Sistema sanitario nazionale e attacchi informatici
Gli attacchi informatici sono una minaccia concreta e grave per le strutture sanitarie e i relativi dati. Quanto siamo vulnerabili in Italia e nel mondo e come ci si tutela?
APPROFONDIMENTO – La sicurezza informatica è un tema scottante, già affrontato da OggiScienza in varie occasioni. Ma quando sotto i riflettori c’è la sicurezza dei dati sanitari, garantire un elevato livello di tutela è critico. E richiede azioni ai massimi livelli istituzionali e governativi.
Il tema è complesso vista la varietà e la mutevolezza delle potenziali minacce informatiche. Si va dai ransomware come Wannacry, che attaccano i sistemi informatici delle strutture ospedaliere (limitando o bloccando le possibilità di accedervi), ai virus che possono alterare il contenuto delle cartelle cliniche. O peggio, interferire con le operazioni svolte dalle apparecchiature diagnostiche, invalidando i risultati delle misure e dei test. Un vero e proprio incubo.
Come ha evidenziato un articolo su Scientific American, un moderno ospedale può avere migliaia di dipendenti e ognuno utilizza computer, smartphone e altri dispositivi elettronici. Tutti potenzialmente esposti al rischio di un attacco informatico.
Anche gran parte delle apparecchiature che consentono di mantenere in vita i pazienti e ne monitorano lo stato di salute – stabilendo la frequenza di assunzione e la tipologia dei farmaci da somministrare – sono collegate in rete. E governate da un sistema informatico. Gli scenari legati alla sicurezza dei dati sanitari sono allarmanti, sia di fronte alla possibilità di un attacco informatico che coinvolga direttamente tali apparecchiature che riguardo alla riservatezza delle informazioni cliniche dei pazienti. Tutte custodite in archivi informatici.
Come sottolineato nell’articolo rispettare le normative non basta. Standard come le federal regulations negli Stati Uniti, ad esempio, definiscono spesso misure minime di riduzione del rischio ma non garantiscono una protezione reale dalle minacce.
Come garantire la sicurezza dei dati sanitari?
Per assicurare la sicurezza dei dati sanitari serve uno sforzo da parte di tutti gli operatori del settore. Deve coinvolgere ogni addetto delle strutture sanitarie, nel diffondere una cultura della protezione dei dati e degli accessi a reti informatiche, macchinari e dispositivi.
La ricerca condotta dai ricercatori del MIT Sloan School of Management evidenzia come, nonostante la grande complessità dei sistemi esposti al rischio e le molteplici minacce, i fattori chiave quando si parla di sicurezza dei dati sanitari sono due. Il il numero di dispositivi elettronici “ammessi” nel perimetro della struttura e la formazione e consapevolezza degli addetti.
Standard e normative dovrebbero però essere concepiti e sviluppati in modo da catturare gli aspetti più critici della problematica e fornire strumenti concreti per la protezione dei dati e dei dispositivi. Che cosa si sta facendo in Italia? Le nostre strutture sanitarie potrebbero difendersi dagli attacchi informatici?
Qualcosa si muove e la gravità della minaccia è nota. Come riportato in un comunicato stampa dell’Istituto Superiore di Sanità, il Centro Nazionale per la Telemedicina e le Nuove Tecnologie Assistenziali del Centro Nazionale di Tecnologie Innovative in Sanità Pubblica ha istituito un gruppo di studio apposito. Realizzato in collaborazione con la Polizia postale e delle Comunicazioni, annovera esperti di vari settori per “consentire il pieno sviluppo nel sistema sanitario italiano di servizi basati sull’uso coordinato, efficace e sicuro, delle tecnologie digitali e di telecomunicazione”.
Resta scarsa la consapevolezza di utenti e operatori su quanto sia delicato assicurare una adeguata protezione dei dispositivi connessi in rete, evitando così un loro utilizzo deviato o malizioso da parte di terzi. Basterà? Intanto, anche in Italia, negli ultimi mesi abbiamo visto un’escalation della minaccia informatica alle strutture sanitarie.
I punti critici per il prossimo futuro
Come riporta un articolo de Il Sole 24 ore, sono diverse le ‘direttrici di crescita’ del rischio informatico. In primis:
- Il numero degli attacchi è in aumento significativo
- La tipologia di attacco potrebbe spostarsi dal caso specifico del “ricatto informatico” (come Wannacry), ovvero la richiesta di un riscatto per sbloccare un’apparecchiatura medica, a una varietà più articolata e studiata a tavolino dagli hackers per sfruttare vulnerabilità
- Molte apparecchiature del nostro sistema sanitario sono obsolete e hanno lacune strutturali in materia di protezione dei dati e degli accessi.
Prima di scervellarsi su quanto rischiano di diventare sofisticati gli attacchi degli hackers, dovremmo verificare il livello di protezione degli accessi degli attuali terminali e apparecchiature. Ma anche accertarci che gli addetti rispettino elementari procedure come l’irrobustimento e il cambio periodico delle password, la cura nel custodire informazioni sensibili e via dicendo.
Andrebbe anche superata l’obsolescenza strutturale di ogni componente del sistema informatico (reti, archivi, telefoni, computer etc.), perché la sicurezza di un sistema è condizionata proprio dal suo anello più debole. Ovvero: è inutile concepire e implementare metodi complessi di protezione sulla comunicazione in rete se il sistema operativo dei computer collegati è Windows XP. È proprio sfruttandone le vulnerabilità che Wannacry ha infettato i sistemi informatici di varie aziende di tutto il mondo.
Ovviamente ci si scontra con rilevanti questioni di budget, ma le soluzioni per porre rimedio a un attacco informatico andato a buon fine sono decisamente più costose. Investire in cybersecurity, proteggendo i dati sanitari, significa prevenire e probabilmente risparmiare in futuro.
Vista anche la recente formazione del gruppo Cybersecurity dell’ISS, sul sito ufficiale non sono ancora disponibili molte informazioni sulle linee guida strategiche o sulle attività e sulla tipologia di intervento in corso di attuazione. Qualche dettaglio in più si trova in rete, come questo comunicato della regione Friuli Venezia Giulia che si sofferma sui punti che abbiamo appena analizzato. La definizione di sistemi di formazione adeguati per le professioni sanitarie, lo sviluppo di una maggiore consapevolezza degli addetti e via dicendo.
L’auspicio è che nel tempo vengano messe in campo azioni concrete, come una mappatura delle strutture medico-sanitarie e della rete informatica del SSN. Andrà tenuto conto delle procedure di autenticazione e controllo accessi, dell’hardware e del software impiegati per ogni componente dell’architettura del sistema informativo, della presenza o meno di archivi di backup e così via. Un punto di partenza obbligatorio per identificare le maggiori criticità e studiare adeguate contromisure.
segui Gianpiero Negri su Twitter
Leggi anche: Cybersecurity, la sfida informatica del secolo
Pubblicato con licenza Creative Commons Attribuzione-Non opere derivate 2.5 Italia.