pasquale draicchio

TELEMEDICINA: COME TUTELARE LA SICUREZZA DEI DATI SENSIBILI DEI PAZIENTI E DELLE STRUTTURE SANITARIE 

Per implementare una telemedicina sicura e di qualità, è necessario che tutti i requisiti – legali, sanitari e tecnologici – coinvolti nell’acquisizione, gestione e utilizzo dei dati siano coordinati tra loro. 

A cura di Pasquale Draicchio, Cyber Risk Manager di Sham in Italia

Uno dei cambiamenti più importanti a cui stiamo assistendo nella prestazione di servizi sanitari è l’assistenza a distanza. La creazione dell’infrastruttura tecnologica e organizzativa necessaria per la diffusione della teleassistenza è stata fortemente accelerata dalla pandemia e rappresenta, per la sanità, uno dei capisaldi del PNRR. 

Dal punto di vista della cybersecurity, la telemedicina presenta rischi significativi che richiedono un’analisi specifica, poiché coinvolgono i dati sanitari dei pazienti e, dunque, possono incidere non solo sulla loro riservatezza, ma anche sull’aggiornamento dei dati anamnestici e sul funzionamento delle sempre più diffuse apparecchiature elettromedicali con conseguenze sulla correttezza della diagnosi e del trattamento. 

La connessione e lo scambio dati tra dispositivi in rete, all’interno e all’esterno della struttura, presenta diverse vulnerabilità. A causa della pressione della pandemia, questi rischi non sempre sono stati gestiti adeguatamente. La connessione delle reti sanitarie ai sistemi di telemedicina, infatti, può diventare un nuovo vettore di attacco per la rete ospedaliera, che deve quindi essere protetta con le misure necessarie per evitare di compromettere le informazioni dei pazienti e il funzionamento della struttura.  

Ora, con la pubblicazione delle linee guida del Ministero della Salute e i Fondi del PNRR, l’Italia ha un’occasione unica per la creazione di una telemedicina secure by design fin dalla sua concezione. È necessario ampliare il perimetro della sicurezza informatica affinché includa i diversi livelli sui quali il rischio può manifestarsi e venir mitigato, sia all’interno che all’esterno delle strutture ospedaliere. Questi livelli spaziano dalle case e dalla sensibilità dei pazienti, fino alla programmazione dei device medicali, dalla formazione dei professionisti sanitari alla stipula di un’assicurazione cyber che copra il rischio residuo dopo gli interventi di prevenzione e assicuri un supporto tecnico attivo nel momento della necessità. 

Quali sono, pertanto, i passi sui quali costruire una telemedicina secure by design

Tecnologia 

Non tutti i pazienti sono provvisti di una connessione stabile a Internet o sono in grado di utilizzare gli strumenti tecnologici necessari. La rete da cui il paziente si connette è solitamente la rete domestica, con bassi livelli di protezione. 

Pertanto, dal punto di vista tecnologico occorre capire se ci sono i prerequisiti fondamentali per attuare i servizi di assistenza a distanza. 

Bisogna predisporre un’infrastruttura tecnologica sicura che risponda alle esigenze della singola prestazione.  Nelle visite online, per esempio sarà necessaria una piattaforma web securizzata, in modo tale da garantire un accesso facile e sicuro, mentre nel caso del telemonitoraggio, la complessità aumenta perché sono più numerosi i dati scambiati e da proteggere. 

Il sistema utilizzato per la comunicazione medico-paziente, per esempio, deve garantire la sicurezza della chiamata e delle informazioni coinvolte. Questa comunicazione si basa in un modo o nell’altro su sistemi esterni non controllati dalla struttura sanitaria, per cui occorre considerare la possibilità di accesso di terzi alle comunicazioni. 

Anche il rapporto con i produttori dei device è fondamentale. 

La sicurezza dei dati sanitari è un valore da tutelare sia dal punto di vista tecnologico che legale, in particolare definendo le obbligazioni contrattuali tra le parti coinvolte nell’erogazione dei servizi. Attualmente, per esempio, vediamo come le informazioni raccolte dai dispositivi medicali vengano gestite da piattaforme proprietarie dei fornitori, spesso all’insaputa del responsabile della protezione dei dati (DPO) del centro sanitario. È necessario garantire aspetti legali quali il trattamento a cui sono sottoposte le informazioni da parte del fornitore, l’adeguatezza di eventuali trasferimenti internazionali di dati e il periodo di conservazione dei dati nei sistemi esterni al centro sanitario. 

In questa fase è necessario instaurare un dialogo con tutti i produttori per capire come monitorare il rischio e rendere queste infrastrutture tecnologiche sicure.  

Formazione 

La formazione dei professionisti è un processo importante per costruire una sanità valida e performante a livello tecnologico. 

Nel caso della telemedicina, prima di avviare qualsiasi prestazione, è necessario formare gli operatori e i pazienti sul rischio cyber e su come riconoscere e gestire un attacco informatico prima che si diffonda all’interno dell’ospedale.   

Riservatezza, integrità e disponibilità devono essere garantite da qualsiasi piattaforma di telemedicina e implementate da personale formato periodicamente. 

Assicurazione  

Poiché nella pratica sanitaria usiamo sempre più strumenti elettromedicali e facciamo ricorso alla telemedicina, per quanto sia possibile mitigare i danni e prevenire gli attacchi cyber, c’è sempre una componente di rischio residuo che non può essere evitata.  

Gli attacchi informatici sono sempre più frequenti. 

Per essere pronti ad affrontare anche questi rischi, le strutture ospedaliere possono ricorrere a una polizza assicurativa contro i danni informatici che non solo copra il danno finanziario e il rischio di danni a terzi, ma che preveda anche un supporto tecnico attivo per il cliente, in caso di necessità.  

La percezione del rischio cyber è in aumento tra il personale sanitario. Nonostante ciò, la percezione della necessità di sottoscrivere una polizza cyber è ancora molto bassa. Non è sufficientemente diffusa la cultura dell’assicurazione per il rischio cyber, né è percepito particolarmente il bisogno o il vantaggio della sottoscrizione di una copertura adeguata. 

Sham – gruppo Relyens è in prima linea nell’azione contro i rischi informatici, in particolare con l’offerta del suo partner tecnologico Cyber MDX (vedi anche: UNA SONDA PER LE RETI OSPEDALIERE: COME FUNZIONA CYBER MDX). Occorre diffondere consapevolezza sui rischi reali e sul costo dei danni che potrebbero insorgere all’interno delle strutture ospedaliere qualora i rischi cyber vengano trascurati.