SANITÀ DIGITALE E SICUREZZA CYBER: DUE CASI STUDIO

In questo numero di Sanità 360° affrontiamo la tematica dell’Internet of Medical Things (IoMT), una componente essenziale nel settore emergente della salute digitale, per mettere in evidenza quanto “progresso” e “rischio” siano in realtà due facce della stessa medaglia.

Se da una parte, infatti, la disponibilità di nuove tecnologie e la maggiore connettività hanno abilitato lo sviluppo e il miglioramento di tecniche già esistenti come ad esempio la telemedicina, dall’altra hanno imposto nuove esigenze di sicurezza informatica.

In un articolo ricco di nuovi spunti e di risultati raggiunti “sul campo” il Professor Gianluca Polvani condivide l’esperienza del Centro Cardiologico Monzino – una tra le prime e più grandi centrali operative di telemedicina in Europa – sottolineando l’impatto della telemedicina cardiologica sulla salute e sulla qualità di vita dei pazienti e i passaggi, sia amministrativi che culturali, necessari per estendere questa best practice anche alle altre Regioni Italiane.

Un passaggio reso urgente ma, al contempo, più facile grazie all’accelerazione tecnologica scaturita in risposta alla pandemia.

Queste le parole espresse della dottoressa Arabella Fontana, anticipando il convegno dedicato alla Leadership in sanità del 1° aprile: “Il COVID non ci lascia in eredità solo elementi negativi ma anche molte lezioni positive come l’importanza dell’empatia, del lavoro in team, dell’agilità di trovare nuove soluzioni organizzative. Consapevolezze che ci possono insegnare a non aver paura di scegliere, quando è arrivato il momento, come leader, di farlo”.

Come più volte abbiamo affermato in queste pagine, la scelta della sicurezza informatica deve essere parte integrante dell’innovazione, perché non esiste una sanità pienamente digitale che non sia al tempo stesso sicura dal punto di vista informatico.

Sappiamo che non è un traguardo facile.

La Sanità si aggiorna in corso d’opera, rendendo il concetto di “sicurezza by design” un principio guida che non può essere interamente applicato nella realtà. Una realtà costituita da migliaia di device e di strumenti, collegati alle reti degli ospedali, provenienti da molteplici produttori con programmi e politiche di sicurezza diversi e difficilmente integrabili. La sicurezza diventa una missione condivisa tra il personale IT della struttura sanitaria e i programmatori dei software reclutati dalle diverse aziende: una condivisione che richiede molti sforzi di coordinamento e, anche, di fiducia reciproca.

Per questo, il primo passo per rendere sicura la flotta dei device medicali è mapparli e mapparne lo scambio di informazioni all’interno e all’esterno della struttura. “Una sonda per le reti ospedaliere” è la risposta offerta da CyberMDX, partner tecnologico di Sham: una piattaforma di sicurezza informatica a supporto all’ingegneria clinica che, come spiega il nostro Cyber Risk Manager Pasquale Draicchio, permette di controllare i flussi dati ospedalieri per proteggerli e migliorarne simultaneamente l’efficienza.

Buona lettura e grazie, come sempre, per la Vostra attenzione.

Roberto Ravinale, Direttore esecutivo di Sham in Italia

,

IL CASO STUDIO: COME LA COMUNICAZIONE RIDUCE IL RISCHIO SANITARIO

300 professionisti nell’area materno infantile piemontese partecipano alla mappatura a priori: il metodo Cartorisk coinvolge gli operatori in un’azione di miglioramento dal basso che porta il risk management nei singoli processi sanitari.

Tra il 2018 e il 2019, 300 operatori sanitari dei reparti materno infantili della Regione Piemonte sono stati coinvolti in un progetto di mappatura a priori del rischio. 

Il metodo impiegato è Cartorisk: un metodo sviluppato dalla Mutua assicurativa Sham – gruppo Relyens, RiskManager e assicuratore di riferimento per la sanità pubblica italiana in ambito RC Sanitaria. 

Cartorisk prevede di coinvolgere gli operatori responsabili dei singoli processi sanitari e analizzare con loro tutti i passaggi che li compongono. Di ognuno di questi ne vengono considerati i potenziali rischi e l’efficacia delle barriere già in atto per contenerli, stimando gravità e probabilità del rischio residuo. 

Da questa analisi, frutto di 8 mesi di lavoro sul campo e 35 meeting con gli operatori, sono stati analizzati 72 rischi e sviluppate 183 proposte di miglioramento da parte di medici, tecnici e infermieri nei reparti. 

I risultati dell’intera ricerca sono stati pubblicati nell’articolo “L’analisi a priori del rischio sanitario in Regione Piemonte: applicazione del metodo Cartorisk sull’area materno-infantile sulla rivista Mecosan1“. 

“Quello che emerge è il ruolo della comunicazione come strumento di sicurezza su quattro livelli distinti. – spiega Anna Guerrieri, Risk Manager di Sham – gruppo Relyens e autrice del progetto – Il primo è la comunicazione all’interno di equipe e reparti. Solo per fare un esempio, nella letteratura il 70% degli eventi sentinella, ovvero eventi avversi gravi e potenzialmente evitabili, segnalati dalle organizzazioni sanitarie americane tra il 1995 e il 2005 erano associati a un fallimento della comunicazione tra i professionisti coinvolti2”. 

“Il secondo livello della comunicazione è lo scambio tra il Risk Management dell’azienda sanitaria e i singoli professionisti nei reparti. L’impiego di Cartorisk dimostra come gli operatori possano e vogliano essere attivamente coinvolti nel rendere più sicure le cure che erogano quotidianamente. Come diversi esempi dimostrano – da ultimo la best practice della Fondazione Poliambulanza di Brescia3 – la sicurezza e la gestione del rischio non può essere calata dall’alto, ma ha bisogno di una rete di persone che medi l’applicazione dei protocolli in ogni singolo reparto e segnali attivamente al Risk Manager tutte le situazioni da migliorare. Ovviamente, questo può avvenire solo in una atmosfera di fiducia basata sulla cultura “no blame”. Così si può creare davvero un Enterprise Risk Management: una gestione del rischio intrecciata nella trama di qualsiasi attività aziendale”. 

“Esulando dal caso studio, possiamo dire che la stessa fiducia e trasparenza deve esistere nella comunicazione tra persone e struttura sanitaria, soprattutto in caso di eventi avversi o situazioni di tensione. È dalla buona comunicazione con i pazienti e i familiari, dalla cura delle emozioni e delle sensibilità che dipende la riduzione della conflittualità e la prevenzione del contenzioso4”. 

“Infine, è sempre più evidente che l’alfabetizzazione sanitaria (health literacy) è uno strumento a tutto tondo per la prevenzione primaria e l’empowerment del paziente. È grazie all’informazione e alla comprensione che la persona può scegliere consapevolmente e liberamente di contribuire in maniera attiva alla propria salute; sottoponendosi a controlli periodici, abbracciando stili di vita sani e aderendo scrupolosamente ai percorsi terapeutici e farmacologici condivisi con medici e specialisti”. 

“Questi – conclude Guerrieri – sono i quattro livelli in cui la comunicazione può contribuire globalmente alla gestione del rischio e dei sinistri: implementando la sicurezza nei processi, stimolando la partecipazione del personale al miglioramento, rafforzando l’alleanza terapeutica tra assistito e struttura sanitaria nonché l’emancipazione del paziente come soggetto attivo del percorso di cura”.

Note:

1 – L’analisi a priori del rischio sanitario in Regione Piemonte: applicazione del metodo Cartorisk sull’area materno-infantile – Alberto Sardi, Enrico Sorano, Letizia Agostini, Anna Guerrieri, Mirella Angaramo, Franco Ripa. MECOSAN – ISSN 1121-6921, ISSNe 2384-8804, 2020, 114 

2 Op.Cit 

[01/04/2022 17:00] Tommaso Vesentini

3 Riduzione sepsi neonatale, ricoveri covid mirati e risparmio: i risultati dell’enterprise risk management – Santà 360° (link

4 Tavola rotonda al corso: STATI GENERALI DELLA COMUNICAZIONE PER LA SALUTE, organizzato il 4/5 marzo 2022 da FEDERSANITÀ con il patrocinio di ISS, AGENAS, Formez PA, ANCI, Ordine dei Giornalisti, Fondazione Innovazione Sicurezza in Sanità e la collaborazione di PA Social, l’associazione nazionale per la nuova comunicazione. 

,

22 ANNI DI TELEMEDICINA: PERCHÉ È EQUIVALENTE ALLE VISITE IN OSPEDALE E DI COSA HA BISOGNO PER DECOLLARE IN ITALIA

“La Telemedicina non supera il rapporto tra medico/infermiere e paziente ma lo ricostruisce; è equivalente alle visite in ospedale, ma costa la metà; è legata allo sviluppo dell’assistenza domiciliare con un grande beneficio per la prevenzione e il benessere del paziente. Bisogna cambiare la mentalità dei medici e, soprattutto, i DRG regionali”. L’intervista a tutto tondo al Prof. Gianluca Polvani che, dal Centro Cardiologico Monzino, gestisce una tra le prime e più grandi centrali operative di telemedicina in Europa

Un tempo, le persone venivano ricoverate in cardiologia e cardiochirurgia, ricevevano le cure e, poi tornavano a casa. Con il rientro a domicilio o con l’invio al centro di riabilitazione l’Istituto perdeva completamente la possibilità di poter mantenere una continuità assistenziale dei pazienti da noi trattati e che conoscevamo. Poi è arrivata la Telemedicina”.  

“Presa in carico globale del paziente, oggi, è una frase comune. Ma, nel gennaio del 2000, 22 anni fa, quando aprimmo la prima Centrale di Telemedicina Cardiovascolare del Centro Cardiologico Monzino, era l’inizio di una nuova fase per la medicina italiana”.  

Gianluca Polvani, Direttore della Cardiochirurgia del Centro Cardiologico Monzino, Professore di Chirurgia Cardiaca presso l’Università Statale di Milano e Responsabile della Centrale, è stato uno dei protagonisti di questo cambiamento. 

Professore, la vostra è una delle più importanti esperienze di Telemedicina in Europa. Qual è il bilancio di questi 20 anni di lavoro? 

Il bilancio è che la Telemedicina cardiologica e post-cardiochirurgica è equivalente all’assistenza in ospedale, se non migliore, costa la metà e migliora sia la qualità della vita che la possibilità di prevenzione di recidive. Questi sono fatti, non opinioni. Abbiamo assistito a casa oltre 2500 pazienti. Prima ci siamo occupati della riabilitazione post-chirurgica, successivamente integrata con il monitoraggio di pacemaker, aritmie complesse e scompensi cardiaci. Sono pazienti delicati, eppure abbiamo gestito a casa l’80 per cento delle complicanze post-chirurgiche, come versamenti e infezioni. Nel restante dei casi il ritorno in ospedale era dovuto a eventi non correlati agli interventi, ma causati da elementi ‘esterni’, come le cadute. Quando parliamo di monitoraggio non stiamo parlando di dati e parametri: parliamo di relazione di cura con il paziente e a tutto tondo. La Telemedicina è Medicina; è un’attività clinica a tutti gli effetti. Chi vorrebbe relegarla ai meri device o ai numeri dei parametri vitali, non ha capito la sua essenza. Nella nostra Centrale lavorano 2 cardiologi e 6 infermieri a tempo pieno: chiamiamo i nostri pazienti ogni giorno, li visitiamo, ci confrontiamo con loro. Questo è Telemedicina: ricostruire il rapporto diretto tra persona e personale sanitario.  Il nostro ‘marchio di fabbrica’ è una valigetta a due strati: nel primo ci sono le medicine per il paziente, nel secondo tutti i presidi medici che possono servire all’operatore sanitario che effettua l’assistenza domiciliare. Questo è il secondo punto focale e oggetto di un profondo equivoco: “La Telemedicina non è ‘virtuale’; ma è un rapporto personale e fisico: sono medici e infermieri che vanno al domicilio del paziente”. 

Cosa serve per avere un sistema di Telemedicina che funziona?  

“La tecnologia sembrerebbe il requisito fondamentale, mentre in realtà è l’ultimo dei problemi. Prima di tutto occorre cambiare la mentalità dei medici perché non è più vero che, per visitare una persona, è sempre necessaria la presenza fisica. Abbiamo a disposizione così tanti esami strumentali che non c’è più bisogno di ‘auscultare’ con il fonendoscopio. Ovviamente esistono situazioni in cui la visita in presenza è imprescindibile. In questi casi la Telemedicina permette di fare una scrematura; in modo tale da visitare di persona solo chi effettivamente ne ha bisogno. Questo approccio non riduce il servizio ai pazienti, perché purtroppo i medici – e soprattutto i medici di famiglia oppressi da burocrazia e incombenze di ogni tipo, -hanno sempre meno tempo da dedicare alle visite. La Telemedicina è uno strumento per recuperare tempo da dedicare ai pazienti.  

La Regione Lombardia per prima e finora unica, ha capito, sulla base di dati e studi scientifici incontrovertibili, che la Telemedicina cardiologica è equivalente alle visite ospedaliere e conviene sotto tutti i punti di vista. Lo ha capito 15 anni fa quando ha preparato il primo DRG per le prestazioni in Telemedicina, ma finché le altre non ne seguiranno l’esempio, le prestazioni in Telemedicina saranno irrealizzabili e si continueranno a privilegiare ospedali, piccoli e grandi, e visite in presenza, che generano più costi e richiedono più tempo e fatica per gli spostamenti. Al Centro Cardiologico Monzino, per esempio, seguiamo sul territorio circa 3/400 pazienti all’anno su 700 interventi chirurgici, perché i rimanenti vengono da Regioni che non prevedono un DRG per l’assistenza a casa. 

Terzo e ultimo punto: l’assistenza domiciliare è la ‘gemella’ della Telemedicina, è la sua naturale compagna. Se abbiamo dimostrato che la visita in Telemedicina equivale alla visita in ospedale, allora è evidente che abbiamo bisogno di meno strutture ospedaliere e di più team di medici e paramedici che vanno a casa delle persone”.  

La Telemedicina non cambia la Medicina, bensì cambia l’organizzazione della sanità. È questo un messaggio che sta passando?  

“Non in maniera sufficiente. C’è bisogno di una forte opera di informazione, comunicazione e, in senso positivo, anche di lobbying presso le Istituzioni. I pazienti sono quelli che, forse, hanno capito meglio di tutti il passaggio epocale. Per loro sta diventando naturale inviare gli esami online al medico e chiedergli: “Cosa devo fare?”. Per vent’anni le persone hanno cercato informazioni online e, ora, possiamo far sì che questa abitudine diventi uno strumento di controllo della salute e prevenzione, non di disinformazione. Le persone devono poter chiamare medici e infermieri nelle centrali operative di Telemedicina e chiedere esattamente le informazioni delle quali hanno bisogno e alle quali hanno diritto. Pensiamo solo a quello che è successo con il COVID: chi era più informato, in media, ha subito meno ospedalizzazioni e conseguenze negative di chi ha aspettato direttive dall’alto. Non possiamo cambiare la società e arginare il bisogno di consulti o l’abitudine all’immediatezza delle risposte online. Possiamo, però, instituire i meccanismi sanitari per far sì che le risposte siano quelle giuste e non fake news. 

Il COVID ha dimostrato – senza ombra di dubbio – che la risposta sanitaria a qualsiasi problema debba essere territoriale e domiciliare, prima, e ospedaliera poi (e solo se proprio è necessario).  

Quando sento che vogliamo fare le Case della Salute dove ricoverare i pazienti post-acuzia, mi chiedo se abbiamo capito davvero la lezione della pandemia. Abbiamo davvero bisogno di altri, piccoli, ospedali? Personalmente, preferirei che le persone non entrassero nelle strutture sanitarie, ma fossero, invece, gli operatori sanitari ad uscirne per raggiungerle a casa sia fisicamente che grazie alla Telemedicina.

,

CYBER SICUREZZA: COSA È ACCADUTO NEGLI ULTIMI ANNI?

La crescente digitalizzazione ha causato un aumento esponenziale degli attacchi cyber alle aziende, mettendo in risalto la necessità di un rinnovato investimento in cultura e formazione della sicurezza cyber. A parlarne è Pasquale Draicchio – Cyber Risk Manager di Sham in Italia

Negli ultimi due anni l’Osservatorio del Politecnico di Milano ha calcolato un aumento degli attacchi informatici nelle grandi imprese pari al 40%.

La digitalizzazione repentina del lavoro a causa della pandemia non ha permesso alle aziende di anticipare le nuove sfide della sicurezza informatica e predisporre budget consoni.

“L’ultimo report Yarix ha registrato oltre 57mila attacchi da parte di cybercriminali ad aziende italiane e, di questi, 16mila hanno pregiudicato l’utilizzo degli asset aziendali ed hanno causato un enorme perdita di dati tenendo conto che il 28% degli hackeraggi ha interessato il settore del manufacturing e del fashion, il 9% il settore della salute – esordisce Pasquale Draicchio, Cyber Risk Manager di Sham in Italia -. Per ovviare a tale problema il PNRR- Piano Nazionale di Ripresa e Resilienza- ha previsto uno stanziamento di circa 623 milioni di euro da investire nella sicurezza cyber per lo sviluppo delle capacità di prevenzione, monitoraggio, rilevamento e mitigazione del rischio informatico, supportando in questo modo lo sviluppo di competenze in materia”.

“Ci si augura perciò, come riportato recentemente sul Magazine Business People, che il 2022 sarà l’anno del ritorno ai trend pre-pandemia in termini di investimenti nel campo digitale e della sicurezza informatica; la spesa digitale della PA sarà guidata dalla cybersecurity, dal cloud e dai big data”.

Per la protezione delle imprese italiane è fondamentale un salto di qualità sia nelle risorse umane che strumentali. La prevenzione passa attraverso strumenti di sicurezza come i software per la rilevazione dei malware su tutti i dispositivi digitali connessi alle aziende, l’utilizzo di firewall, VPN, l’effettuare periodicamente backup sicuri e crittografati al fine di poter recuperare i dati quando necessario.

Per farlo, però servono competenze.

L’Agenzia Nazionale per la cybersecurity ammette chiaramente la necessità di 100mila esperti di sicurezza informatica.

“Per rafforzare la sicurezza – conclude Draicchio – dobbiamo partire dalle persone coinvolgendo i dipendenti con la formazione e mettendoli nella posizione di poter attuare misure di sicurezza semplici che, però, possono già ridurre significativamente il rischio cyber al quale tutte le realtà connesse in rete sono crescentemente esposte”.

,

UNA SONDA PER LE RETI OSPEDALIERE: COME FUNZIONA CYBER MDX

Controllare i flussi dati ospedalieri per proteggerli e migliorarli: la piattaforma partner di SHAM è sia uno strumento per sicurezza IT che di miglioramento dell’ingegneria clinica 

di Pasquale Draicchio 

Le reti ospedaliere contengono ormai migliaia di singoli device medicali interconnessi che sono diventati uno snodo imprescindibile per la sicurezza: dal buon funzionamento di questi device dipende la salute dei pazienti mentre dalla loro sicurezza informatica dipende la continuità delle cure stesse che erogano. 

Gli elettromedicali, infatti, sono sia strumenti di cura che possibili obiettivi di un cyber attacco. 

Due anime che richiedono un doppio approccio: cyber security ed ingegneria clinica. 

Da questo assunto, nel 2017 nasce la piattaforma Cyber MDX, azienda americana partner SHAM per la sicurezza dei dati sanitari. 

Cos’è e come funziona Cyber MDX 

Cyber MDX è una dashboard sulla quale vengono analizzati i flussi informativi con l’interno e l’esterno dell’ospedale di ogni device connesso in rete: Dispositivi medici, IT, OT, IoT, IoMT. 

Le informazioni vengono lette da una sonda – un congegno hardware – che viene collegato alla rete ospedaliera dopo essere stato specificatamente programmato per le esigenze della singola struttura. Questa sonda non interferisce con i dati, ma li legge e li spedisce in un server in cloud protetto – uno per cliente – dove le informazioni vengono analizzate e rese visibili. 

Cosa vedono gli operatori 

L’intera panoramica della flotta dei device, con informazioni dettagliate sull’attività, lo stato di funzionamento di ogni singolo strumento e la loro iterazione. Cyber MDX è una grande finestra sulla rete ospedaliera: non interferisce ma segnala e consiglia gli interventi per la sicurezza e per la razionalizzazione delle risorse. 

Qual è il vantaggio per gli ingegneri clinici  

Verificano la performance della rete e la disponibilità degli hardware. Uno strumento di miglioramento delle prestazioni e di risparmio / efficienza nell’uso dei device disponibili.  

Qual è il vantaggio per la sicurezza IT 

Cyber MDX consente di vedere le vulnerabilità dei singoli dispositivi e l’intero flusso dei dati, in ingresso, in uscita e all’interno della rete, identificando qualsiasi movimento sospetto, comprese le tracce lasciate da un sondaggio delle difese da parte di un gruppo hacker in previsione di un attacco. 

Cosa avviene in caso di attacco 

Cyber MDX legge la minaccia; non può intervenire sulla rete, ma segnala gli interventi da fare ai responsabili della sicurezza e alle eventuali aziende partner incaricate dall’ospedale. 

Un programma che impara grazie all’AI  

Il software di Cyber MDX viene continuamente aggiornato e le performance vengono continuamente analizzate in modo da anticipare e saper leggere con sempre maggiore precisione le situazioni reali all’interno della rete ospedaliera, rispondendo con velocità e sensibilità alle esigenze di miglioramento funzionale e alla crescente richiesta di sicurezza informatica.

,

SAVE THE DATE: DEFINIRE LA LEADERSHIP IN SANITÀ

Il 1° Aprile 2022 il convegno SIMM Piemonte per tracciare, dopo l’esperienza del COVID e alla luce del PNRR, i contorni delle Human Essential Skill necessarie per costruire una sanità più forte, agile, e capace di decidere per il bene pubblico

Leadership in sanità: cos’è e come farla crescere?

Questa è la domanda alla quale si risponderà nel convegno The Changes We Need, organizzato dalla sezione piemontese della Società italiana di Leadership e Management in Medicina Venerdì 1° aprile dalle 08:30 alle 18:00 presso l’hotel San Rocco – Orta San Giulio, in provincia di Novara.  

 “Complex problem solving; gestione delle persone; creatività; pensiero critico; intelligenza emotiva e capacità di coordinarsi con gli altri; ecco quali sono le capacità fondamentali individuate dal World Economic Forum 2020: le Human Essential Skills. Scopo del convegno – spiega Arabella Fontana, responsabile scientifica e Direttore Medico del Presidio Ospedaliero Borgomanero ASL “NO” di Novara, – è di definire in che misura queste capacità possono essere applicate e crescere in sanità”.  

 Due eventi rendono il dibattito sulla leadership strettamente attuale: IL COVID E il PNRR.  

 “In particolare, è opportuno definire l’orizzonte di una leadership nel campo della sanità digitale, leadership che può contribuire a costruire un sistema pienamente integrato tra territorio e ospedale (coprendo le molte mancanze in questo campo ancora non sanate) e di cogliere le opportunità della telemedicina che il COVID ha reso evidenti”.   

 “COVID – conclude Fontana – che ci lascia in eredità anche molte lezioni positive come l’importanza dell’empatia, del lavoro in team, dell’agilità di trovare nuove soluzioni organizzative. Consapevolezze che ci possono rendere professionisti sanitari più forti, più flessibili e più orgogliosi di far parte del Servizio sanitario nazionale. E che ci possono insegnare a non aver paura di scegliere, quando è arrivato il momento, come leader, di farlo”. 

Per maggiori informazioni, scarica il PDF