Nel complesso ed articolato panorama della cyber security, un settore di particolare rilievo è senza dubbio rappresentato da quello sanitario. In esso, infatti, le criticità connesse alla straordinaria diffusione delle nuove tecnologie si intrecciano inevitabilmente con la delicatezza dei servizi erogati e dei dati trattati, creando un contesto di analisi sui-generis estremamente interessante.
Come è noto, l’era digitale ha portato all’introduzione e all’uso massiccio in ambito sanitario di soluzioni di tele-monitoraggio, di Electronic Health Records (EHR) e di applicazioni di tipo mHealth (mobile Health) in combinazione con il nascente concetto di “assistenza coordinata”.
Le vulnerabilità informatiche principali in Sanità
Tuttavia proprio l’utilizzo di tali tecnologie ha reso il settore particolarmente vulnerabile agli attacchi cyber. Il costante incremento della digitalizzazione, la conservazione e il trattamento di dati sensibili, l’adozione di soluzioni di cloud computing e di architetture decentralizzate, così come la forte espansione del mercato dei dispositivi tecnologici indossabili, hanno determinato parallelamente una proliferazione delle applicazioni malevole e di fenomeni di cyber–crime, che richiedono quotidianamente costi ingenti e sforzi notevoli per fronteggiare attacchi sempre più insidiosi.
Si pensi che nel 2015, anno record per le violazioni in ambito sanitario, oltre 100 milioni di cartelle cliniche nel mondo sono state oggetto di attacco da parte di hacker. Particolarmente rilevanti e complesse, inoltre, sono state le infrazioni: il cyber attacco a danno della Anthem Health Care[1], ad esempio, ha coinvolto oltre 78,8 milioni di persone, mentre sono stati ben 1,25 milioni i dati sottratti al servizio pensionistico giapponese[2].
Nuove criticità e sfide innovative alla sicurezza informatica in Sanità, inoltre, provengono dallo specifico settore delle applicazioni mHealth. Tale mercato, negli ultimi anni, ha subito una straordinaria evoluzione grazie alla notevole diffusione di smartphone, tablet e di altre piattaforme mobili, che hanno a loro volta consentito un utilizzo sempre più ampio di dispositivi wireless per la gestione delle malattie croniche. La diffusione di tali strumenti, seguita da un profondo processo di digitalizzazione dell’intero settore, ha inevitabilmente rivoluzionato il modo di intendere e di garantire i servizi sanitari, favorendone l’efficienza e l’efficacia.
Ma al contempo, il susseguirsi di attacchi cyber ha determinato un clima di sfiducia e un diffuso atteggiamento di resistenza al loro utilizzo da parte proprio dei potenziali utenti.
Dinanzi al susseguirsi di tentativi di violazione e sottrazione di dati estremamente sensibili e in assenza di misure di sicurezza adeguate, pazienti e personale medico ed infermieristico, infatti, si sono dimostrati tendenzialmente poco inclini all’utilizzo di tali tecnologie e alla condivisione mediante tali strumenti di informazioni mediche. Medesimo atteggiamento si riscontra tra gli investitori, pubblici e privati, che in assenza di idonee garanzie sul lato della sicurezza dei dati coinvolti, preferiscono limitare gli investimenti in tale comparto, nonostante le aspettative di crescita esponenziale del mercato nei prossimi anni ($ 90,49 miliardi solo per applicazioni di mHealth[3]), con notevoli perdite in termini di opportunità e di innovazione.
Cyber security e assistenza sanitaria transfrontaliera
Un ultimo aspetto da sottolineare, al fine di comprendere la peculiarità e l’importanza di tale settore nel più ampio dibattito relativo alla cyber security, riguarda l’attuale complessità dell’assistenza sanitaria transfrontaliera. Nell’ultimo decennio si è assistito, infatti, ad un aumento esponenziale della mobilità dei cittadini europei per motivi di istruzione, formazione, lavoro e turismo, attirati dalla generale diminuzione dei costi di trasporto dovuta alla proliferazione delle compagnie low cost. Questa notevole riduzione delle distanze, tuttavia, non è stata seguita da una effettiva diminuzione delle difficoltà che si presentano ai viaggiatori affetti da malattie croniche. Ancora notevoli sono le barriere che si frappongono ai loro spostamenti, soprattutto in termini di condivisione dei dati e delle informazioni sanitarie che li riguardano, sia all’interno che all’esterno dei propri confini nazionali.
Alla luce di tali considerazioni, è possibile affermare che la sicurezza rappresenta oggi il più importante ostacolo ad una efficiente evoluzione del settore sanitario. È evidente che in un momento di grande sviluppo tecnologico come quello attuale, la creazione di nuovi servizi e di prodotti innovativi in ambito sanitario non possa prescindere dall’individuazione di idonee misure di sicurezza ad essi dedicati. Sono necessarie soluzioni in grado di garantire una efficace tutela dei dati personali dei soggetti coinvolti, nonché la diffusione di un clima di fiducia tra pazienti e personale tecnico, indispensabile per un utilizzo sereno e soprattutto efficiente delle nuove tecnologie.
Le principali sfide in materia di sicurezza digitale del settore sanitario
La sicurezza digitale in ambito sanitario si declina su quattro problematiche principali:
- La conservazione dei dati (Data Preservation): è la necessità di garantire che le informazioni digitali di valore prolungato nel tempo rimangano accessibili ed utilizzabili.
- L’accesso e la modifica dei dati (Data access and modification): fa riferimento a quelle attività tipiche quali la memorizzazione ed il recupero di dati memorizzati in database o altri archivi. Per l’esecuzione di tali azioni, funzioni come l’autenticazione e l’autorizzazione risultano essere fondamentali.
- Lo scambio di dati (Data exchange): Lo scambio di dati può essere realizzato sia internamente (ad esempio coinvolgendo due o più parti appartenenti allo stesso ente sanitario) o esternamente (ad esempio coinvolgendo molteplici stakeholders appartenenti a diverse istituzioni sanitarie, possibilmente presenti in paesi differenti). Lo scambio dei dati dovrebbe avvenire nel rispetto di predeterminati requisiti di sicurezza e prevedere l’implementazione di adeguate misure di tutela delle informazioni.
- Interoperabilità e conformità (Interoperability and compliance): l’interoperabilità consente di stabilire fino a che punto i sistemi e i dispositivi sono in grado di scambiare dati ed interpretare informazioni condivise. Affinché due sistemi siano interoperabili, essi devono poter scambiare dati e successivamente presentare quei dati in modo che siano comprensibili da parte di un utente. La conformità si riferisce, invece, all’adozione degli stessi standard, nonché al rispetto delle normative previste (sia a livello nazionale che internazionale) relative all’utilizzo dei dati sanitari.
La sfide delle norme in Sanità digitale
Le quattro problematiche sopra descritte vanno affrontate in conformità con le indicazioni della normativa sulla tutela dei dati personali. Nelle linee guida del gruppo di lavoro “Article 29 Working Party” per la protezione dei dati[4], “il trattamento di dati sanitari su larga scala è considerato un trattamento tale da presentare un rischio elevato […]” in quanto prevede attività continuative realizzate su una notevole mole di dati personali sensibili. Tutte le informazioni attinenti alla salute fisica o mentale di una persona, comprese quelle relative alla prestazione di servizi di assistenza sanitaria che sono in grado di rivelare notizie relative allo stato di salute, risultano, infatti, essere per loro stessa natura dati estremamente “sensibili” ai sensi dell’art. 9 del nuovo Regolamento (EU) 2016/679. Il loro trattamento è pertanto sottoposto ad una peculiare e dettagliata disciplina definita dal nuovo quadro normativo in materia di privacy, finalizzata a ridurre situazioni di rischio sotto il profilo dei diritti e delle libertà personali. Tali norme prevedono una serie di obblighi stringenti a carico dei titolari e dei responsabili dei dati con riferimento in particolar modo alle modalità di raccolta, di trattamento e di conservazione delle informazioni, nonché di reazione e di intervento in caso di violazioni o di sottrazioni delle stesse.
Un ulteriore elemento di criticità relativo al sistema sanitario riguarda il modo in cui l’intero settore risulta essere strutturato, in termini di organizzazione e di normativa in materia.
Come è noto, infatti, il panorama europeo delle attività e dei servizi sanitari si caratterizza per la presenza di una doppia gerarchia federata a livello locale e sovranazionale.
Con riferimento al primo ambito, in diversi Stati europei si riscontra una organizzazione della sanità di tipo multilivello, in cui i poteri e le risorse destinati a tale settore vengono ripartiti tra i diversi organi di governo esistenti, di tipo centrale e locale. Questo, ad esempio, è il caso dell’Italia, in cui lo Stato è tenuto a garantire la programmazione della politica sanitaria nazionale, a stabilire i LEA (livelli essenziali di assistenza) e a finanziare l’intero sistema sanitario. Le Regioni, poi, sulla base delle indicazioni statali, hanno a loro volta il compito di identificare le esigenze sanitarie da soddisfare su base locale, di definire i livelli di servizi da erogare e di procedere alla equa redistribuzione sui propri territori delle risorse provenienti dal governo centrale.
Con riferimento, invece, all’ambito sovranazionale, l’Unione Europea impone agli Stati membri di garantire medesimi livelli di tutela all’interno dei propri territori, al fine di consentire ai cittadini europei di godere di pari opportunità in termini di salute e di avvalersi di un’assistenza sanitaria di qualità, indipendentemente dallo Stato di appartenenza. In particolare, ai sensi dell’articolo 6 del Trattato sul Funzionamento dell’Unione Europea (TFUE), in campo sanitario l’UE dispone di una competenza complementare, che consiste nella realizzazione di azioni finalizzate a sostenere, coordinare o completare le politiche sanitarie nazionali, promuovendo la cooperazione tra gli Stati membri e il coordinamento tra i diversi programmi sanitari nazionali. In tale ottica si inserisce la direttiva 2011/24/UE[5], che con riferimento all’assistenza sanitaria transfrontaliera, riconosce ai cittadini europei il diritto di accesso all’assistenza sanitaria in tutti gli Stati dell’Unione, nonché il diritto di rimborso da parte del proprio paese di residenza dei costi delle cure effettuate all’estero.
È evidente che tale articolata struttura, basata su una duplice gerarchia, rende particolarmente complesso il funzionamento e, parimenti, la tutela coordinata dei sistemi sanitari nazionali europei rispetto ad attacchi di tipo cyber. In particolare, le principali sfide in materia di sicurezza digitale in tale settore risultano collegate all’interoperabilità tra i diversi sistemi sanitari e alla sicurezza dei dati sensibili trattati e condivisi a livello nazionale ed europeo.
Linee di finanziamento della ricerca in cyber security in ambito sanitario
Alla luce della suddetta analisi e della necessità di dar vita a soluzioni strutturate e trasversali, la Commissione Europea nell’ambito di Horizon 2020 nell’ottobre del 2015 ha aperto una call sul tema “TOPIC: Increasing digital security of health related data on a systemic level”[6]. Tra i progetti finanziati in tale ambito, è stato avviato nel 2016 KONFIDO “Secure and Trusted Paradigm for Interoperable eHealth Services”[7].
Il progetto, di durata triennale, sta sviluppando una tecnologia sicura per l’immagazzinamento e lo scambio di dati utili nella gestione delle cure in modalità eHealth, condivisa a livello europeo ed in grado di superare le barriere nazionali tra i diversi sistemi.
Le soluzioni di KONFIDO si basano su un’architettura federata, fondata sui principi della privacy by design, in grado di garantire lo scambio, l’elaborazione e l’archiviazione sicura dei dati sanitari. Per il raggiungimento di tali obiettivi, KONFIDO prevede un avanzamento dello stato dell’arte della tecnologia eHealth rispetto alle quattro dimensioni fondamentali della sicurezza digitale e precisamente: la conservazione, l’accesso e la modifica, lo scambio di dati, l’interoperabilità e la compliance. Inoltre, il progetto prevede un approccio di tipo olistico – rivolto cioè a tutti i livelli architetturali di un’infrastruttura IT – ed in particolare ai livelli di archiviazione, diffusione, elaborazione e presentazione.
Al termine della fase progettuale, KONFIDO renderà possibile l’interoperabilità transfrontaliera dei servizi di sanità elettronica forniti dai singoli paesi, consentendo al contempo a ciascun soggetto coinvolto (attori pubblici e privati, nonché cittadini abilitati) di applicare e, parallelamente, di usufruire di misure specifiche per la protezione e il controllo dei relativi dati sanitari. Questo favorirà inevitabilmente la mobilità dei pazienti europei, che potranno godere della stessa Quality of Service (QoS) in termini di assistenza sanitaria in tutti gli Stati dell’Unione.
KONFIDO rappresenta sicuramente un importante passo in avanti nella complessa sfida finalizzata alla tutela della sicurezza digitale in ambito sanitario, ma molto c’è ancora da fare. Per questo motivo, la Commissione Europea continua ad investire in Ricerca e Sviluppo in questo importantissimo settore strategico. A tal fine, il 27 ottobre 2017, si è aperta un’altra call, sul tema “TOPIC: Toolkit for assessing and reducing cyber risks in hospitals and care centres to protect privacy/data/infrastructures”[12]. L’obiettivo è la realizzazione di metodi innovativi, di strumenti, di linee guida e di best practices destinate alla tutela della cyber security con riferimento, in particolare, al complesso panorama degli ospedali e delle aziende sanitarie.
La crescente attenzione rivolta a livello nazionale e sovranazionale a tale settore testimonia l’importanza dello stesso nella complessiva sfida agli attacchi cyber e nell’evoluzione e la crescita della società europea. In tale contesto, è fondamentale che l’Italia risulti preparata e pronta ad affrontare questa complessa sfida, in modo da non perdere una nuova e vitale opportunità di crescita.
https://www.anthem.com/press/wisconsin/statement-regarding-cyber-attack-against-anthem/ ↑
http://www.japantimes.co.jp/news/2015/06/02/national/social-issues/japan-pension-service-hack-used-classic-attack-method/#.VriOd_l96Cc ↑
https://www.marketsandmarkets.com/PressReleases/mhealth-apps-and-solutions.asp ↑
Article 29 Working Party per la protezione dei dati, Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679, WP 248, 4 aprile 2017, aggiornate il 4 ottobre 2017. ↑
Direttiva 2011/24/UE del Parlamento europeo e del Consiglio, del 9 marzo 2011, concernente l’applicazione dei diritti dei pazienti relativi all’assistenza sanitaria transfrontaliera ↑
http://ec.europa.eu/research/participants/portal/desktop/en/opportunities/h2020/topics/ds-03-2016.html ↑
Il progetto KONFIDO ha avuto inizio nel novembre 2016 e terminerà ad ottobre 2019. È finanziato dall’Unione Europea nell’ambito del programma Horizon 2020 Framework Programme for Research and Innovation – DS-03-2016 – Increasing digital security of health related data on a systemic level. Grant Agreement N. 727528. Per ulteriori informazioni sul progetto è possibile contarrare il Technical Coordinator, Prof. Luigi Romano, all’indirizzo: prof.luigi.romano@gmail.com ↑
http://ec.europa.eu/research/participants/portal/desktop/en/opportunities/h2020/topics/su-tds-02-2018.html ↑
