Il tema della sicurezza informatica sta diventando sempre più presente nelle agende delle aziende e delle pubbliche amministrazioni. Si inseriscono in questo trend le recenti novità normative, tra cui la Direttiva NIS (Network and Information Security), il Regolamento Europeo n. 881/19 (c.d. Cybersecurity Act) ed il Regolamento generale sulla protezione dei dati 2016/679 (UE) noto come GDPR.
Ma in prima linea, anche in considerazione della criticità delle proprie infrastrutture, ci sono le amministrazioni sanitarie. L’uso delle tecnologie informatiche in sanità, infatti, è ormai ampiamente diffuso e crea un enorme potenziale per migliorare i risultati clinici e trasformare l’erogazione delle cure.
Tuttavia, vi sono crescenti preoccupazioni riguardo alla sicurezza dei dati personali e dei sistemi informatici sanitari che la copiosa normativa vigente e le attuali pubblicazioni in materia cercano di disciplinare nel tentativo di creare un sistema di protezione organico ed omogeneo (il D. L.vo n.82/2005 “Codice dell’Amministrazione Digitale”; il D.lgs. n.196/2003 “Codice in materia di protezione dei dati personali”; la circolare AGiD 2/2017 contenente le misure minime di sicurezza ICT; il documento “Strategia per la crescita digitale 2014-2020” di AGiD; il “Piano triennale per l’informatica nella pubblica amministrazione 2019-2021” della stessa Agenzia per l’Italia Digitale e tantissime altre).
La maggiore connettività alle reti informatiche esistenti ha esposto le Amministrazioni a nuove vulnerabilità di sicurezza informatica, in quanto l’assistenza sanitaria è un obiettivo estremamente interessante per la criminalità informatica per due motivi fondamentali: da un lato è una fonte ricca di dati preziosi e dall’altro, molto spesso, le difese sono deboli.
Sicurezza informatica a garanzia della salute dei pazienti
Le violazioni della sicurezza informatica (data breach) possono essere causate da eventi accidentali (es. la perdita di una chiavetta usb o un accesso non regolamentato ai dati) o dolosi (attacchi informatici), e si possono concretizzare nel furto di informazioni sanitarie, attacchi di ransomware agli ospedali, attacchi Denial of Service e attacchi ai dispositivi medici impiantati, che possono ridurre la fiducia dei pazienti, paralizzare i sistemi sanitari e minacciare la vita umana.
In definitiva, la sicurezza informatica è fondamentale per la sicurezza dei pazienti, ma è stata spesso sottostimata. Le norme su indicate, di rango europeo, quindi, sono validi strumenti, oltre che occasioni imperdibili, per facilitare il cambiamento. Ciò richiede che la sicurezza informatica diventi parte integrante della sicurezza del paziente, attraverso cambiamenti del comportamento umano, della tecnologia e dei processi come parte di una soluzione olistica.
Anche perché non bisogna dimenticare che il sistema sanitario è un sistema complesso in cui interagiscono molteplici fattori, eterogenei e dinamici, tra cui si possono annoverare la pluralità delle prestazioni sanitarie, delle competenze specialistiche e dei ruoli professionali, tecnico-sanitari ed economico-amministrativi e l’eterogeneità dei processi e dei risultati da conseguire.
Tutti gli elementi del sistema devono integrarsi e coordinarsi, per rispondere ai bisogni assistenziali del paziente ed assicurargli la miglior cura possibile, in quanto proprio tra le pieghe di tale dinamicità ed eterogeneità si possono nascondere minacce e pericoli per la sicurezza che possono arrivare ad avere anche riflessi sul c.d. “rischio clinico”, ossia la possibilità che un paziente subisca un danno o disagio involontario, imputabile alle cure sanitarie, che causa un prolungamento del periodo di degenza, un peggioramento delle condizioni di salute o addirittura, in casi estremi ma possibili, la morte (si pensi ad esempio ad un attacco informatico che occulti, cancelli, alteri o scambi le informazioni dei pazienti impedendo di fatto l’erogazione di cure adeguate).
Ovviamente, le minacce e le vulnerabilità non possono essere del tutto eliminate, pertanto la riduzione dei rischi per la sicurezza è particolarmente impegnativa.
Cybersecurity, cosa può fare l’azienda sanitaria
Anche se nessun sistema informatico è completamente impenetrabile, ci sono alcune misure che le organizzazioni possono implementare per contribuire a limitare la probabilità di una violazione o, comunque, ridurne l’entità e le conseguenze.
Tra queste, possiamo annoverare la capacità di riconoscere che la minaccia è reale; infatti, mentre è facile accorgersi come qualcuno con intenzioni malvagie possa colpire una banca, o uno negozio di vendita al dettaglio per accedere illegalmente a beni fisici tangibili, spesso è più difficile capire perché e come qualcuno potrebbe violare i sistemi di un’organizzazione sanitaria. Eppure i dati sanitari sono quelli tra i più delicati ed ambìti dai criminali informatici, per l’alta redditività sul Dark Web. Per tale motivo, gli organismi sanitari sono un bersaglio per i criminali, soprattutto nel settore del ransomware – un tipo di software dannoso che tiene in ostaggio i dati e le informazioni personali dei pazienti fino a quando gli hacker che lo hanno creato non ricevono il pagamento in riscatto.
Altre misure idonee sono la revisione e aggiornamento dei protocolli di sicurezza che affrontino il modo in cui il personale accede e interagisce con la tecnologia nelle strutture. È normale per il personale utilizzare una password multicarattere per accedere ai sistemi informatici, per cui, quando si impostano i parametri per le password, bisogna assicurarsi che siano sufficientemente robuste.
Sicurezza sanitaria, serve investire in formazione
In ogni caso, una delle misure più sottovalutate, ma oltremodo efficaci, è quella di formare e aggiornare regolarmente il personale sui rischi e sulle responsabilità. L’investimento in materia di formazione del personale nella pubblica amministrazione è un principio cardine grazie a cui si possono sviluppare i principi della digitalizzazione e della dematerializzazione ma soprattutto della sicurezza dei dati trattati. L’efficacia dei processi di un’organizzazione è direttamente correlata a quanto il personale sia coerente nel seguire tali processi. A tal fine, le organizzazioni dovrebbero fornire una formazione completa sulle misure di sicurezza informatica e sui rischi connessi se i membri del personale non rispettano tali procedure.
Ad esempio, il personale dovrebbe essere addestrato a riconoscere le comunicazioni e-mail sospette e a non aprire nulla che possa essere potenzialmente pericoloso. Dovrebbero, inoltre, essere istruiti a contattare il personale IT in caso di dubbi sull’autenticità di un’e-mail. Dovrebbero essere organizzati corsi di orientamento e di aggiornamento per garantire che i dipendenti siano regolarmente aggiornati sulle nuove minacce e sulle misure di sicurezza.
Per cercare di venire incontro alle esigenze delle organizzazioni sanitarie è stato finanziato dall’UE, nell’àmbito del programma H2020, il progetto denominato “Threat-Arrest” (Cyber Security Threats and Threat Actors Training – Assurance Driven Multi-Layer, end-to-end Simulation and Training).
Come funziona il progetto europeo Threat-Arrest
Il progetto “Threat-Arrest” è gestito da un consorzio di 15 partner, tra cui l’AReSS (Agenzia Regionale Pugliese per la Salute ed il Sociale), la Foundation for Research and Technology (Grecia), Simplan (Germania), Sphynx Technology Solutions (Svizzera), l’Università degli Studi di Milano, Atos Spain, IBM ISRAEL, Social Engineering Academy (Germania), Information Technology form Market Leadership (Greece), BIRD & BIRD (United Kingdom), Technische Universitaet Braunschweig (Germania), CZ.NIC, ZSPO (Repubblica Ceca), Danaos Shipping Company (Cipro), Tuv Hellas, Lightsource Labs Limited (Irlanda).
Lo scopo del progetto è proprio quello di attenuare gli attacchi informatici attraverso la formazione avanzata in materia di sicurezza in numerosi settori e industrie dell’UE.
Infatti, nonostante l’ampia gamma di strumenti sembri fornire un meccanismo completo per individuare e rispondere efficacemente agli attacchi informatici, è difficile stabilire strategie e processi efficaci di utilizzo degli strumenti per affrontare il paesaggio terrestre in continua espansione di questi attacchi. Inoltre, l’avvento di soluzioni di sicurezza informatica più “intelligenti”, che fanno uso di tecnologie quali l’apprendimento automatico, l’analisi statistica e l’analisi del comportamento degli utenti, richiede una formazione sofisticata e pratica del personale chiave delle organizzazioni responsabili della sicurezza, affinché queste ultime siano in grado di padroneggiarle.
In risposta a quanto sopra, “Threat-Arrest” svilupperà una piattaforma di formazione avanzata che incorpora emulazione, simulazione, gaming e capacità di visualizzazione per preparare adeguatamente gli stakeholder con diversi tipi di responsabilità e livelli di competenza nella difesa dei sistemi e delle organizzazioni ad alto rischio per contrastare attacchi informatici avanzati, noti e nuovi attacchi informatici. La piattaforma “Threat-Arrest” fornirà una formazione sulla sicurezza, basata su un approccio model driven dove i modelli di preparazione alle minacce informatiche e di formazione, specificando i potenziali attacchi, i controlli di sicurezza dei sistemi informatici contro di essi, e gli strumenti che possono essere utilizzati per valutare l’efficacia di questi controlli, guideranno il processo di formazione e lo allineeranno con i meccanismi operativi di sicurezza dei sistemi informatici per garantire la pertinenza della formazione.
La piattaforma supporterà anche la valutazione delle prestazioni dei tirocinanti e la valutazione dei programmi di formazione e adatterà i programmi di formazione basati su di essi. L’efficacia del framework sarà convalidata utilizzando un prototipo di implementazione al livello TRL-7 (Technology Readiness Level 7: Dimostrazione di un prototipo di sistema in ambiente operativo) interconnesso con reali strumenti pilota di sistemi informatici nei settori dell’energia intelligente, della sanità e della navigazione, e da un punto di vista tecnico, legale e commerciale.
L’avanzamento dei lavori potrà essere seguito sul sito dedicato https://www.threat-arrest.eu/.
