Ne avevamo già scritto qualche tempo fa: la situazione relativa alla sicurezza dell’infrastruttura IT delle aziende sanitarie e ospedaliere italiane a fine 2014 non era sicuramente confortante. Un quarto delle ASL e AO dichiarava di non avere completamente sotto controllo la situazione.
Il tutto, in un contesto che vede il dato clinico ai primi posti nella “hit parade” del valore dei dati sul mercato clandestino a livello mondiale e le infrastrutture IT di ospedali e altre organizzazioni sanitarie ai primi posti nell’elenco degli obiettivi preferiti dai cyber warriors.
La situazione ad oggi (aprile 2016, ultima rilevazione Netics) vede un piccolo miglioramento in termini quantitativi: le aziende “dichiaratamente inadeguate” scendono a poco meno di un quinto del totale (19% circa). Si continua a non fare stress test e simulazioni di attacco: non le si fa per mancanza di budget e (dato un pochino preoccupante) “per mancanza di tempo”, stando alle dichiarazioni dei CIO intervistati (una sessantina circa).
Nulla si muove neppure sotto l’aspetto della regolamentazione: Stato (AgID e Ministero Salute) e Regioni non intervengono più di tanto (se non in termini di raccomandazioni più o meno generiche) definendo livelli minimi di sicurezza da rendere obbligatori sanzionando gli inadempienti.
Soprattutto, mancano interventi finalizzati a integrare le risorse finanziarie assolutamente insufficienti: le ASL e le AO spendono in sicurezza meno del 3,5% del loro budget IT contro una media che si assesta intorno al 4,9% nei Paesi OCSE.
Ben venga quindi l’interrogazione della Senatrice Dirindin, soprattutto se finalizzata a catturare l’attenzione della Presidenza del Consiglio e – di riflesso – dell’AgID, su un tema centrale la cui risoluzione è purtroppo subordinata alle ancora irrisolte criticità relative alla costruzione di un modello di governance dell’IT in Sanità capace di uscire dal tunnel del continuo rimbalzo fra Stato e Regioni.
Forse anche questa interrogazione può rappresentare l’ulteriore tessera da inserire nel gigantesco puzzle della razionalizzazione dell’infrastruttura IT della PA e della Sanità italiana, utilizzando il tema della sicurezza come rafforzativo rispetto alla disincentivazione del perpetuamento di piccoli e piccolissimi data center del tutto insostenibili.
L’auspicio è che tutte le Regioni seguano l’esempio di quel primo gruppo di “pionieri” (a partire dalla Lombardia) che hanno creduto e coninuano a credere a un piano di consolidamento dell’infrastruttura IT delle ASL/AO all’interno dei data center regionali.
In parallelo, oltre al tema della messa in sicurezza dell’infrastruttura IT “tradizionale”, l’interrogazione alza un velo sul mondo (ancora più complicato e sensibile) della sicurezza dei medical devices sempre più connessi in rete e non sempre compliant con le norme in tema di data protection.
Per non parlare del mondo delle App, dove la confusione regna sovrana e dove rischiamo di alimentare il circolo vizioso della cattiva informazione e della veicolazione e utilizzo di dati clinici incontrollati.
Di lavoro da fare, come si vede, ce n’è parecchio.
Ed è bello sapere che la Commissione Salute del Senato si dimostra sensibile al tema.
E’ ora che Stato e Regioni mettano fine alle loro più o meno paracondominiali discussioni teoriche e adottino provvedimenti capaci di risolvere davvero il problema della Cyber Security in Sanità.
