Dopo la rassegna dei dati sulla situazione relativa alla capacità di assicurare continuità operativa da parte delle aziende sanitarie e ospedaliere italiane, analizziamo oggi la situazione relativa alla sicurezza informatica in sanità.
Dai dati rilevati dall’Osservatorio Netics a fine 2014, la situazione è complessivamente soddisfacente: all’incirca il 76% delle aziende sanitarie e ospedaliere intervistate (42 in tutto, con un campione statisticamente significativo) autodichiara una situazione “sotto controllo” per quanto riguarda gli aspetti di sicurezza dell’infrastruttura IT (sicurezza fisica e logico-funzionale).
Il problema risiede nel rimanente 24% dei casi, preoccupatamente concentrato nelle regioni del Mezzogiorno dove sembra prevalere una sottovalutazione del problema e la più o meno apertamente dichiarata impossibilità dei CIO a ottenere stanziamenti specifici per la messa in sicurezza di server, apparati, software e dati.
Considerando il campione analizzato, il valore medio di incidenza della spesa in sicurezza IT rispetto al budget IT annuale complessivo si attesta intorno al 3%. Decisamente poco, se lo si paragona coi valori riscontrabili in altri Paesi OCSE: in un ospedale americano sono all’incirca 4,5 i dollari spesi in sicurezza IT ogni 100 dollari di budget IT complessivo.
Detta in cifre assolute riportate a una azienda sanitaria “media” italiana, a fronte di un budget IT annuale attestato intorno ai 2,5 milioni di Euro si spendono all’incirca 75 mila Euro per assicurare sicurezza fisica e logica a un’infrastruttura fatta da un migliaio di postazioni di lavoro e da una sessantina di server.
Scendendo in profondità nell’analisi, è facile risalire alla causa primaria del problema: l’ancora troppo elevata frammentazione delle infrastrutture IT all’interno di ASL “frutto” di accorpamenti e/o caratterizzate da una pluralità di presidi sparsi sul territorio. Server locali, reti di PC non ancora del tutto integrate in una infrastruttura unitaria, eccetera.
Preoccupante anche il dato relativo alla frequenza con la quale le ASL e AO italiane effettuano un “reale” assessment del rischio: nella migliore delle ipotesi lo si fa una volta l’anno. Ma la media si attesta intorno ai 2,2 anni.
Praticamente inesistenti le attività di stress-test e di simulazione di attacchi: sembra prevalere la scaramanzia o – peggio ancora – l’inconsapevolezza rispetto al problema.
Nella stragrande maggioranza dei casi, i CIO affermano di temere attacchi e/o penetrazioni improprie ma di non avere sufficienti risorse economiche per porre rimedio alla situazione.
Ci si affida alla buona sorte, in estrema sintesi.
E’ forse il caso che a livello quantomeno regionale (ma sarebbe forse auspicabile un deciso intervento a livello di Ministero della Salute) si definissero standard minimi di sicurezza (con assegnazione di budget integrativi tutto laddove necessario) fortemente cogenti per tutte le ASL e AO, ma anche per le strutture private convenzionate. Magari cominciando a mettere a piano un’azione di consolidamento delle infrastrutture IT della sanità pubblica, anche in logica Cloud.
Anche perché non mancano i casi “virtuosi” – evidenziati nella ricerca Netics – di “consorziamento fra ASL od Ospedali” e di costituzione di cloud privati condivisi fra più strutture, dove si è raggiunto un ottimo equilibrio fra quantità e qualità di sicurezza e budget utilizzato.
L’alternativa è il caos. E non ce la possiamo permettere.
