La sicurezza informatica in sanità: come ridurre il rischio di attacchi cyber

Conoscere numero, aggiornamento e attività dei device connessi in rete è il primo passo che le aziende sanitarie possono compiere per garantire la sicurezza informatica in sanità. Ne parliamo con Pasquale Draicchio, Cyber Risk Manager di Relyens in Italia, che ci spiega come gli ospedali possono proteggersi dagli attacchi cyber, e a quali fattori devono fare attenzione.

Monitorare la rete ospedale contro il rischio cyber

“Una struttura ospedaliera inizia a preoccuparsi della propria sicurezza informatica solo dopo aver subito un attacco cyber. Tutti sanno cos’è un attacco informatico, malgrado ciò, la maggior parte delle reti ospedaliere non dispone della visibilità, delle risorse e della protezione necessaria per difendere efficacemente le proprie istituzioni da questi attacchi” spiega Draicchio.

I responsabili IT spesso ignorano una serie di fattori come ad esempio la quantità dei dispositivi in funzione, i problemi di compatibilità tra di essi e l’aggiornamento dei software. Tutti questi elementi, contribuiscono ad accrescere le vulnerabilità della struttura sanitaria e a minare la sicurezza del paziente, sempre più legata alla sicurezza dei sistemi IT e degli elettromedicali.   

“Al giorno d’oggi la Sanità si sta approcciando, sempre più, alla digital transformation entrando di fatto nell’era dell’interconnessione. A breve, infatti, gran parte dei device saranno connessi tramite tecnologie digitali con l’obiettivo di migliorare significativamente ogni servizio dell’assistenza sanitaria” sostiene Draicchio. 

I dispositivi connessi si dividono in due tipi: IT e  OT ed elettromedicali. Attualmente, la gran parte dei dispositivi connessi è rappresentata dai dispositivi IT.  La previsione è che, nel 2024, ci saranno più elettromedicali connessi, circa il 60%, e questo comporta un incremento dei rischi

“Gli elettromedicali, infatti, sono dei dispositivi all’avanguardia ma, molto spesso, sono basati su sistemi IT obsoleti. Infatti, esistono problemi di conformità tra diversi device: utilizzo di password di default, incompatibilità dei software dovuti alla mancanza di aggiornamenti e di periodici adeguamenti”.

In questo modo si creano quelle vulnerabilità che i cyber criminali sfruttano per accedere ai sistemi. In più c’è una mancanza di visibilità dell’inventario. Infatti, nella maggior parte dei casi i responsabili IT non sono a conoscenza di quanti dispositivi siano in loro possesso.

Gli step iniziali per ridurre il rischio cyber

Ma come si può ovviare a questo problema, cercando di ridurre il rischio di attacchi cyber? Ecco alcuni possibili soluzioni:

  • avere consapevolezza del numero dei dispositivi connessi: se non si conosce il loro perimetro, non si possono gestire; 
  • gestire i fornitori, i dispositivi e i protocolli da rispettare. Ogni dispositivo ha le sue peculiarità, così come ogni fornitore ha i suoi requisiti, e tutto ciò porta a una maggiore complessità;  
  • prevenzione e sensibilizzazione: quasi tutti i servizi sanitari sono online, quindi maggiore sarà il numero dei dispositivi connessi, maggiore sarà la vulnerabilità. La prevenzione e la sensibilità sulla sicurezza dei dati non hanno seguito un processo evolutivo di pari passo con la salute e la sicurezza dei pazienti, sebbene quest’ultima dipenda in maniera crescente anche dalla prima. Solo nell’ultimo periodo, infatti, si stanno diffondendo dei requisiti normativi sulle certificazioni di cyber security sugli elettromedicali e sulle soluzioni IT.  

Cosa fare per garantire la sicurezza informatica in sanità?  Secondo Draicchio, “per ridurre il rischio bisogna conoscere gli asset, comprendere i meccanismi di autenticazione, sapere chi utilizza i dati e se questi ultimi sono cifrati. È necessario garantire la sicurezza del dispositivo, facendo politiche di accesso alla rete e controllando l’accesso dei produttori agli elettromedicali”.

Come raccogliere le informazioni sui dispositivi connessi 

“Consultando i dati pubblici del produttore, analizzando i risultati dei vulnerability assessment, contattando il produttore per ulteriori informazioni ed esaminando l’elettromedicale” spiega Draicchio. “Fortunatamente , il nostro partner tecnologico CyberMDX ha studiato una soluzione: la piattaforma verticale specifica per la sicurezza informatica in sanità. Il suo database, in costante crescita, é specifico per gli elettromedicali e i dispositivi IoT. 

CyberMDX realizza una mappatura dei dispositivi connessi, li monitora costantemente nel tempo e per ognuno di essi valuta il rischio e informa sulle potenziali minacce e vulnerabilità. La piattaforma può essere integrata con altre soluzioni di cyber security che sono già a disposizione della struttura sanitaria per valorizzare gli investimenti e le risorse a disposizione. 

“Le minacce cyber sono in continua evoluzione per questo le soluzioni devono essere aggiornate per risultare efficaci. Il rischio informatico all’interno dell’ospedale è unico. È fondamentale adottare soluzioni verticali, specifiche per garantire la continuità e la qualità delle cure” conclude Draicchio. 

LA RIFORMA DEL CONTENZIOSO IN SANITÀ

Prevista dal PNRR, la riforma del sistema giudiziario potenzia gli ADR, gli strumenti di definizione delle liti alternativi alla sentenza, e ha come obiettivo facilitare le Aziende sanitarie nell’impiego della negoziazione stragiudiziale. Come potrebbe cambiare il lavoro dei Comitati valutazioni sinistri? Ne parla Delia Roselli, Avvocato e Legal and Compliance Manager presso Relyens. 

La riforma del sistema giudiziario rientra fra le ‘riforme orizzontali’ previste dal Piano Nazionale di Ripresa e Resilienza (PNRR) e ha come obiettivo la riduzione nella durata dei processi in sede civile. Tra gli strumenti individuati figura il potenziamento degli strumenti alternativi al processo per la risoluzione delle controversie. La composizione delle vertenze in sede stragiudiziale è uno strumento impiegato diffusamente nella gestione dei sinistri e nelle richieste di risarcimento dalle compagnie di assicurazione e dalle strutture sanitarie private sia in Italia che a livello internazionale.  Viceversa, la sanità pubblica italiana ha visto un impiego più circoscritto delle Alternative Dispute, Resolution (ADR), in parte frenata dal rischio di responsabilità amministrativa che i dipendenti pubblici corrono nel momento in cui autorizzano un pagamento conciliativo. Questo, con la nuova riforma, potrebbe cambiare.

Riforma del contenzioso in sanità: quali sono le ultime novità legislative? 

La legge 26 novembre 2021 n. 206 ha delegato il Governo ad adottare, entro il 24 dicembre 2022, uno o più decreti legislativi per la riorganizzazione del processo civile tali da garantire il raggiungimento degli obiettivi di semplificazione e razionalizzazione imposti dal PNRR. Lo scorso 17 ottobre è stato pubblicato in Gazzetta Ufficiale il d.lgs 10 ottobre 2022 n. 149 recante attuazione della Legge 26 novembre 2021 n. 206. Si tratta del primo decreto emanato in attuazione della legge 206/221. 

Tra le principali novità introdotte dalla riforma si cita il nuovo ruolo assegnato alle Alternative Dispute Resolution (ADR), non più considerate strumenti “alternativi” di risoluzione delle controversie quanto, piuttosto, come veri e propri strumenti di legislazione “complementare”. Più nello specifico, è stato esteso l’ambito di applicazione del tentativo obbligatorio di mediazione alle controversie che investono rapporti di durata, nonché della negoziazione assistita alle controversie di lavoro e a quelle in materia di diritto di famiglia.

Che scenari si aprono per il settore sanitario e la gestione del contenzioso? 

Tra le disposizioni della legge n. 206 utile a comprendere quali possano effettivamente essere gli effetti della riforma sul settore sanitario, troviamo sicuramente la lettera (g) articolo 1 comma 4 a norma del quale si rende necessario “prevedere per i rappresentanti delle amministrazioni pubbliche di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, che la conciliazione nel procedimento di mediazione ovvero in sede giudiziale non dà luogo a responsabilità contabile, salvo il caso in cui sussista dolo o colpa grave, consistente nella negligenza inescusabile derivante dalla grave violazione della legge o dal travisamento dei fatti”. 

La norma, la cui ratio è da ascrivere all’esigenza di semplificazione dell’azione pubblica, mira a favorire il ricorso da parte delle Aziende e degli Enti del Sistema Sanitario Nazionale a sistemi transattivi a fronte di ipotesi di responsabilità civile sanitaria senza il timore di incorrere in un giudizio di responsabilità amministrativo-contabile. 

Come potrebbero cambiare i meccanismi della responsabilità e della di gestione dei sinistri in sanità? 

Restando in ambito di responsabilità civile sanitaria, a essere principalmente impattati dal nuovo assetto normativo-processuale saranno con molta probabilità soprattutto le Aziende e gli Enti del Servizio Sanitario Nazionale e i relativi Comitati interni di valutazione sinistri. Questi ultimi saranno sempre più spesso chiamati a prediligere soluzioni stragiudiziali poiché, stando al tenore della norma,  sembrerebbe infatti che la stessa – contrariamente a quanto sempre temuto dalla p.a. –  esponga a profili di responsabilità amministrativa in tutti i casi di inerzia o omissione nella definizione transattiva di un sinistro piuttosto che in tutti i casi di errata gestione dello stesso, con la conseguenza, quindi, che il rischio di essere esposto a responsabilità amministrativa sia maggiore nelle ipotesi in cui si assuma un atteggiamento attendistico in luogo di una definizione celere della controversia. 

Quali sono i passaggi che ancora devono avvenire per far sì che questi cambiamenti si verifichino?  

Intesa quale sia la ratio della Legge n. 206 del 2021, per capire quali possano essere gli effetti della riforma sul sistema di gestione del contenzioso sanitario – soprattutto per quanto concerne il delicatissimo tema della responsabilità cui possa incorrere l’amministrazione –  occorrerà attendere quanto verrà stabilito in sede di attuazione della legge delega.  Solo in quella sede sarà identificata quale sia la “grave violazione della legge” o il “travisamento dei fatti” che il rappresentante della p.a. potrebbe porre in essere in sede di stipula dell’accordo conciliativo finendo per incorrere, quindi, nella tanto tenuta ipotesi di responsabilità amministrativo-contabile. Occorrerà, dunque, identificare l’equilibrio esistente fra le ragioni a tutela dei diritti del singolo e quelle a tutela dell’autonomia e della responsabilità delle scelte amministrative. 

Quali altre modifiche al processo civile sono state previste dal PNRR? 

Il Consiglio Europeo attraverso una serie di Raccomandazioni (2017-2019), ha identificato nell’eccessiva durata dei procedimenti una delle principali cause di scarsa efficienza del nostro sistema giudiziario civile. Lo strumento indicato dal PNRR per poter attuare tale riforma ordinamentale è quello della delega legislativa da utilizzare in relazione ai seguenti ambiti di intervento definiti “prioritari”. Oltre al potenziamento degli ADR, perciò, è prevista una revisione del processo civile che miri a ridurre sostanzialmente i tempi di giudizio e una revisione del processo esecutivo e dei procedimenti speciali che semplifichi le forme e i tempi nel settore dell’esecuzione immobiliare, dell’espropriazione presso terzi e delle misure di coercizione indiretta. 

A essere impattati dalla Riforma sono anche il processo ordinario di cognizione attraverso la concentrazione della fase introduttiva e il ruolo della prima udienza alla quale dovrà arrivarsi con una definizione delle domande, eccezioni e prove, la sostituzione dell’udienza di precisazione delle conclusioni  con lo scambio di  note scritte, l’introduzione di un termine massimo di 90 giorni intercorrente tra la prima udienza e l’udienza di prove, la semplificazione della fase decisoria attraverso l’introduzione di termini difensivi ridotti e calcolati retroattivamente dalla rimessione della causa in decisione. 

Anche il procedimento sommario di cognizione è stato interessato dalla riforma attraverso l’obbligatorietà del ricorso al rito previsto dal 702 bis e seguenti c.p.c. per ogni controversia in cui i fatti causa non siano controversi o la domanda sia fondata su prova documentale o di pronta soluzione o richieda un’attività istruttoria non complessa. Infine, l’intento di “semplificare” l’iter processuale ha investito anche il processo di appello attraverso l’introduzione della figura del consigliere istruttore nonché l’utilizzo di “filtri” all’impugnazione in grado di limitare il ricorso all’appello in tutti i casi in cui non vi sia una ragionevole probabilità che lo stesso sia accolto.