Il settore della sanità, già in fortissima difficoltà per l’emergenza in corso e in evidente deficit tecnologico, si trova ora ad affrontare gravi rischi di sicurezza, mentre la spinta alla digitalizzazione per evitare contatti e contenere il contagio preme più che mai.
È all’interno di questa cornice che deve essere inserito il recente tentativo di attacco hacker registrato all’ospedale Spallanzani di Roma, balzato agli onori della cronaca di questi ultimi giorni.
Non bisogna, tuttavia, farsi ingannare perché il fenomeno, oltre a non riguardare unicamente l’Italia, è tutt’altro che una novità per chi opera nel campo della protezione dei sistemi informatici.
Perché il settore sanitario è nel mirino degli hacker
Il Rapporto Clusit 2020 sulla sicurezza sulla sicurezza ICT (Information and Communications Technology) in Italia e nel mondo, presentato lo scorso 5 marzo, evidenzia come nel corso dell’anno 2019 siano stati registrati in media 139 attacchi mensili a livello mondiale, con impatti riguardanti ogni aspetto della società, della politica, dell’economia e della geopolitica.
Numeri che sottolineano un netto aumento rispetto alle percentuali rilevate nel quadriennio 2014-2018 e che fanno ancor più pensare, se si considera che i dati presentati nel report fanno riferimento solo agli attacchi andati a buon fine.
Ciò significa che l’indagine non ha potuto tener in considerazione anche degli attacchi solo tentati o comunque bloccati adeguatamente, stante l’assenza di dati al riguardo.
La ragione, piuttosto semplice, è data dal fatto che in questi ultimi casi permane una certa ritrosia da parte dei soggetti colpiti a rendere pubbliche le aggressioni subite.
Molti sono i dati rilevanti che emergono dalla relazione in questione.
In primo luogo, si trova conferma circa l’attuale tendenza del cyber-crime a colpire (in oltre 8 casi su 10) con l’intento di estorcere denaro alle vittime con conseguente ridimensionamento di quelli che forse erano problemi più sentiti nel recente passato, quali il cyber-espionage (lo spionaggio cibernetico) e il cyber-warfare (la guerra delle informazioni).
Ulteriore aspetto, che forse qui più ci interessa, è dato appunto dall’aumento di attacchi informatici riguardanti il settore della Sanità (+17%) a fronte di una contrapposta diminuzione di casi rilevati nel settore bancario assicurativo (in calo del 10,2%).
Viene, dunque, da chiedersi il perché di questo particolare interesse al settore sanitario da parte dei cyber-criminali, dal momento che in fin dei conti poi il loro scopo ultimo rimane quello di estorcere denaro alle vittime.
D’altro canto, verrebbe più facile pensare esattamente il contrario, dal momento che l’accesso alla nostra home banking permetterebbe al malintenzionato di turno di ottenere molto più agevolmente i proventi che mira a perseguire.
Un dato che può spiegare questo interesse degli hacker per il settore della sanità è quello che emerge dal report “Cost of a data breach” del 2019 realizzato dal Ponemon Institute con dati da 16 paesi (tra cui l’Italia), secondo cui il costo dei data breach del settore sanitario ammonta a 6,45 milioni di dollari, il più elevato tra i vari settori presi in esame (il “costo” di un data breach nel settore sanitario, secondo lo studio, è inoltre maggiore del 65% rispetto alla media degli altri settori).
È il nono anno di fila che il Ponemon report indica il settore sanitario come il settore in cui i costi stimati di un data breach sono i più elevati.
Lo stesso report stima poi che quasi la metà dei soggetti che forniscono servizi nel settore sanitario inclusi nel campione hanno subìto un data breach e che in media la fuga di dati espone le informazioni sanitarie di circa 10.000 pazienti.
Questo vuol dire, in parole povere, che l’interesse a recuperare i dati ed a chiudere l’incidente, e quindi a pagare il riscatto, è molto più elevato nel settore sanitario che in altri settori.
La digitalizzazione del settore sanità
Questa vulnerabilità del settore sanitario dipende, poi, da una digitalizzazione promossa nell’ottica di un risparmio di spesa piuttosto che in una prospettiva di vera sicurezza informatica.
Ancora oggi la sicurezza informatica è purtroppo affrontata con la dovuta serietà solo se si tratta di difendere segreti industriali, mentre non ci si rende ancora conto appieno dell’importanza e del valore economico dei dati, specie di quelli “sensibili”.
Se nel settore bancario la cyber-security ha fatto un bel salto in avanti, non è possibile dire altrettanto per le strutture sanitarie, le quali si trovano a gestire macchinari sempre più sofisticati e in grado di trattare una miriade di dati dei pazienti, con infrastrutture tecnologiche obsolete o che sono il risultato di diversi interventi stratificati nel tempo.
La mancanza di specifiche competenze informatiche da parte del personale sanitario e l’assenza (o la lenta adozione) di personale dedicato alla protezione delle strutture informatiche ha, a maggior ragione, contribuito ad aumentare l’esposizione del sistema sanitario ad eventuali attacchi da parte di cyber-criminali.
Gli aggressori esterni e interni non ci hanno messo molto, dunque, ad accorgersi di questa falla e ne stanno approfittando per il loro tornaconto, attaccando un sistema fragile per ottenere, con relativa semplicità, un grande valore economico, così da rivendere i dati o da ricattare il soggetto a cui gli stessi si riferiscono.
Purtroppo, anche nel nostro paese la digitalizzazione del settore sanitario è stata vista come un investimento teso a garantire l’equilibrio di bilancio di lungo periodo del settore, trascurando in certi casi la necessità di predisporre soluzioni sicure.
In quest’ambito, poi, la parcellizzazione a livello regionale di molte soluzioni software (pensiamo ad es. al fascicolo sanitario elettronico) ha impedito di sviluppare soluzioni blindate (nonché utili economie di scala).
Il fascicolo sanitario elettronico
Il primo importante step di digitalizzazione “verso l’esterno” del settore sanitario è senz’altro quello dell’introduzione del fascicolo sanitario elettronico (FSE), introdotto con il Decreto Legge 18 ottobre 2012, n. 179 che lo definisce “l’insieme dei dati e documenti digitali di tipo sanitario e sociosanitario generati da eventi clinici presenti e trascorsi, riguardanti l’assistito”.
Solo successivamente, con DPCM n. 178/2015, il FSE ha avuto ufficialmente il via su tutto il territorio nazionale.
Nella sostanza, attraverso tale strumento è ora possibile per il paziente, previo suo consenso all’attivazione del servizio, avere un tracciamento della propria vita sanitaria.
Lo scopo è quello di avere un unico punto di aggregazione e condivisione delle informazioni sanitarie, con l’intento di agevolare l’assistenza al paziente.
Gli operatori del SSN, ove autorizzati, potrebbero, dunque, consultare il FSE per avere immediatamente un quadro d’insieme del paziente, così potendo affrontare più efficacemente le patologie riscontrate.
Permangono, ad ogni modo, delle evidenti criticità sia in relazione all’implementazione da parte delle Regioni di questi strumenti, ma anche in relazione all’effettivo utilizzo da parte di medici e pazienti in tutto il territorio nazionale.
A ciò si aggiunge ancora una scarsa interoperabilità delle interfacce e delle infrastrutture adottate dalle varie Regioni.
In questo settore si registra infatti uno dei cortocircuiti creati dalla riforma del Titolo V della Costituzione, che in certi ambiti regala alle Regioni un’autonomia che non rispetta il principio di sussidiarietà, ma piuttosto crea deleteria frammentazione.
Questo riparto di funzioni esita in certi ambiti (di minore interesse) in un livellamento di tutte o quasi le Regioni su modelli predisposti a livello statale, mentre su altri settori (di maggior interesse e che spesso si collegano a importanti bandi su livello regionale) genera una inutile parcellizzazione delle soluzioni, con effetti deleteri specie quando si tratta di procedure informatiche, che dall’uniformità trarrebbero invece il grande vantaggio di permettere una diffusione dei dati su tutto il territorio nazionale ed anche europeo, vantaggio che viene però frustrato da inutili localismi, con ripercussioni anche sulla sicurezza delle piattaforme.
In ogni caso, nel complesso ad oggi circa un cittadino italiano su quattro ha attivato il FSE, per un totale di circa 270 milioni di referti digitalizzati.
I ritardi dell’Italia
Il trend tecnologico risulta, inoltre, rafforzato nel recente periodo sull’onda dell’emergenza Covid-19.
La necessità di limitare i contatti tra la popolazione al fine di contenere la diffusione del coronavirus sta favorendo chiaramente l’utilizzo di processi tecnologici anche nel campo sanitario.
Si pensi all’introduzione con ordinanza della Protezione Civile del 19 marzo 2020 della ricetta dematerializzata.
Con essa viene, di fatto, semplificata la modalità di trasmissione ai pazienti della ricetta elettronica.
Il medico di medicina generale potrà, quindi, limitarsi a trasmettere al paziente un NRE (Numero di Ricetta Elettronica) attraverso posta elettronica, SMS, ovvero telefonicamente.
Nonostante queste implementazioni, l’Italia resta, in ogni caso, in coda rispetto al resto d’Europa nella digitalizzazione del sistema sanitario.
La recente relazione dell’Istituto per la Competitività (I-Com) del 18 febbraio 2020 posiziona l’Italia solamente al ventesimo posto in Europa per il grado di digitalizzazione dei servizi sanitari.
Le maggiori criticità in Italia attengono alla citata frammentazione delle competenze in materia tra i diversi livelli di governo coinvolti e le Regioni, oltre che ad una generale diminuzione degli investimenti pubblici nel settore.
Il dato certo è che la direzione tracciata a livello internazionale è quella di una sempre maggiore digitalizzazione dei sistemi sanitari.
Le ragioni stanno nella necessità di ottimizzare le risorse e di contenere i relativi costi, così da poter rendere sostenibile per il sistema sanitario l’allungamento della vita media delle popolazioni, con tutte le relative problematiche connesse.
Il risultato sarà un’assistenza sanitaria molto diversa in futuro rispetto a quella che noi oggi conosciamo.
Tutto ciò passerà attraverso la raccolta e l’interscambio di dati tra dispositivi e una sempre maggiore digitalizzazione dei servizi offerti per prevenire possibili patologie e per offrire al paziente un’assistenza sempre più personalizzata.
Le vulnerabilità del settore sanitario
Di fronte a questa corsa alla digitalizzazione nel settore della sanità, in molti paesi ci si è trovati però a affrontare problematiche concrete di implementazione.
Se pensiamo al settore giustizia, la digitalizzazione del dato è sufficientemente semplice, parliamo nella stragrande maggioranza dei casi di digitalizzare file costituiti da testo scritto in origine al computer (di dimensioni ridotte), non così invece nel settore sanitario, dove il dato da digitalizzare consiste in tipologie di file diversi, di dimensioni ogni volta diverse e prodotti da macchinari spesso diversi fra loro quanto a output e formati, macchinari peraltro a volte connessi autonomamente alla rete (magari senza che nemmeno gli operatori ne siano informati).
Non solo, per quanto lunga, la vita di un processo giudiziale è limitata, non così nel settore sanitario dove anche la risalente storia clinica del paziente è rilevante e quindi di interesse anche in ottica di digitalizzazione.
Questi problemi concreti, facendo il pari con carenze infrastrutturali e con un budget limitato, hanno portato ad una digitalizzazione zoppicante nel settore della medicina.
In parallelo, il mercato dei dati ha assunto progressivamente significato economico, e il valore dei dati sanitari, per la loro rilevanza e potenzialità offensiva, è salito più velocemente rispetto a molte altre tipologie di dati.
Secondo un report della compagnia Carbon Black del 2019, il valore del fascicolo sanitario di un paziente è, per gli hacker, il triplo rispetto a quello dei dati relativi alla carta di credito!
E questo per una semplice ragione: i dati relativi alla carta di credito, così come i dati bancari in generale, possono essere agilmente modificati, la storia clinica invece rimane ed è immutabile.
Questo ha portato a un progressivo aumento dei casi di cyber-attacchi al settore, che appunto da ormai nove anni è in cima alle classifiche dei rapporti internazionali sul punto.
Gli attacchi si sono poi evoluti e vanno dal banale ransomware “automatizzato” stile cryptolocker (paga il riscatto e “libero” i dati dalla crittografia) ad attività più mirate e pericolose (es. scoprire il quadro clinico di soggetti di alto profilo oppure rubare l’identità di un medico per varie attività che vanno dalla prescrizione di medicinali fino al rapporto con le assicurazioni).
I recenti attacchi
L’attuale situazione di emergenza, che ha portato ad una corsa alla digitalizzazione della sanità e che auspicabilmente porterà presto ad una digitalizzazione e messa a sistema dei dati relativi al contagio da coronavirus (creando così inedite aggregazioni di dati e così strumenti per il contenimento del contagio), rende ancor più problematica l’attuale criticità in punto di sicurezza informatica, specie considerando l’interesse anche di certa parte del pubblico a conoscere e “mettere a nudo” i dati dei soggetti contagiati dal Covid-19, che potrebbe accendere l’interesse di cosiddetti hacker etici.
La digitalizzazione del settore, non accompagnata da adeguate politiche di sicurezza, rischia così di esporre i nostri dati personali più sensibili e apre alla amara possibilità che gli enti o i singoli pazienti siano costretti a “ricomprarli” per non vederli dispersi sul web.
Va quindi ricordato che l’attuale pandemia non ha “sospeso” le attività di cyber-crime e che quindi ogni iniziativa sul punto deve essere sviluppata anche da un punto di vista della sicurezza informatica, approfittando di questa situazione per predisporre strumenti efficaci che ci possano servire anche una volta cessata l’emergenza per consentirci una sanità più efficiente e agile.
In questo quadro va letto il recente attacco all’Ospedale Spallanzani e ad altre “strutture italiane di eccellenza attualmente impegnate nel fronteggiare l’emergenza sanitaria in atto relativa al Covid-19” (secondo quanto riferisce il SISR, Sistema di Informazione per la Sicurezza della Repubblica, in un comunicato stampa del 01 aprile 2020).
Sempre il SISR riferisce che “simili episodi rappresentano una ricaduta “fisiologica” della situazione in corso, che sollecita appetiti di varia natura, per lo più di matrice criminale.”
Date queste premesse c’è da aspettarsi quindi che quello di qualche giorno fa non sia l’unico attacco che la sanità italiana sarà costretta ad affrontare in questo periodo.
Se uniamo a questa considerazione quella per cui i dati sanitari stanno aumentando progressivamente di valore, con tendenza costante negli ultimi anni, capiamo quindi come sia opportuno prendere le mosse da questa crisi sanitaria per ripensare la digitalizzazione del settore, in maniera organizzata, uniforme, efficiente e sicura.
Dopo la pessima figura dell’INPS che pochi giorni fa ha esposto i dati degli iscritti in un momento delicato per la nazione, la sanità non può permettersi di incorrere negli stessi errori e deve tutelare i dati dei pazienti, comprendendo che la tutela della salute passa anche dalla tutela del dato sanitario e che l’ambiente online non può essere un caotico coacervo di informazioni sottoposto alle misure di sicurezza più disparate, ma deve essere invece un organizzato e studiato insieme di informazioni protette.
Questa organizzazione, da implementare a livello prima nazionale, poi europeo e quindi internazionale (perché una situazione di emergenza medica può interessarci in ogni parte del mondo e perché rifare esami solo perché non se ne può attingere l’esito in tempi rapidi è un inutile spreco di risorse) avrà sicure ricadute, oltre che in termini di sicurezza informatica, anche in termini di salute dei pazienti e di conseguente efficienza e risparmio di sistema sanitario.