Recenti studi evidenziano come i costanti attacchi subiti dalle strutture e le violazioni dei sistemi informatici ospedalieri possono compromettere la qualità dell’assistenza, la tempestività nelle cure e avere conseguenze significative per i pazienti: è stata individuata, addirittura, una correlazione diretta tra gli attacchi informatici e l’aumento della mortalità negli ospedali colpiti.
Per queste ragioni è essenziale che le strutture sanitarie affrontino in maniera proattiva la sicurezza dei propri sistemi informatici e operino per incrementare la consapevolezza dei dipendenti in merito alle conseguenze di un data breach.
Data breach in Sanità, formazione al digitale per evitare errori
L’onda crescente dei data breach che colpisce gli ospedali: alcuni casi recenti
Il rapporto CLUSIT 2022 sulla sicurezza ICT in Italia ha evidenziato come il settore sanitario sia tra i principali obiettivi degli attacchi informatici: nell’anno 2021 il 13% degli attacchi ha avuto come target una struttura sanitaria, un dato in crescita del 24,8% rispetto al 2020.
Tale dato è dimostrato dagli eventi occorsi nel nostro Paese nel primo semestre del 2022, a partire da inizio anno quando il gruppo LockBit 2.0 ha colpito i sistemi informatici della Unità Socio-Sanitaria Locale (USL) di Padova e, come conseguenza, migliaia di dati sanitari, conservati negli archivi, sono stati diffusi online.
Più di recente, nella giornata di domenica 1° maggio 2022, un attacco è stato indirizzato ai sistemi informatici dei presidi Ospedalieri e Territoriali dell’ASST Fatebenefratelli – Sacco. L’attacco ransomware, rivendicato dal gruppo criminale Vice Society, ha compromesso i circa 500 server dell’infrastruttura informatica dell’ASST Fatebenefratelli – Sacco e ha avuto conseguenze su tutti i presidi ospedalieri, dall’ospedale Buzzi alla clinica Melloni, oltre alle 33 sedi territoriali. Ne sono derivati gravi problemi tecnici all’infrastruttura informatica aziendale, che hanno comportato dei disservizi nell’accesso dei pazienti alla struttura, rendendo l’esecuzione delle prestazioni ospedaliere possibili solo attraverso modulistica cartacea.
Quello al Fatebenefratelli – Sacco è solo l’ultimo, in ordine temporale, degli attacchi informatici che hanno colpito le strutture ospedaliere italiane e ne hanno paralizzato le attività.
Risulta chiaro come l’esposizione delle strutture ospedaliere le renda come uno dei principali target di attacchi informatici, in considerazione degli impatti sugli interessati e del clamore mediatico che può avere una paralisi dei servizi ospedalieri.
In aggiunta a questo, bisogna considerare che gli ospedali spesso archiviano ed elaborano un quantitativo considerevole di informazioni molto sensibili e confidenziali sui pazienti, che possono essere facilmente vendute o utilizzate per ottenere un riscatto elevato. I dati contenuti nelle cartelle cliniche sono tra i dati più ambiti nel dark web, con acquirenti disposti a pagare centinaia di dollari per una singola cartella. All’interno di questi file si trovano infatti informazioni strettamente confidenziali, dati finanziari e altri dettagli utilizzabili per furti d’identità e frodi.
Un altro grande problema nelle strutture sanitarie, che contribuisce a renderle particolarmente vulnerabili agli attacchi informatici, è l’esternalizzazione dei propri servizi di Electronic Health Record (cartelle cliniche elettroniche). I sistemi informatici ospedalieri che utilizzano questo servizio sono infatti spesso oggetto di quello che viene definito “attacco alla supply chain”: un attacco in cui gli hacker raggiungono la propria vittima attraverso i partner della catena di approvvigionamento.
Da ultimo, ma sicuramente non per importanza, la scarsità di investimenti, sia in termini di personale specializzato nella gestione delle infrastrutture informatiche ospedaliere che di sistemi (che potremmo definire ormai obsoleti) contribuisce alla permeabilità dei sistemi stessi ed alla fragilità delle misure di sicurezza poste a tutela dei dati personali trattati.
Rischi di mortalità aumentati da data breach
Alcuni studi hanno rilevato una correlazione diretta tra gli attacchi informatici e l’aumento della mortalità negli ospedali colpiti, a dimostrazione del fatto che le minacce informatiche possono avere delle conseguenze devastanti non solo sui sistemi sanitari ma anche sulla salute dei pazienti.
L’agenzia statunitense Cybersecurity and Infrastructure Security Agency (“CISA”) ha condotto un’analisi che riguarda gli ospedali che offrono network based services, ovvero prestazioni che si basano su infrastrutture informatiche quali, ad esempio, sistemi di monitoraggio della gittata cardiaca. Lo studio analizza gli impatti di un data breach su queste tipologie di strutture, basandosi sui dati empirici raccolti nel periodo di riferimento.
Dallo studio emerge come, frequentemente, gli attacchi informatici tendano, nel breve periodo, ad interrompere la capacità dei sistemi sanitari di accedere alle cartelle cliniche elettroniche o ad altri network based services portando ad una riduzione della capacità per gli ospedali di offrire le cure che i pazienti necessitano in modo tempestivo. Un attacco potrebbe infatti rendere necessaria la deviazione delle ambulanze verso altre strutture e questo, in ipotesi emergenziali quali ad esempio in caso di un paziente in insufficienza cardiaca, determinerebbe un ritardo di minuti che determinerebbe una drastica riduzione delle possibilità di sopravvivenza del paziente.
I dati ricavati dall’analisi effettuata dal CISA mostrano altresì come, a causa della perdita di dati, i sistemi ospedalieri possono ancora dover fronteggiare ritardi nella prestazione di servizi diagnostici o di assistenza, anche settimane o mesi dopo un attacco informatico.
Il rapporto tra aumento del tasso di mortalità e data breach
Uno studio dal nome “Data breach remediation efforts and their implications for hospital quality”, effettuato da Sung J.Choi (University of Central Florida), M.Eric Johnson (Vanderbilt University) e Christoph U. Lehmann (Vanderbilt University), ha cercato di stimare la relazione intercorrente tra le azioni correttive poste in essere come rimedio ai data breach subiti dalle strutture ospedaliere colpite e la variazione nella qualità dell’assistenza ospedaliera.
I dati analizzati nello studio prendono in considerazione un periodo di riferimento di quattro anni (2012-2016) e sono stati raccolti attraverso:
- il Department of Health and Human Services (“HHS”).
- il Privacy Rights Clearinghouse (“PRC”) (tra il 1° gennaio 2012 e il 31 dicembre 2016). Il PRC aggrega le violazioni segnalate da fonti pubbliche, tra cui media, blog e Governo;
- il Centers for Medicare and Medicaid Services (“CMS”) che fornisce dati di uso pubblico sugli ospedali certificati Medicare.
- L’Healthcare Cost Report Information System (“HCRIS”) che fornisce dati sulle caratteristiche degli ospedali e sulle variabili finanziarie;
- il Medicare Hospital Compare che fornisce dati sulla qualità dei servizi offerti dagli ospedali.
Comparando i dati degli ospedali che non hanno subito attacchi con quelli che hanno subito un data breach, emerge, quale risultato principale, che, nella seconda categoria si è osservato un aumento del tempo medio necessario per l’esecuzione di un elettrocardiogramma (+2,7 minuti) e un aumento (+0,36%) della mortalità per infarto miocardico acuto a 30 giorni. È stato quindi stimato un aumento della mortalità che va dai 23 ai 36 decessi ogni 10.000 pazienti affetti da tale patologia.
Gli autori dello studio hanno osservato come, tra le principali cause di questi ritardi, e il conseguente aumento del tasso di mortalità, vi sia la necessaria adozione di misure di sicurezza più “rigide”, che le aziende ospedaliere sono costrette ad implementare, in modo repentino e non graduale, per rimediare alle falle nei propri sistemi.
Tali nuove procedure di sicurezza, che le aziende ospedaliere devono introdurre, possono alterare il modo in cui i sanitari accedono e utilizzano le informazioni cliniche nei sistemi informativi sanitari e causare rallentamenti nell’erogazione delle cure ai pazienti. In tali casi, infatti, sarebbe necessario uno specifico periodo di formazione per consentire ai professionisti un corretto e rapido utilizzo dei nuovi sistemi.
Oltre a ciò, alcuni metodi di autenticazione, come quello a due fattori, aumentano il grado di sicurezza dei sistemi ma potrebbero, in modo connaturale, rallentare il flusso di lavoro.
Conclusioni
Date le conseguenze devastanti non solo sui sistemi sanitari ma anche sulla salute dei pazienti, le strutture ospedaliere dovrebbero considerare in via proattiva e preventiva la sicurezza dei propri sistemi informatici al fine di proteggere adeguatamente, e fin dalla progettazione del sistema, non solo i dati sanitari in essi conservati, ma anche l’operatività dei servizi stessi, evitando il rischio di compromettere la salute del paziente.
A tal fine, è necessario non solo migliorare la portata degli investimenti in termini di sistemi, ma anche migliorare il grado di consapevolezza nei dipendenti del rischio di un data breach e sensibilizzarli sui rischi e sul corretto utilizzo dell’infrastruttura informatica a loro disposizione.
Consapevolezza, formazione, investimenti in termini di sistemi e di personale specializzato costituiscono elementi fondamentali di un piano strategico che le strutture ospedaliere dovrebbero adottare al fine di tutelarsi adeguatamente dai rischi derivanti da un data breach.
