NON SERVE UN ALTRO FIREWALL
Alessandro Pollini
I sistemi informativi delle strutture sanitarie e il management della sanità sono a rischio “overconfidence” sul tema della cybersecurity perché dimenticano il fattore umano concentrandosi su quello tecnico. Tutti i grandi attacchi sfruttano questa fragilità
Intervista ad Alessandro Pollini, Design Lead & Managing Director di BSD design pubblicata il 7 luglio 2021 nel Whitepaper
CAPIRE IL RISCHIO CYBER: IL NUOVO ORIZZONTE IN SANITÀ
“Tecnologia, organizzazione e consapevolezza individuale devono procedere assieme se vogliamo garantire sicurezza informatica in sanità”. Alessandro Pollini è designer di soluzioni e processi informatici human-centred presso BSD, un’importante società di consulenza che ha nel suo core business l’interazione umana con i sistemi computerizzati. “Il fattore umano, al momento, è il cuore della sicurezza informatica in sanità: è sia l’elemento di rischio principale, sia quello più trascurato”.
Come si manifesta il rischio umano nell’ambito sanitario?
Negli ultimi cinque anni tutti i maggiori attacchi in settori anche molto eterogenei hanno sfruttato le fragilità racchiuse nei comportamenti individuali. Social engineering, phishing, malware nascosti nei plug-in dei browser web, scambio di informazioni sensibili attraverso canali come chat di messaggistica o email private, password scritte sui bigliettini: sono tutte pratiche che aprono autostrade per i malintenzionati.
La sola consapevolezza di quanto possano essere “permeabili” i device mobile o quanto possano essere pericolose anche pratiche “innocenti” fatte con i computer di reparto è insufficiente. Molte persone hanno le competenze per scaricare un plug-in, poche per capirne la pericolosità: così si diventa “porte di accesso” per i cyber attacchi.
Uno studio che abbiamo condotto in tre diverse strutture sanitarie molto diverse tra loro utilizzando il questionario Human Aspects of Information Security Questionnaire (HAIS-Q) ha rivelato la stessa bassa conoscenza del rischio e l’alta incidenza di pratiche pericolose involontarie.
Quali sono le cause di questa impreparazione?
È un problema di design e di cultura. Per quanto riguarda quest’ultima, quella relativa alla sicurezza informatica è bassa in tutta Italia. In sanità c’è un’aggravante che può sembrare paradossale: le dotazioni tecniche di sicurezza sono adeguate e la consapevolezza del rischio informatico è alta prevalentemente nel management e negli addetti ai servizi informatici. E qui, salvo eccezioni, resta confinata senza diffondersi ai livelli operativi dai quali, non a caso, passano la maggior parte degli attacchi. In questo modo viene aggirata l’infrastruttura di difesa informatica la quale, essendo di buon livello, causa un’ingannevole sensazione di sicurezza negli addetti ai lavori.
È il fenomeno riassunto nel termine overconfidence: eccesso di fiducia. Non solo la maggior parte delle strutture sanitarie è vulnerabile agli attacchi informatici, ma è probabile che moltissime siano già state coinvolte in un attacco, che siano parte di una botnet, o che abbiano una porta di accesso pronta all’uso.
Il problema di design, invece?
È dato dal fatto che, in molti casi, scambiare informazioni sanitarie o di interesse sanitario, dall’esito di alcuni esami ai turni di notte, è una necessità nel percorso di cura o per le attività di reparto. Gli operatori devono trasmettere questo tipo di dati ma, spesso, non ci sono gli strumenti che permettano di farlo in sicurezza e facilmente. O, almeno, non con una facilità compatibile con i ritmi di lavoro.
Questa la pars destruens. Che cosa dice la parte costruttiva?
Quando si parla di ergonomia cognitiva per la digitalizzazione si intende progettare strumenti che si adattino ai limiti, ai bisogni e alle capacità della persona e non adattare la mente alla “forma” di quegli strumenti. In sanità ciò si traduce in due traguardi.
Il primo è lo sviluppo di strumenti informatici sicuri e facili da impiegare. Il secondo è la costruzione di una cultura del rischio informatico che raggiunga il livello e la dignità della cultura del rischio clinico.
Abbiamo bisogno di audit di sicurezza informatica, abbiamo bisogno di formazione e alfabetizzazione sul rischio digitale, abbiamo bisogno di automatismi che instaurino comportamenti virtuosi. È un processo che richiederà anni, come è stato necessario per la cultura del rischio clinico.
Possiamo, però, iniziare da un approccio olistico alla cybersecurity capendo che la sicurezza informatica è un sistema socio-tecnico: è fatto da hardware e umanità. Se manca un pezzo manca la sicurezza.
