La gravità delle conseguenze che si possono verificare nell’ambito sanitario in caso di mancato rispetto delle adeguate misure di sicurezza contro cyber-attacchi sono sotto gli occhi di tutti, anche per il notevole risalto mediatico che è stato dato recentemente, portando all’attenzione del grande pubblico alcuni episodi di ransomware o di altri cyber-incidenti verificatisi in strutture sanitarie di mezzo mondo.
Eppure, il tema della cyber-sicurezza nella sanità dovrebbe essere tenuto nella dovuta considerazione più che in altri, se sol si considera che le possibili ripercussioni sono incalcolabili e che il rischio clinico è già una problematica da non sottovalutare nel mondo analogico, figurarsi in quello digitale, sempre più presente, connesso e pervasivo.
Secondo il Data Breach Investigation Report 2017 di Verizon (leader mondiale di soluzioni innovative per le tecnologie e la comunicazione), nel settore Healthcare, si sarebbero verificati 458 incidenti, dei quali 296 con rivelazione confermata di dati.
Tali incidenti si sarebbero verificati principalmente attraverso 3 modalità: cattivo uso dei privilegi, errori vari e furto/perdita dei dati (che da soli rappresenterebbero l’80% dei data breach in sanità) e sarebbero stati perpetrati per il 32% da soggetti esterni, per il 68% da interni e per il 6% da partner, tutti soggetti guidati da motivazioni economico-finanziarie per il 64%, ludiche per il 23% e di vendetta per il 7%.
I dati compromessi avrebbero riguardato per il 69% l’ambito medico, per il 33% quello personale e per il 4% i pagamenti.
Del resto i dispositivi medici, come tutti gli altri sistemi informatici, sono notoriamente vulnerabili rispetto a violazioni di sicurezza, e sono potenzialmente in grado di influenzare la sicurezza e l’efficacia del dispositivo tanto da arrivare a mettere a repentaglio la salute, se non addirittura la vita, delle persone.
Queste vulnerabilità aumentano e continuano ad aumentare da quando i dispositivi medici utilizzati sono sempre più connessi a Internet, alle reti ospedaliere e ad altri dispositivi medici.
È innegabile, ovviamente, che tutti i dispositivi medici comportano una certa quantità di rischio, ma quelli connessi in rete, quasi sempre wireless, ne comportano una decisamente maggiore.
D’altronde, in ambito sanitario, la sicurezza non verte solo sul tema della sicurezza dei dati e delle informazioni personali, intesa sia come disponibilità, sia come integrità sia come confidenzialità, ma anche e più ampiamente, sul tema della tutela della salute dell’utente-paziente, che sicuramente desta più preoccupazione (ipotesi, tuttavia, che spesso si intreccia con la precedente), tanto da essere stato oggetto di un recentissimo intervento normativo interno ad opera della L. n. 24 del 8 marzo 2017, recante “Disposizioni in materia di sicurezza delle cure e della persona assistita, nonché in materia di responsabilità professionale degli esercenti le professioni sanitarie”.
Ora, fermo restando che, come è noto, la sicurezza informatica “assoluta” non esiste, vediamo come vengono affrontate le diverse realtà.
Dando uno sguardo oltre oceano, la Food and Drug Administration americana (FDA) consente ai dispositivi medici di essere commercializzati quando esiste una ragionevole garanzia che i benefici per i pazienti superino i rischi, con la consapevolezza che tali funzionalità migliorano la sanità e aumentano la capacità dei fornitori di assistenza sanitaria di trattare i pazienti, anche se l’aumento dell’uso della tecnologia (soprattutto wireless) determina un aumento dei rischi di minacce in materia di cyber-security.
È necessario, infatti, equilibrare la protezione della sicurezza del paziente e promuovere lo sviluppo di tecnologie innovative e migliori prestazioni del dispositivo, affrontando le minacce della sicurezza in rete e riducendo i rischi per la stessa.
E poiché le cyber-minacce alla sicurezza non possono essere completamente eliminate, i produttori di dispositivi, gli ospedali, le strutture sanitarie e gli altri operatori coinvolti devono lavorare e collaborare per gestirli, specie in considerazione del fatto che l’anello debole della catena è quasi sempre il fattore umano ed in particolare il dipendente “infedele” o “inconsapevole”.
Negli ultimi giorni dello scorso anno (dicembre 2016), la FDA ha pubblicato la sua ultima guida sulla sicurezza informatica dei dispositivi medici dopo la messa in commercio (postmarket).
La guida segue e integra quella pubblicata in precedenza su questioni in materia di cyber-security prima della messa in commercio (premarket); entrambe le parti, pre e post, devono essere lette e considerate unitariamente.
In entrambi i casi, la FDA definisce un approccio completo e un ciclo di vita per la gestione del rischio informatico. In base a questa guida, la FDA chiede alle aziende di operare in modo strutturato per pensare e agire su problemi di prodotto, hardware, software e rete, in modo che il rischio sia controllato e minimizzato.
Tra gli strumenti utilizzati più a rischio non si possono non menzionare le raccolte dei dati personali e medici (sotto forma di fascicoli sanitari, dossier sanitari o cartelle cliniche), l’uso di dispositivi Mobile, in particolar modo il cosiddetto BYOD (Bring Your Own Device) e l’IoT (Internet of Thing).
Sul versante Europeo, la Direttiva n. 1148/2016 (c.d. N.I.S., Network and Information System), ha posto le fondamenta per creare una cornice normativa tesa ad armonizzare le varie realtà interne in modo da affrontare in maniera uniforme la tematica delle reti e dei sistemi e servizi informativi che ormai svolgono un ruolo vitale nella società e che, pertanto, l’Europa riconosce come essenziale la loro affidabilità e sicurezza per le attività economiche e sociali, in particolare ai fini del corretto funzionamento del mercato interno.
La suddetta Direttiva, tra l’altro, individua gli Istituti sanitari (compresi ospedali e cliniche private), inserendoli nel Settore Sanitario al n. 5 della Tabella contenuta nell’allegato II, come “operatore di servizi essenziali”, che, ex art. 5, sono definiti in base ai criteri seguenti:
- a) soggetto che fornisce un servizio che è essenziale per il mantenimento di attività sociali e/o economiche fondamentali;
- b) fornitura di tale servizio dipendente dalla rete e dai sistemi informativi;
- c) incidente che avrebbe effetti negativi rilevanti sulla fornitura di tale servizio.
Sul versante interno, invece, la normativa in materia di cyber-sicurezza è stata recentemente aggiornata con il D.P.C.M. 17.02.2017 ed ulteriormente arricchita con la Circolare Agid 17 marzo 2017, n. 1/2017, contenente le misure minime di sicurezza ICT per le PP.AA., da implementare entro il 31 dicembre 2017, obbligatoriamente per tutte le pubbliche amministrazioni e, quindi, anche quelle della sanità.
La menzionata circolare definisce tre livelli di sicurezza, sulla base dei controlli che devono essere eseguiti per rispettare ciascun livello:
– “Minimo”, livello sotto il quale nessuna amministrazione può scendere, in quanto i controlli in essa indicati debbono ritenersi come obbligatori;
– “Standard”, inteso come base di riferimento nella maggior parte dei casi;
– “Alto”, inteso come un obiettivo a cui tendere.
Ovviamente, in ambito sanitario l’obiettivo non potrà che essere quello “Alto”.
Le varie misure di sicurezza vengono suddivise in otto classi di controlli da attuare e monitorare sulla base dei livelli da raggiungere.
Ricordiamo, infine, che tali misure si sommano e in alcune parti si sovrappongono a quelle previste nel Codice Privacy (all. B – Disciplinare tecnico) e che le “Linee guida in materia di Dossier sanitario” del 4 giugno 2015 emanate dal Garante Privacy contengono attualmente uno dei pochissimi casi in cui è obbligatorio notificare all’Autorità un eventuale ipotesi di data breach (normative di prossimo superamento ad opera del Reg. UE 679/16).
Nonostante quanto detto, ed è comprensibile, le aziende produttrici non sono propense spontaneamente a comunicare agli utenti, anche istituzionali, l’esistenza di una vulnerabilità finché non esiste una soluzione, poiché una vulnerabilità nota senza una correzione può facilmente (e spesso) essere sfruttata dagli attaccanti.
Un altro problema, infine, che continua ad essere molto importante, è che le regole globali devono essere armonizzate.
Le aziende di dispositivi medici progettano, costruiscono e vendono a livello globale e, quindi, la sicurezza, l’integrità, il contenimento delle vulnerabilità, le regole di divulgazione e le migliori pratiche devono avere un respiro globale.
Nel tempo, molto probabilmente, come la maggior parte delle questioni in materia di sicurezza, le varie linee guide rappresenteranno una sorta di perenne “lavoro in corso”, continuamente aggiornato e migliorato.
I soggetti coinvolti e le autorità di regolamentazione a livello globale dovrebbero, inoltre, iniziare ad occuparsi delle migliaia di casi specifici di utilizzo che consentiranno di creare una sorta di database distribuito e universale dal quale attingere le best practice e che, magari attraverso l’utilizzo di Intelligenze Artificiali, sia sempre più determinante nella continua cyber-lotta tra buoni e cattivi.
