta, ritardi di vario tipo sia sui pazienti sia sui processi in corso.
Le conseguenze di un data breach (cioè di una violazione dei dati personali) non si esauriscono con la soluzione del problema.
La Cybersecurity and Infrastructure Security Agency (CISA) ha condotto un’analisi che riguarda gli ospedali che offrono network based services ipotizzando di identificare le conseguenze di un attacco informatico. È emerso come, nel momento dell’hack, il principale effetto è la difficoltà nell’accesso alle cartelle cliniche elettroniche e ad altri servizi monitorati a distanza. In questo caso, l’attività di strutture sanitarie e poliambulatori subisce rallentamenti anche significativi dell’operatività. Nel caso di urgenze, questo può comportare anche la necessità di spostare un paziente in un altro centro, con un impatto anche sulla sua sopravvivenza.
Alcuni studi condotti dalla University of Central Florida insieme alla Vanderbilt University hanno osservato come, negli ospedali dove era stato registrato un attacco informatico, è aumentato il tempo medio necessario per l’esecuzione di un elettrocardiogramma e la crescita della mortalità per infarto miocardico acuto a 30 giorni. Queste conseguenze così drammatiche per la vita dei pazienti non dipendono soltanto dalla minaccia informatica in sé, ma anche dalla tipologia di soluzioni messe in atto. Misure di sicurezza molto rigide, introdotte senza un’adeguata preparazione e formazione del personale si trasformano esse stesse in un problema.
L’analisi della CISA ha, inoltre, raccolto alcuni dati a proposito degli effetti a medio termine di un data breach. La perdita dei dati, si osserva, può portare a ritardi nelle prestazione di servizi diagnostici o di assistenza anche a distanza di settimane dal momento dell’attacco.
In che modo i centri medici possono essere colpiti da un cyber attacco
Conoscere i modi in cui la cyber security può essere minacciata è fondamentale per poter capire come prevenire i danni peggiori per il centro medico. I criminali hacker possono rubare dati dalle cartelle cliniche elettroniche, mettere offline i sistemi di gestione informatica delle strutture, oppure prendere il controllo di apparati e strumentazione digitale.
Tutto ciò è possibile nel momento in cui l’hacker ottiene l’accesso alla rete oppure a uno dei device presenti nella struttura. Ciò, solitamente, può avvenire in due maniere:
- social engineering, ovvero attraverso l’invio di email di phishing per ingannare gli utenti e ottenere le credenziali per accedere ai sistemi;
- Botnet, che significa utilizzare delle reti di computer “infetti” per lanciare attacchi automatizzati su una serie di strumenti.
Un'ulteriore tipologia di attacco informatico è il ransomware. Si tratta di una tipologia di malware che crittografa (e quindi danneggia) i dati sensibili all’interno di un sistema, nel nostro caso informazioni fondamentali per la salute del paziente. Esiste una chiave per decrittografare i dati, e quindi riottenere il tutto, ma spesso per ottenerla è richiesto il pagamento di un riscatto da parte dell’hacker criminale. In questo senso, il problema assume anche una rilevanza economica e penale - poiché pagare un riscatto è illegale -, oltre al danno concreto in termini di tutela degli assistiti involontariamente coinvolti e al mantenimento dell’attività del centro medico.
Prevenzione e protezione? Attraverso sicurezza e competenze digitali
Le conseguenze di un attacco informatico sono, dunque, molto gravi per poliambulatori, studi medici e ospedali. Mettere in atto delle strategie di cyber security, compresa la prevenzione, è di assoluta urgenza ed importanza.
La sfida per la sanità digitale è duplice per poter prevenire e proteggere i pazienti, a cui corrispondono due sfide da affrontare: una è la sicurezza, l’altra è la scarsa diffusione di competenze digitali fra gli operatori sanitari.
Competenze digitali in Sanità: necessarie per comprendere i rischi
È difficile comprendere opportunità e rischi se mancano le competenze digitali. Questo perché la “forza lavoro sanitaria” sta invecchiando rapidamente, non ci sono sufficienti investimenti in formazione e il personale sanitario è spesso reticente ad adottare nuovi metodi di cura che prevedono l’introduzione di tecnologie sanitarie.
Poi c’è il problema di come mettere in sicurezza i dati sensibili. In un momento di grande sviluppo tecnologico come quello che stiamo vivendo, infatti, la mancanza di competenze IT fra medici e professionisti della salute è di certo un ostacolo che va affrontato quanto prima, ma risolverlo non basta. Per superare il clima di diffidenza e sfiducia causato dai cyber attacchi, è fondamentale che i prodotti e servizi in ambito sanitario prevedano misure di sicurezza estremamente elevate.
Privacy by Design e protezione del dato
L’introduzione del principio di privacy by design nel Regolamento Europeo per la protezione dei dati (Regolamento (EU) 2016/679) va proprio nella direzione di proteggere i dati personali fin dalla progettazione di un prodotto o un servizio. I dati devono essere conservati, scambiati e modificati in sicurezza e nel rispetto del GDPR.
Soprattutto se si tratta di dati sensibili (oggi definiti particolari dal GDPR), come quelli raccolti e trattati nel settore sanitario.
Quali?
L’art. 4, n. 15 del GDPR specifica che per dati relativi alla salute si devono intendere i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni sul suo stato di salute. La norma europea considera sensibili anche i dati biometrici e quelli genetici.
Queste informazioni sono soggette a misure molto severe e il loro trattamento su larga scala è considerato a rischio elevato. Pensiamo ai dati trattati da un ospedale o da un grande centro medico: sono moltissimi e quindi i protocolli organizzativi e informatici per metterli in sicurezza devono essere proporzionalmente adeguati.
Molte strutture sanitarie sono in ritardo
Eppure sono ancora molte le strutture sanitarie in ritardo. La pandemia ha accelerato il processo di digital transformation, ma non è stata seguita con la stessa uniformità da una maggiore sensibilità al tema della cyber sicurezza. Spesso il passaggio agli strumenti digitali è stato realizzato trasportando documenti e comunicazioni cartacee o telefoniche su Internet, un’azione efficace ma rischiosa. Digitalizzare significa, infatti, costruire i processi direttamente su un supporto basato su tecnologie IoT, che già include un sistema di sicurezza e protezione dei dati che vengono in esso maneggiati.
È il caso dei software gestionali per poliambulatori di ultima generazione, come GipoNext, che non soltanto garantiscono la conformità al GDPR, ma includono soluzioni di protezione e prevenzione degli attacchi hacker. Puoi provarlo gratis per un mese!
Altri articoli che potrebbero interessarti: