IL PRESUPPOSTO DELLA SANITÀ DIGITALE È LA DIFESA DAL CYBER CRIME
L’Italia è 20a in Europa nella digitalizzazione dei servizi sanitari. L’E-sanità è, però, anche il bersaglio preferito del crimine informatico con un incremento del 17 per cento di attacchi gravi nel mondo tra il 2018 e 2019. “Per questa ragione – spiega la Risk Manager Sham Anna Guerrieri – digitalizzazione e cyber security devono procedere appaiati”. Il sondaggio realizzato dalla Mutua assicurativa e dall’Università di Torino vuole tratteggiare un quadro oggettivo della situazione cyber security in sanità.
“I Big data sanitari sono una formidabile fonte di informazioni che può aiutare la cura e la prevenzione, ma è necessario che vengano impiegati in maniera omogenea e sicura su tutto il territorio nazionale. Sicura sia per i cittadini che per le realtà sanitarie che raccolgono, conservano e impiegano per la ricerca e per la cura i dati in questione. È in quest’ottica – spiega la Risk Manager della Mutua Sham Anna Guerrieri – che va inserito il sondaggio realizzato dalla Mutua con la collaborazione del Dipartimento di Management dell’università di Torino”. ‘Capire il rischio cyber, il nuovo orizzonte in sanità’ vuole fornire, infatti, una fotografia della preparazione reale delle strutture a questo “ineludibile passaggio” sapendo che, senza un livello di sicurezza alto ed omogeneo “anche la diffusione delle nuove tecnologie sarà incostante e a macchia di leopardo. Conoscere – sottolinea la RM – è il primo passo per gestire meglio il rischio a vantaggio di operatori ed utenti”.
1. Quanto è digitalizzata la sanità in Italia? C’è un dato comparativo a livello europeo?
La diffusione in ogni contesto operativo di nuove tecnologie di Information and Communications Technology, la crescente esigenza di erogare servizi sanitari in modalità di telepresenza, da ultimo l’emergenza COVID 19 ancora in corso e, parallelamente, l’aumento esponenziale di dati sanitari da gestire, impone a tutto il SSN un cambio di passo deciso verso una matura digitalizzazione del sistema. E l’Italia su questo tema è in ritardo se comparata con gli altri paesi europei. In merito cito un recente studio realizzato dall’Istituto per la Competitività (I-Com) dal titolo “Innovative Europe. The Way Forward” presentato a Bruxelles a febbraio di quest’anno. Il rapporto si concentra, in particolare, sullo sviluppo della eHealth, ovvero la possibilità di prenotare visite mediche online o di utilizzare lo smartphone per interagire con gli ospedali e le strutture sanitarie o ancora la disponibilità di una semplice password per svolgere tutte le possibili procedure amministrative. Secondo la ricerca condotta, l’Italia è ventesima in Europa per il grado di digitalizzazione dei servizi sanitari, al di sotto degli altri principali Stati membri dell’Unione: basta pensare che la Spagna è sesta, la Germania undicesima e la Francia quindicesima. In assoluto, le performance migliori le fanno registrare Danimarca, Olanda e Finlandia mentre al contrario, le peggiori, Romania, Polonia e Bulgaria. Pertanto molto è da fare su questa ormai ineludibile frontiera al fine dell’ammodernamento e sostenibilità del nostro SSN.
2. Quali sono i processi più digitalizzati negli ospedali?
Nonostante la bassa digitalizzazione complessiva del nostro SSN, in una struttura sanitaria il numero di dispositivi medici connessi, sistemi e applicazioni è molto alto, infatti, può includere computer, device mobile, server, terminali informatici ai letti, dispositivi di diagnostica per immagini, chioschi self-service, dispositivi medici impiantabili, sistemi di cartelle cliniche elettroniche, software di gestione, sistemi PACS (sistema di archiviazione e trasmissione di immagini), sistemi di fatturazione medica, portali per i pazienti e molti altri sistemi a cui i medici si affidano per la cura. Questa vasta gamma di dispositivi, sistemi e applicazioni e conseguentemente big data sanitari, prodotti e gestiti, è da tutelare con molta attenzione e nel rispetto della normativa vigente. Gli attaccanti non sono più “hackers”, e nemmeno gruppetti effimeri (più o meno pericolosi) di “artigiani” del cybercrime: sono numerosi gruppi criminali organizzati transnazionali che fatturano miliardi, che hanno come bersaglio le infrastrutture, le reti, i server, i client, i device mobili, le piattaforme social su scala globale. E’ ormai una necessità imparare a tutelare adeguatamente il patrimonio informativo di dati sensibili e sanitari che inevitabilmente gestiamo come SSN e gestiremo, in scale esponenziale in un prossimo futuro.
3. Esistono dati sul numero di incidenti in ospedali dovuti a un errore di digitalizzazione?
A tutto quanto detto si deve sommare la carenza di competenze in materia di sicurezza informatica, che riguarda praticamente tutti i settori, non solo l’assistenza sanitaria. Questo comporta la diffusa adozione di comportamenti pericolosi oltre che vietati dalla norma e l’errore più frequente che si commette è l’invio di documenti riservati a destinatari errati. Altre violazioni sono: trasferire documenti di lavoro su e-mail personali, caricarli su siti di condivisione di file o copiarli su unità rimovibili, come chiavette USB.
Inoltre, siamo tutti facilmente vittime di truffe di phishing, il vettore di attacco preferito dagli hacker. Ma anche gli amministratori di sistema possono commettere degli errori. Configurazioni di sistema errate, gestione delle patch (bug scoperti in pacchetti software) poco attenta e l’uso di nomi utente e password predefiniti sono tra gli errori più comuni. Sarebbe opportuno, per contenere i rischi, fornire una formazione di base sulla sicurezza informatica a tutti gli operatori sanitari e socio-sanitari, oltre che implementare le competenze funzionali di base su tutto il territorio nazionale.
Il Rapporto CLUSIT 2020, offre una panoramica degli eventi di cyber-crime più significativi avvenuti a livello globale nel 2019, confrontandoli con i dati raccolti nei 5 anni precedenti.
Lo studio si basa su un campione che al 31 dicembre 2019 è costituito da più di 10.000 attacchi noti di particolare gravità (di cui 1.670 nel 2019), ovvero che hanno avuto un impatto significativo per le vittime in termini di perdite economiche, di danni alla reputazione, di diffusione di dati sensibili (personali e non), avvenuti nel mondo, inclusa l’Italia, dal primo gennaio 2011. Rispetto al 2018, in termini assoluti, nel 2019 il settore Healthcare è tra quelli con il numero maggiore di attacchi gravi, con un aumento dell’incidenza degli stessi pari al +17%. Nel rapporto si attesta che gli incidenti informatici costano più all’assistenza sanitaria che per qualsiasi altro settore. Ogni cartella clinica persa o rubata può costare oltre 400 dollari a un’unità sanitaria, rendendo quindi un attacco informatico di successo piuttosto costoso, oltre che deleterio per l’immagine e la fiducia riposta dagli utenti/pazienti nel SSN.
4. Quanto la digitalizzazione è utile per fronteggiare emergenze sanitarie come quella che stiamo vivendo?
È un elemento ormai confermato dalla nostra ultima esperienza con COVID 19. La pandemia ha dimostrato come la sanità digitale con la ricetta elettronica e con la telemedicina consente la prosecuzione delle cure anche in regime di distanziamento sociale. Eppure, come pone in evidenza il garante privacy Antonello Soro in audizione presso la Commissione parlamentare per la semplificazione, una tecnologia non ben governata può aumentare esponenzialmente il rischio clinico in cui si riflette, nello specifico il rischio informatico. In questi mesi di gestione dell’emergenza sanitaria l’Istituto Superiore della Sanità con il rapporto del 13 aprile 2020, ha fornito utili indirizzi e procedure per il corretto utilizzo dello strumento della telemedicina. Un ulteriore vantaggio sarebbe avere finalmente una tariffazione concordata delle attività sanitarie svolte in telepresenza. Ad oggi solo la Regione Veneto e la Provincia autonoma di Trento hanno deliberato in tal senso. Pertanto si conferma quanto ancora è necessario lavorare per ottimizzare ed ammodernare il SSN in questa direzione strategica.
