Come affrontare la sicurezza in una Sanità digitalizzata
Di Luca bastia
Una realtà complessa, quella delle aziende sanitarie, che sempre di più deve confrontarsi con i nuovi rischi determinati dall’evoluzione tecnologica.
Fascicolo sanitario elettronico, tessera sanitaria, ricette digitali. Questa la strada imboccata dalla Sanità nel nostro Paese. Presto non avremo più un archivio cartaceo, ma uno digitale conservato a norma. Vista la sensibilità e l’importanza delle informazioni sanitarie, appare assolutamente prioritario come queste vadano trattate con la massima cautela e soprattutto con la dovuta sicurezza.
I recenti cyber attack sulle organizzazioni sanitarie, alimentati dalla presenza di informazioni ad alto valore e una superficie di attacco sempre più ampia in seguito anche all’utilizzo più diffuso di smartphone e di apparecchiature medicali presso il domicilio dei pazienti, sottolineano un bisogno di sicurezza avanzato. Ma qual è il livello di sicurezza attuale del sistema sanitario nazionale e quali sono i suoi bisogni in tema di security? Sistemi&Impresa ha organizzato a ottobre 2016 una tavola rotonda per confrontarsi con specialisti e Responsabili IT di aziende ospedaliere cercando di dare una risposta a questi interrogativi.
L’informazione sanitaria e la sicurezza
“L’informazione è impalpabile; è facile associare un valore economico a un oggetto materiale, ma è molto più difficile quantificare il valore di un’informazione. Questa è la difficoltà di base che ha generato una fortissima biforcazione tra la velocità con cui avanza la tecnologia dell’informazione e la consapevolezza dei pericoli legati a questo avanzamento tecnologico, che è avvenuto in tempi più rapidi di quanto sperimentato con qualsiasi altra tecnologia. Se non si corre velocemente ai ripari, comprendendo che l’in formazione è parte integrante e strategica del sistema gestionale aziendale e va trattata come un asset assai importante, potremmo assistere a una situazione che va progressivamente fuori controllo. È un fatto culturale”, dice Giovanni Grasso, Amministratore Unico di Hospital Solutions Srl, aprendo i lavori della tavola rotonda. Sulla base di questa premessa Grasso continua affermando che la situazione degli ospedali in ambito sicurezza delle informazioni è abbastanza variegata: “Alcuni hanno grande sensibilità per questi temi e già nel 2011 hanno effettuato test di intrusione, altri trattano l’argomento solo sulla spinta, quando c’è, delle istituzioni”.
La Regione Lombardia, per tentare di colmare questa disparità, attraverso Lombardia Informatica, sta portando avanti un progetto nel quale cerca di convogliare tutte le realtà sanitarie della Regione in modo da tentare di uniformare la situazione: “Sono state date delle indicazioni che le aziende ospedaliere dovrebbero applicare, ma certamente resta il problema degli investimenti necessari per la loro realizzazione”.
“È stata creata una lunga check list che sostanzialmente è ispirata alla norma ISO 27001; questa check list è il riferimento per una gap analysis che consente di verificare lo stato dell’arte e di individuare le carenze su cui intervenire”, spiega Grasso.
“È difficile quantizzare il valore delle informazioni sanitarie”, interviene Riccardo Ceccarelli, ICT Manager dell’Ospedale Policlinico Universitario Agostino Gemelli. “Non si tratta di valore prettamente economico del dato, la sua rilevanza ce la insegna il D.lgs. 196/2003, legge sulla privacy, che disciplina il trattamento dei dati, che, all’interno di una struttura ospedaliera, si connotano oltre che come personali anche come sensibili perché riconducibili allo stato di salute di un paziente”. “Inoltre”, aggiunge Ceccarelli, “alcune informazioni rivestono e assumono un valore economico in quanto derivanti da studi condotti, per esempio, per testare e verificare la valenza terapeutica di nuovi farmaci (Clincal Trial), o per provare la corretta operatività di determinati dispositivi medici, ecc. Per chi ne necessita e sa interpretarle, queste informazioni hanno un grandissimo valore”.
“Le frodi peggiori sono quelle degli insider, coloro che hanno accesso lecito alle informazioni e che se le prendono per venderle e trarne profitto economico”, interviene Gianluca Vadruccio, Chief Technology Officer di Xecurity Srl, che prosegue: “Per quanto riguarda il valore dell’informazione, è difficile da calcolare soprattutto in ambito sanitario; dipende certamente dal valore che ne dà l’attaccante, ma anche da quello dato dalla vittima. Per esempio il responso sull’HIV sul mercato vale mediamente dai 20 ai 30 dollari e può crescere se la persona è importante, ma per la persona affetta da HIV vale molto di più, non solo, ha anche un grande valore per l’immagine dell’ospedale”.
“I problemi se sono tecnologici si possono risolvere”, aggiunge, “ma, per fare un esempio, recentemente sono entrati in un sistema informativo grazie a una password debole di un manutentore del sistema di condizionamento che poteva accedere tramite VPN”.
“In un altro caso”, continua Vadruccio, “in Ohio un ospedale è stato colpito da ransomware ed è rimasto bloccato una settimana: l’attacco è venuto dall’esterno tramite una mail con allegato malevolo recapitata a una persona interna poco attenta. Per cui dentro e fuori non fa differenza. Il ‘dentro’ è legato più a un aspetto procedurale di politiche e a una scarsa cultura di sicurezza”. “Oggi il 25% degli attacchi è verso strutture sanitarie perché i dati sanitari sono al momento i più pagati e perché l’ambiente ospedaliero insieme con quello education è il più indietro a livello di tecnologie di sicurezza e quindi più facile da violare”, sottolinea Vadruccio. “L’ambiente sanitario è tra i più complessi, come anche le banche, ma proteggere le banche è molto più semplice, ci sono regole, standard e protocolli precisi per la comunicazione tra istituti di credito che per gli ospedali non esistono. Inoltre il personale medico è quello giudicato il meno sensibile a queste tematiche”.
Per leggere l’articolo completo (totale battute: 20.000 circa) – acquista la versione .pdf scrivendo a daniela.bobbiese@este.it (tel. 02.91434419)
Sicurezza Informatica, sicurezza informatica sanità, sicurezza sanità