Il settore della sanità è il settore più a rischio da attacchi cyber. Le conseguenze sono molto serie: un attacco cyber in un ospedale spegne le macchine che tengono in vita un paziente, altera i risultati di analisi e tac, ruba dati sanitari. L’attuale pandemia, poi, ha stressato maggiormente le strutture sanitarie, rendendole vulnerabili.
Per far fronte a questi temi, la Commissione Europea ha finanziato, nel programma Horizon 2020, un progetto chiamato Panacea, coordinato dall’Università Cattolica del Sacro Cuore e formato da un consorzio di 15 partner tra cui la Fondazione Policlinico Gemelli IRCSS. È iniziato lo scorso anno e si concluderà a fine 2021.
Panacea riunisce esperti della cybersecurity, ingegneri, medici, infermieri, giuristi e psicologi provenienti da ogni parte d’Europa per colmare le criticità di un settore troppo vulnerabile per rimanere vittima di attacchi cyber.
Cosa rende unico il progetto Panacea: l’attenzione al fattore umano
A rendere il progetto unico e originale è il suo carattere antropocentrico. Sarebbe rischioso pensare alla minaccia cyber come un problema limitato alla sicurezza dei sistemi informatici. Kevin D. Mitnick, il celebre pirata informatico che riuscì a violare sistemi di sicurezza ritenuti invulnerabili, nel suo best seller “L’arte dell’inganno”, non lascia dubbi: non esistono sistemi sicuri se utilizzati da persone poco formate e senza scrupoli. Panacea va dritto al problema: il fattore umano.
Saper riconoscere un’email di phishing, una truffa online, prestare attenzione a possibili fughe di dati, utilizzo di dati illecito, sono capacità che dovrebbe avere ogni operatore che utilizza sistemi informatici in ambito sanitario. Sia medico, infermiere o amministrativo l’implementazione di metodi di criptazione, l’utilizzo di autenticazioni sicure, anche alternative all’uso di pin e password sono best practice da conoscere. Ovviamente sono tipiche di ogni settore, ma ancor di più per quello sanitario visto i grandi pericoli che disfunzioni o attacchi al sistema causano in questo delicato contesto.
Generalmente un operatore, che effettua con calma ed attenzione il proprio lavoro con gli occhi fissi sullo schermo del suo pc, ha più probabilità di notare un pop-up sospetto, un funzionamento anomalo, una comunicazione poco chiara, di un medico o di un infermiere che operano in un contesto diverso governato dall’esigenza di curare al meglio ed in fretta il loro paziente.
Medici, infermieri e operatori sanitari ospedalieri sappiamo vivono nell’urgenza, utilizzando dispositivi tecnologici con prontezza e senza esitazione, sapendo che un minuto in più può essere fatale per il paziente. Si pensi ad un Pronto Soccorso.
Inoltre, l’utilizzo di tecnologie in medicina crescerà esponenzialmente, pensiamo ai sistemi di Internet of Things (IOT), dati personali stoccati in cloud, archivi digitali, sistemi di gestione delle informazioni, intelligenza artificiale, dosimetri connessi, utilizzo di algoritmi, software di lettura, trasferimento sicuro, le nuove App che fanno leva sul diffuso utilizzo di dispositivi mobili individuali.
L’avvento dell’attuale pandemia ha inoltre forzato questa crescita, imponendo l’esigenza di operare da remoto digitalizzando e connettendosi con pazienti a distanza: pensiamo alle piattaforme di telemedicina, il teleconsulto tramite smartphone, l’uso poco sicuro degli applicativi già presenti nei sistemi residenti sui nostri computer, la televisita in diretta, il monitoraggio da remoto con dispositivi indossabili in connessione con il medico, l’invio di referti online, senza considerare al momento l’esigenza di rimborso economico alle strutture sanitarie.
Le soluzioni offerte da Panacea
Le soluzioni che Panacea sta implementando sono particolarmente adatte a far fronte a queste nuove sfide. L’innovazione insita nel progetto è particolarmente adatta alla presente crisi.
La base del progetto è stata valutare la cybersecurity nell’ambito del sistema lavorativo ospedaliero con un approccio di studio del sistema sociotecnico. Intervistando medici e infermieri sulle loro esigenze più pratiche per mantenere la cybersecurity.
Ci siamo accorti che essi chiedono un sistema di autenticazione più rapido, senza dover ricorrere per ogni manovra all’inserimento di identificativo e password, anche perché attualmente tutto viene eseguito con sistemi di protezione individuale come guanti, schermi, mascherine.
I medici ed infermieri sono abituati a circumnavigare li dove possibile quelli che considerano perdite di tempo. In tanti ospedali di Europa, le password sono segnate su post-it attaccati ai bordi dello schermo o spesso condivise con i colleghi. Anche il log-out a operazione conclusa dal sistema spesso viene dimenticato.
In pratica ci dotiamo della cassaforte più costosa e sicura, ma poi la teniamo aperta per paura di dimenticare il codice.
Panacea sta testando una soluzione per l’autenticazione basata su una sapiente interazione tra sistema Bluetooth e riconoscimento biometrico facciale. Il sistema identifica l’operatore collegandosi Bluetooth al suo smartphone e poi, per effettuare un doppio controllo, riconosce l’operatore attraverso i suoi dati biometrici. Per maggiore sicurezza del lavoratore, i dati biometrici non vengono conservati, vengono cancellati automaticamente dal sistema una volta che l’operazione di autenticazione è conclusa.
Panacea mira poi a sviluppare una riproduzione digitale che funge da ambiente di emulazione per testare la sicurezza cyber con test mirati. L’ambiente di emulazione riproduce, oltre che tutte le applicazioni informatiche, la rete, i dispositivi medici connessi, anche i rapporti che intercorrono tra gli operatori, valutando il rischio specifico legato ad ogni postazione.
Consapevoli dell’inefficacia di vecchi approcci della formazione, Panacea sviluppa inoltre metodi alternativi di training e sensibilizzazione, come il nudging. Definita come “la spinta gentile”, la teoria del nudge è di enorme attualità. Essa è un concetto che, nel campo dell’economia comportamentale e della filosofia politica, promuove sostegni positivi e suggerimenti o aiuti indiretti che influenzano i motivi e gli incentivi che fanno parte del processo di decisione di gruppi e individui. Esempi di nudge sono manifesti e adesivi con immagini e testi che spingono a comportamenti virtuosi su rischi specifici (es. utilizzo delle chiavette USB).
Conclusioni
Panacea non risponde solo alle esigenze attuali degli Ospedali, ma si spinge a considerare nuove dinamiche future e assetti innovativi. Come si adopereranno gli ospedali del futuro alle nuove minacce cyber? Esternalizzeranno i servizi di gestione e compliance, come conservazione in cloud, società esterne? Come può assicurarsi un ospedale da danni di questo tipo? Di chi è la responsabilità del danno? Fino a che punto algoritmi di intelligenza artificiale possono sostituirsi all’uomo? Come gestire il secondary use di dati sanitari per finalità d ricerca? Come adattare tecnologie provenienti da tutto il mondo alla rigida regolamentazione europea? Qual è il valore reale dei nostri dati sanitari? Ci ne ha la proprietà? Potremmo mai vendere i nostri dati personali?
A tal fine Panacea intende fornire la “canna per pescare” e non il pesce: sta mettendo a punto modelli organizzativi e metodi ritagliati sul contesto sanitario per governare la Cybersecurity e per massimizzare il ritorno degli investimenti necessari.
Gli ospedali non sono solamente le strutture che erogano i servizi di diagnosi e cura, considerati “servizi essenziali” dalla Direttiva Europea 2016/1148 in tema di misure di sicurezza delle reti e dei sistemi informativi. Sono i custodi dei nostri diritti assoluti e interessi vitali. Dobbiamo proteggerli.
