PREPARARSI AL RISCHIO CHE NON SI PUÒ PREVEDERE

L’incertezza è il punto di partenza dell’anticipazione nell’intervento di Antonio Furlanetto durante la presentazione del white paper “Capire il rischio cyber” 

Non si può basare tutta la previsione del rischio sulla base dei dati del passato. Anticipare il futuro significa pensare anche in termini di incertezza: eventi che non possono essere previsti, ma per i quali ci si può preparare in tempo. Ecco il cuore dell’anticipazione nel risk management, raccontato nell’intervento del Dottor Antonio Furlanetto, Docente di Risk Management Anticipante presso l’Università di Trento e AD di -Skopìa S.r.l. Anticipation Services, durante la presentazione del white paper Sham-Università di Torino “Conoscere il rischio cyber – il nuovo orizzonte in sanità” 

LINK conferenza 

Scarica il white paper “Capire il rischio Cyber” realizzato da Sham con la collaborazione del Dipartimento di Management Università di Torino. 

Guarda le Slide del Dottor Furlanetto 

CRITICITÀ E CONSAPEVOLEZZE

Le conclusioni del Whitepaper CAPIRE IL RISCHIO CYBER: IL NUOVO ORIZZONTE IN SANITÀ pubblicato il 7 luglio 2021 a cura di Enrico Sorano, Professore aggregato di Economia aziendale presso il Dipartimento di Management dell’Università di Torino;Alberto Sardi, Assegnista di ricerca presso il Dipartimento di Management dell’Università di Torino;Anna Guerrieri, Risk manager di Sham in Italia. 

Cosa ci dicono le risposte al sondaggio sui prossimi passi da compiere? Il risultato che emerge dalle risposte del sondaggio è un contributo utile alla riflessione e alla ricerca sul rischio informatico in sanità; infatti, il sondaggio evidenza che la sicurezza informatica è un tema importante per tutti i 68 partecipanti all’indagine provenienti da ASL e strutture sanitarie del territorio nazionale. Il fatto che tanti risk manager, malgrado la seconda ondata dell’emergenza Covid-19, abbiano voluto contribuire alla ricerca sul rischio informatico, testimonia ulteriormente l’attenzione alla tematica. 
Le risposte al sondaggio hanno sottolineato, da una parte, che il quadro normativo e le dotazioni hardware e software sono rigo rose o, comunque, non carenti nelle strutture sanitarie, mentre dall’altra parte hanno descritto una forte criticità: il livello di allerta tra il personale operativo non è sufficiente
 
A mancare è la conoscenza dei rischi, racchiusi anche nelle operazioni più banali, da parte dei tantissimi operatori che utilizzano device digitali come strumenti di lavoro. Inoltre, è emersa un’altra importante criticità: il personale dedicato alla sicurezza informatica è insufficiente e i ruoli legati al rischio cyber non sono sufficientemente definiti all’interno dell’organizzazione sanitaria
La gestione dei sistemi tecnologici necessita di più addetti e con più competenze anche relative alla sicurezza informatica. Questi nuovi ruoli professionali dovrebbero essere inseriti nell’organico sanitario al fine di informare e dialogare periodicamente sia con i risk manager sia con il top management. La consapevolezza e la competenza del personale sanitario risulta, quindi, essere l’ambito dove esistono maggiori possibilità di miglioramento e, parallelamente, dove vi è l’urgenza di azioni correttive. 
 
Formazione continua e chiarezza dei ruoli risultano, perciò, l’investimento più promettente per rafforzare la sicurezza informatica nella sanità italiana. Un risultato importante che interessa il top management, e in particolare la figura dei risk manager. Questa figura professionale, infatti, è in continua evoluzione soprattutto a seguito della pandemia. 
 
Nel futuro prossimo l’unità organizzativa di risk management dovrà integrare nuove competenze e sperimentare nuovi modelli per gestire le varie innovazioni e necessità. Modelli applicabili anche su scala nazionale, che prevedano il legame diretto tra risk management, qualità, e dirigenza strategica, riconoscendo al risk manager la possibilità di analizzare le informazioni sui vari rischi provenienti dai dipartimenti specialistici e determinare il livello d’urgenza degli interventi di mitigazione.  
 
Concludendo, la ricerca sottolinea che la progettazione di nuovi modelli sanitari, in particolare per la gestione del rischio, dovrebbe prestare attenzione anche al rischio informatico al fine di garantire la sicurezza delle cure. 

,

ABBIAMO BISOGNO DI UNO STANDARD INFORMATICO PER LA SANITÀ- Nevio Boscariol

Sistemi interoperabili sono il presupposto di una digitalizzazione uniforme, come già avvenuto in altri settori. La sicurezza informatica è sia il prodotto che il presupposto dell’innovazione tecnologica. 

Intervista a Nevio Boscariol, Responsabile economico servizi e gestionale – UESG di ARIS, Associazione Religiosa Istituti Socio-sanitari – pubblicata il 7 luglio 2021 nel Whitepaper  
CAPIRE IL RISCHIO CYBER: IL NUOVO ORIZZONTE IN SANITÀ 

Quali sono le opportunità di una sanità digitalizzata?  

Il traguardo della sanità digitale è un obiettivo antico: seguire la persona. È il paziente, infatti, il centro del flusso di informazioni. Grazie al digitale possiamo seguire i suoi spostamenti da un setting assistenziale all’altro, monitorare i suoi parametri vitali da remoto, testare online l’efficacia delle protesi tecnologiche, analizzare i dati e incrociare le “fragilità” del singolo e dell’intera assistenza sanitaria a ogni nuovo scenario di rischio che si presenta, oltre che gestire l’intera logistica e supply chain. 
Se avessimo avuto questo livello di digitalizzazione all’inizio della pandemia, l’esito sarebbe stato diverso. Tutt’ora, però, quello tratteggiato è un orizzonte. Non è la realtà della sanità italiana. A mancare, non è la tecnologia. Quella c’è già: testata, affidabile, standard, impiegata, a seconda dei casi, da una miriade di attori più o meno conosciuti. A mancare, nella sanità italiana, è il contesto nel quale questa tecnologia possa dispiegarsi e operare. Non solo, i servizi sanitari territoriali rappresentano un’enorme opportunità di rendere la sanità digitale un elemento essenziale della cura e assistenza. 

Perché la nostra sanità è in ritardo?  

Abbiamo tre ordini di problemi: lo standard, la cultura, le risorse. A questi ne va aggiunto un quarto: la complessità normativa e contrattuale. I sistemi informatici utilizzati dalla sanità italiana devono divenire interoperabili. Senza uno standard nazionale non andiamo da nessuna parte con il fascicolo o la cartella sanitaria elettronici. Questa è un’innovazione infrastrutturale per la quale vale la pena destinare un investimento nazionale di grossa portata. La declinazione regionale e la concorrenza tra servizi non vengono minacciate da questo standard. Se, però, la diversificazione avviene nel linguaggio e non nel servizio, il risultato non è la concorrenza o la specificità locale, ma il caos. La frammentazione è anche il risultato di una mancanza di competenza, esperienza e cultura della tecnologia, e non mi riferisco specificamente alle funzioni dedicate, ma all’intero sistema sanità. Chiaramente quando si parla in generale si fa torto a qualcuno. Per avere il meglio sul mercato a un prezzo sostenibile, la sanità italiana deve riuscire a parlare alle aziende più importanti del mondo, e coinvolgere quelle italiane di qualità, con una sola voce. E, a prescindere dalle dimensioni dell’interlocutore, deve sapere trattare da pari con i fornitori di servizi high tech. Terzo punto, le risorse: la tecnologia costa, gli aggiornamenti costano, la gestione costa, e l’appropriato utilizzo a costi sostenibili richiede competenze adeguate. La sanità, non solo italiana, è indietro rispetto ad altri ambiti perché la tecnologia non è considerata nel suo fondamentale valore strategico e di servizio all’utenza. Poteva anche essere giustificabile fino a qualche tempo fa. Ora non più. La digitalizzazione è inseparabile dalla cura del paziente e la pandemia ha portato un’ulteriore accelerazione senza però incrementare anche la formazione, la competenza e la sicurezza. Abbiamo una finestra stretta per chiudere il gap che si sta creando. 

Che peso ha il rischio informatico nell’influenzare la direzione e il passo dell’innovazione?  

La sicurezza informatica, in questo scenario, è un reagente essenziale del processo: è il prodotto di una più matura digitalizzazione ed è contemporaneamente la condizione affinché questa digitalizzazione possa diffondere i suoi benefici alla sanità in maniera omogenea.  
Sia chiaro: non dobbiamo farci paralizzare dalla paura del rischio informatico. I rischi esisteranno sempre: si evolvono assieme ai sistemi per difenderci. Il rischio informatico non ha impedito lo sviluppo degli smartphone o dell’home banking. 

Questi settori hanno trovato il modo di prosperare affrontandolo. Come può riuscirci anche la sanità?  

La strada è applicare uno standard interoperabile superando lo sviluppo a macchia di leopardo di una miriade di sistemi non comunicanti. Un’innovazione che migliora le cure, la prevenzione, la concorrenza e anche la sicurezza se si accetta di creare layer profondi e intermedi di attori professionali ai quali affidare la gestione del dato in maniera più sicura di quanto possa fare la singola piccola struttura sanitaria. 
Il paradosso, al momento, è che non essendoci sistemi interoperabili e sicuri di scambiarsi informazioni, si finisce per tenere nominalmente i dati “chiusi” nelle strutture e usare, poi, purtroppo spesso, WhatsApp o Excel per mandarli da un operatore all’altro o da un’istituzione all’altra.  
Terzo punto è eliminare le legacy: ci sono troppi contratti sfavorevoli, troppo costosi da rescindere, che sono il frutto sia della normativa che di una scarsa capacità di pretendere il meglio dai fornitori. Per questo c’è bisogno di un salto “filosofico” ma molto concreto: l’evoluzione del digitale in sanità non si può cristallizzare. Il formato impiegato oggi fra un anno potrebbe essere superato. Bisogna abbracciare l’idea di flusso: dati sanitari, informazioni, tecnologie non possono essere bloccati. Si può solo decidere di incanalare l’evoluzione verso un sistema flessibile, condiviso e sicuro per la cura delle persone. E il PNRR non può perdere o fallire questa storica occasione. 

,

L’OCCASIONE DA COGLIERE È ADESSO

La sicurezza informatica è parte integrante della sicurezza delle cure e senza questa sicurezza non può esistere completa digitalizzazione della sanità. L’intero paradigma dei servizi sanitari sta cambiando e il rischio sta crescendo, ma siamo ancora in tempo per costruire consapevolezza e prassi di cybersecurity a ogni livello. 

Intervento di Arabella Fontana, Direttore Medico del Presidio Ospedaliero di Borgomanero ASL Novara, pubblicato il 7 luglio 2021 nel Whitepaper CAPIRE IL RISCHIO CYBER: IL NUOVO ORIZZONTE IN SANITÀ 

Nel corso della mia carriera ho visto il passaggio dalla penna al computer. All’inizio c’era difficoltà a lavorare con le nuove tecnologie. Oggi, è pressoché impossibile lavorare senza. Ciò dà il metro di quanto il digitale sia divenuto pervasivo nella sanità. Un trend costante negli anni al quale si è aggiunta la forte accelerazione impressa dal Covid-19. Telemedicina, big data per investimenti predittivi e medicina personalizzata, scambio di informazioni tra device medicali e i servizi online per l’utenza sono già ora il presente e rappresentano il futuro. Mentre ciò avviene, crescono i rischi: la sanità è il primo obiettivo del cybercrime, con un livello di attacchi in crescita anno su anno.  

Dobbiamo capire questo contesto partendo da due considerazioni. La prima è che la maggior parte degli utenti e degli operatori sanitari comprende l’importanza dei dati, ma non quanto grande sia questa importanza. La seconda è che la maggior parte delle persone che utilizza i sistemi informatici non ne immagina la versatilità nelle mani del cybercrime, né i rischi insiti nell’utilizzo quotidiano.  

Possiamo crescere in sicurezza, ma dobbiamo, prima, crescere in consapevolezza.  La cultura del rischio si è evoluta nella sanità italiana e si è fatta strada la certezza che la sicurezza in sanità non possa limitarsi al rischio clinico, ma debba abbracciare ogni ambito (informatico, strutturale, gestionale etc.) come se ognuno di questi rischi fosse un rischio clinico. Non siamo, perciò, privi di difese.  

Abbiamo buone normative, ottimi sistemi informatici e strumenti tecnici di partenza, quali firewall, antivirus, criptazione dei dati.  

L’ambito nel quale possiamo migliorare di più è, perciò, quello della formazione. Dobbiamo sensibilizzare gli utenti e formare il personale in maniera continuata e ripetuta nel tempo in modo da tenere alta la guardia. I professionisti sanitari non devono più sentire password e limitazioni come un’imposizione o un inciampo. Devono capire che la sicurezza dei dati equivale alla sicurezza dei pazienti e sentirsi parte di uno sforzo collettivo per proteggerla. In questo, l’introduzione del GDPR ha aiutato perché ha coinvolto tutti gli operatori e non solo i tecnici nella protezione dei dati. 

La sanità è arrivata in ritardo alla digitalizzazione rispetto ad altri settori come, ad esempio, quello bancario, ma il trend è chiaro. Stiamo per cambiare paradigma: i dati e i servizi saranno sempre meno “chiusi” negli hardware delle strutture sanitarie e sempre più diffusi e scambiati sui cloud. Questo aumenterà i rischi. Dobbiamo cogliere questo momento di passaggio per costruire una matura cultura della sicurezza cyber prima che sia troppo tardi per arginare i danni.  

Ciò significa applicare, anche all’ambito cyber, un approccio proattivo: una security by design nella quale la sicurezza informatica rientri in ogni processo, abbia specialisti dedicati, si avvalga delle competenze migliori all’interno e all’esterno della struttura sanitaria. 

Sensibilizzazione e consapevolezza sono il cuore del miglioramento: capire il valore della sicurezza dei dati e i danni enormi che la sua mancanza può causare, è essenziale per indirizzare le risorse umane e materiali che questa sicurezza richiede e merita

,

SANITÀ E RISCHIO INFORMATICO

SHAM – GRUPPO RELYENS E UNIVERSITÀ DI TORINO PUBBLICANO I RISULTATI DELLA PRIMA RICERCA ITALIANA SULLO STATO DELL’ARTE DEL RISCHIO CYBER NEL COMPARTO SALUTE 

· Il 24% delle strutture sanitarie afferma di aver riportato attacchi informatici

· 68 i professionisti sanitari – provenienti da strutture distribuite su 14 regioni italiane – che hanno risposto allo studio

· Il whitepaper “Capire il rischio cyber- Il nuovo orizzonte in sanità”, realizzato da Sham – gruppo Relyens in collaborazione con il Dipartimento Università di Torino, analizza la preparazione e la consapevolezza della sanità italiana per far fronte alla minaccia cyber

· Infrastrutture e normativa sono all’altezza della sfida ma gli operatori non conoscono i rischi del digitale: la formazione del personale è il vulnus degli attacchi hacker

· La ricerca ha ricevuto il patrocinio di: Federsanità; Assolombarda; Centro Gestione del rischio Regione Lombardia; Associazione Nazionale dei Medici delle Direzioni Ospedaliere (ANMDO); Associazione Religiosa Istituti Socio Sanitari (ARIS); Consorzio universitario per l’ingegneria nelle assicurazioni (CINEAS) e Società Italiana del Rischio Clinico (SIRiC)

Torino, 7 luglio – Pubblicata oggi la prima ricerca scientifica sulla preparazione e consapevolezza del rischio informatico nella sanità italiana. Un’analisi nata dalla collaborazione tra Sham – gruppo Relyens, società mutua specializzata in assicurazione e gestione del rischio presso gli operatori del settore sanitario e socio-sanitario, e il Dipartimento di Management dell’Università di Torino. Il sondaggio, i cui risultati sono approfonditi nel whitepaper “Capire il rischio Cyber: il nuovo orizzonte in sanità”, raccoglie e analizza le risposte di 68 professionisti sanitari operanti in strutture distribuite su 14 Regioni italiane. I professionisti intervistati sono Risk Manager, Responsabili Qualità, Data Protection Officer (DPO), Responsabili della sicurezza informatica (CISO) e dell’Ingegneria Clinica, nonché Referenti della Direzione Sanitaria e Generale. Il 70% delle strutture è appartenente alla sanità pubblica, il 30% al comparto privato, con dimensioni che variano da meno di 250 posti letto a più di 750, rappresentando in maniera omogenea la composizione del sistema sanitario nazionale.

Tra i contributori del paper figurano alcuni tra i più importanti esponenti dell’ambito sanitario e della sicurezza delle cure del nostro Paese: Andrea Piccioli, Direttore Generale dell’Istituto Superiore di Sanità; Enrico Burato, Coordinatore regionale gestione rischio sanitario e sicurezza del paziente della Regione Lombardia e Direttore SC qualità, accreditamento e appropriatezza e dell’Unità di crisi anti-Covid dell’ASST Mantova; Amerigo Cicchetti, Professore ordinario di Organizzazione Aziendale alla Facoltà di Economia dell’Università Cattolica del Sacro Cuore e Direttore di ALTEMS.

È un’analisi circoscritta ma rappresentativa, che fotografa lo stato dell’arte della preparazione dei nostri operatori sanitari rispetto alla minaccia cyber e i cui risultati possono contribuire concretamente alla ricerca sulla sicurezza del comparto Salute – ha annunciato in conferenza stampa Roberto Ravinale, direttore esecutivo della società mutua leader nella Responsabilità Civile Sanitaria nel Nord Italia.

La ricerca ci ha consentito di individuare criticità e aree di miglioramento con l’obiettivo ultimo di potenziare le azioni di risk management sanitario anche in campo informatico” aggiungono gli autori Anna Guerrieri, Risk Manager di Sham in Italia e Enrico Sorano, Professore aggregato di Economia aziendale presso il Dipartimento di Management dell’Università di Torino.

L’esito della ricerca: il 24% delle strutture ha dichiarato di aver subìto attacchi informatici, dei quali l’11% è costituito daransomware e il 33% da accessi abusivi ai dati. La minaccia hacker però non è sottostimata: il 59% delle strutture percepisce il tema cyber risk in sanità come una priorità che impatta su prestazioni erogate e modelli organizzativi interni. Un ulteriore 31% ha valutato il tema come parzialmente prioritario. Ciononostante sono ancora poco frequenti le misure adottate dalle strutture per prevenire e gestire il rischio cyber: mappature, analisi dei rischi e test di vulnerabilità figurano solo in un terzo del totale. “Complessivamente – spiegano Guerrieri e Sorano – l’ambito normativo, il livello di priorità all’interno della gestione aziendale e la dotazione hardware risultano all’altezza della sfida crescente. Ma il livello di guardia e di competenza tecnica tra il personale che quotidianamente utilizza i dispositivi non è sufficiente. Molto spesso si aprono porte agli hacker in modo del tutto inconsapevole. È essenziale alzare il livello di allerta introducendo percorsi di formazione continuativa e nuove competenze.

L’occasione da cogliere è adesso – ha confermato in conferenza Arabella Fontana Direttore Medico del Presidio Ospedaliero di Borgomanero – ASL Novara -. Servizi e informazioni digitali verranno scambiati in volumi sempre maggiori. Dobbiamo applicare anche all’ambito cybe, un approccio proattivo: la sicurezza informatica deve essere prevista e considerata in ogni processo. Sensibilizzazione e consapevolezza sono il cuore del miglioramento: capire il valore della sicurezza dei dati e i danni enormi che la sua mancanza può causare”.C’è bisogno di un altro paradigma – ha detto Antonio Furlanetto, futurista e risk manager esperto in responsabilità civile; Docente di Risk Management Anticipante presso l’Università di Trento; AD di -Skopìa S.r.l. Anticipation Services -.

“Tutti i dati in nostro possesso confermano che la chiave della sicurezza e della sostenibilità sanitaria passano attraverso una cultura della prevenzione a 360° – ha concluso Roberto Ravinale-. Più sicuro è l’ecosistema, più sicuro diventa ogni singolo attore, più diventano sicure le cure. E, in questo nuovo contesto di rivoluzione tecnologica, la sicurezza assurge a conditio sine qua non per l’innovazione e la digitalizzazione: solo una sanità pienamente sicura potrà essere pienamente digitale e quindi in grado di assicurare cure più performanti. Sham è in prima linea nell’accompagnare i propri clienti-associati lungo questo percorso e continuerà nel contribuire alla diffusione delle buone pratiche e nel condividerle con l’ecosistema sanitario con l’obiettivo ultimo di una messa in sicurezza dell’intero comparto”.

Per il White Paper completo cliccare qui

,

RISCHIO CHIRURGICO: INNOVAZIONE, TECNOLOGIA E COMUNICAZIONE NEL BLOCCO OPERATORIO

Sham On Air presenta la piattaforma Caresyntax. Un momento di confronto sulle implicazioni di monitoraggio e riprese video durante gli interventi chirurgici dal punto di vista del RM e della ricostruzione della responsabilità sanitaria 

Mercoledì 23 giugno si è tenuto il webinar “Rischio chirurgico: innovazione, tecnologia e comunicazione nel blocco operatorio”. Sono intervenuti Luca Achilli, Direttore Sviluppo Healthcare SHAM Italia; Enrico Commisso e Mario Pallanza, rispettivamente International Training & Education Manager e Sales Engineer di Caresyntax, leader mondiale di tecnologia sanitaria; Francesca Rubboli, Direttrice Risk Management SHAM Italia e il Professor Pasquale Giuseppe Macrì, Segretario nazionale MeLCo – Medicina Legale Contemporanea e Docente di Medicina Legale presso l’università di Siena. 

Il contesto è la crescente integrazione dei device medicali e lo scambio dei dati, sia all’interno delle strutture sanitarie sia all’esterno, tra struttura sanitaria e territorio, tramite i processi di telemedicina che la pandemia ha accelerato. Queste innovazioni offrono nuove opportunità terapeutiche e diagnostiche ma comportano anche nuovi rischi connessi a tecnologie che diventano ogni giorno più determinanti per la salute e la sicurezza del paziente. 

Partendo da questo scenario Luca Achilli, ha sottolineato come la disponibilità di una mole ingente di informazioni consenta di sviluppare modelli e scenari previsionali sicuri. In ambito assicurativo i dati saranno fondamentali perché l’assicuratore sarà in grado di fornire sempre più servizi di consulenza e supporti in ambito risk management, oltre alle coperture assicurative più tradizionali. “SHAM – ha detto – da tempo è in prima linea per comprendere le implicazioni e le opportunità connesse a questa evoluzione. La sicurezza, però, deve essere la prima preoccupazione. Senza una tecnologia sicura, la tecnologia stessa non dà garanzie per una sua piena implementazione, sia dal punto di vista dell’utilizzo sia dal punto di vista della sostenibilità finanziaria”. 

Uno strumento che nasce in partenza per unire tecnologia e sicurezza è la piattaforma  Caresyntax che offre il monitoraggio dell’intero percorso del paziente nel blocco chirurgico, dalla check list digitale alle video riprese dell’intervento. Uno strumento che non solo permette di ridurre i rischi e analizzare gli eventi avversi ma è in grado di modificare in maniera determinante la ricostruzione della responsabilità sanitaria.  

Scopri come nel video 

,

IL PESO DELLA FATICA PANDEMICA

Il grande successo nello sviluppo dei vaccini non può nascondere i danni indiretti e l’impreparazione iniziale. La lezione della pandemia è la necessità di rinforzare la prevenzione e la gestione del rischio, riorganizzando il sistema sanitario, introducendo la figura del risk manager in ogni team work, guardando al futuro con ottimismo.

Giovedì 27 maggio si è tenuto il webinar “FocusOn – COVID-19 Lezioni apprese. Prospettive Future“. Sono intervenuti il Professor Riccardo Tartaglia, presidente onorario di In Safety Healthcare (INSH), e il Dottor Francesco Venneri, clinical risk manager dell’AUSL Toscana Centro. È stata l’occasione per un’ampia riflessione sulle conseguenze della pandemia sulla società e sui piani da attuare per una ripresa in sicurezza.

“Credere nella scienza sarebbe una grande follia, ma non crederci sarebbe una follia ancora più grande”: così il professor Tartaglia, riprendendo una celebre frase dello scrittore francese Proust, ha aperto il discorso.

Ad un anno dall’inizio della pandemia, possiamo ritrovare diversi punti di incontro con il pensiero di Proust. Lo sviluppo dei vaccini è stato una grande soluzione, però non è bastato ad arginare tanti lutti ed effetti diretti e indiretti che il dottor Venneri ha inquadrato con il concetto di “fatica pandemica”: la stanchezza da COVID, causata da una serie di eventi concatenati, tra cui un eccesso di informazioni arrivate in maniera rapida e, a volte, contrastante.

Le criticità che sono emerse nella comunicazione sono state dunque gli errori di valutazione, i messaggi discordanti e una sottostima iniziale di quello che stava succedendo. Il problema principale, ha sottolineato Venneri, è stato la mancanza di piani pandemici aggiornati: una delle più grandi lezioni sul piano organizzativo che la pandemia ha messo in luce. Ecco perché questi errori dovranno costituire dei punti di ripartenza.

La pandemia è passata attraverso diverse ondate, che hanno colto la popolazione impreparata, poiché mancava un’organizzazione precisa. Certamente si nota una grande differenza rispetto all’ultima grande pandemia della storia, esplosa nel 1918. Oggi, infatti, esistono le terapie intensive e una serie di farmaci che consentono di controllare meglio le patologie.

Il professor Tartaglia ha evidenziato come alcuni paesi siano riusciti a gestore l’emergenza in maniera migliore, come per esempio i paesi del sud-est asiatico e l’area del pacifico occidentale. Aver dovuto fronteggiare in tempi recenti la Sars, malattia di natura virale contagiosa, ha fatto assumere alla popolazione e alla società intera un atteggiamento pro-attivo nei confronti di questo virus, trovandosi già con dei piani pandemici pronti per contenere le infezioni. In Italia invece ci sono stati dei forti ritardi nell’affrontare la pandemia: questo perché bloccare un’economia è una scelta che, politicamente, non è facile.

Il COVID ha colpito la comunicazione tra pazienti malati e familiari, negando la possibilità di vedersi e, in tanti casi, di salutarsi per l’ultima volta. Nello stesso tempo, proprio l’isolamento e l’impossibilità di interazione fisica hanno generato una forte accelerazione nei sistemi di telemedicina. Attraverso uno smartphone con una videochiamata, i pazienti potevano interagire sia con gli operatori sanitari sia con i familiari.

Le pandemie però non si vincono quando ormai sono iniziate, si vincono anticipandole, bisogna essere previdenti ed evitare certi rischi. “Fare un ampio piano di risk assessment  è qualcosa che dovrebbe caratterizzare le organizzazioni ad alta affidabilità. Bisogna lavorare in anticipo per prevenire qualcosa che in futuro potrebbe verificarsi di nuovo”, ha aggiunto il dottor Venneri.

Ecco perché la figura del risk manager assume un’importanza fondamentale. È una figura risolutiva che deve far parte del management strategico di un’organizzazione. Deve essere il leader del team work sanitario e non deve funzionare solo in momenti d’emergenza come una pandemia, ma deve diventare parte del DNA di ogni organizzazione sanitaria.

Quanto alle cure, per il futuro, l’orizzonte rimane quello dei vaccini, con qualche segnale positivo da terapie, in fase di sperimentazione, che hanno dati dei buoni risultati, ad esempio gli anticorpi monoclonali, che se somministrati in una fase precoce della malattia possono effettivamente risolverla senza complicanze importanti.

La lezione più grande, conclude Venneri, l’ha data il COVID: In quanto patologia tempo-dipendente, deve essere presa in tempo e anticipata, senza sottovalutare le misure di base. Il COVID ha stanato dei problemi che già erano presenti nel nostro Paese, adesso occorre riorganizzare il sistema sanitario e guardare al futuro in modo positivo.

TUTELA DEL RISCHIO INFORMATICO: QUALI SONO LE REGOLE EUROPEE?

La normativa vigente, la Direttiva NIS, il focus sui dispositivi medicali e una comparazione tra modelli degli Stati Membri alla luce dei crescenti attacchi cyber alla sanità europea. 

 

Il 2020 è stato un anno caratterizzato da un numero alquanto elevato di attacchi informatici che hanno interessato numerose Strutture Sanitarie in Italia così come negli altri Paesi europeiDa un rapporto della polizia postale del 2020 è emerso1 che il bersaglio degli hacker non risultano essere solo i fascicoli sanitari dei pazienti quanto, piuttosto, i sistemi e i dispositivi clinici in uso dalle stesse, con conseguente possibile rischio di blocco dell’attività ospedaliera. Già nel 2008 l’Unione europea, riconoscendo il grave rischio per la salute dei pazienti e la minaccia globale società di un attacco informatico in ambito sanitario, inserì la sanità nell’elenco dei settori strategico previsti dalla Direttiva 2008/114/CE. Da allora la legislazione europea ha continuato a evolvere per far fronte alla nuova minaccia. Sanità 360° incontra l’Avvocato Delia Roselli, Legal Manager di Sham in Italia per raccontare le modalità con le quali si è evoluta. 

Avvocato, cosa prescrive l’Europa alle aziende sanitarie per fronteggiare il crescente rischio informatico 

La tutela del rischio informatico costituisce, come noto, uno dei capisaldi della regolamentazione europea degli ultimi annui. 

Prima fra tutte, la Direttiva NIS2 la quale ha come obiettivo primario quello di rafforzare la sicurezza informatica all’interno di ciascuno Stato Membro. 

Il settore sanitario rientra tra i servizi essenziali cui la suddetta direttiva trova applicazione: ciascuna azienda sanitaria è dunque chiamata ad adottare misure tecnico-organizzative adeguate alla gestione dei rischi e alla prevenzione degli incidenti. 

Accanto alla Direttiva NIS non può trascurarsi il rilievo che riveste nell’ambito della sicurezza informatica il Regolamento UE 2016/679 (GDPR), il quale prescrive una serie di misure preventive volte a impedire il successo di un attacco informatico. 

Di non minore importanza, la Direttiva UE 2016/680 contenente una serie di disposizioni in materia di protezione dei dati personali applicabili nei casi di trattamento dei dati effettuato dalle autorità competenti per delle finalità di prevenzione, indagine, accertamento di reati penali nonché per l’esecuzione di sanzioni penali e per la salvaguardia di minacce alla sicurezza pubblica. 

Da ultimo, vale la pena citare le Linee Guida pubblicate dall’EDPB3 a inizio 2021 a integrazione delle disposizioni del GDPR in materia di Data Breach, le quali prevedono che ogni Struttura Sanitaria è tenuta a informare i propri pazienti ogni qualvolta subisca un attacco informatico, anche se quest’ultimo non comporti di fatto un furto di informazioni sanitarie dei pazienti e la struttura sia in grado di mitigarne gli effetti con un backup. 

Sono precauzioni sufficienti? 

Quanto previsto a livello europeo necessita di essere recepito da ogni Stato Membro.  

Soprattutto per quanto strettamente attinente alla Direttiva NIS, una frammentaria applicazione della stessa a livello locale unita alla mancanza di cooperazione e condivisione nel processo di divulgazione delle conoscenze informatiche acquisite da ciascuno Stato, hanno rafforzato l’idea di intervenire sulla stessa modificando le sue previsioni originarie. 

Si è fatta, quindi, largo, l’ipotesi di adozione della Direttiva NIS 2 con estensione delle previsioni ivi contenute anche a settori ad oggi non coperti dalla Direttiva NIS (fra i quali particolare attenzione merita la produzione di dispositivi medici), nonché l’inclusione della crittografia e dei controlli sulla sicurezza informatica dei propri fornitori fra le nuove misure tecnico-organizzative che ciascuno Stato deve adottare per contenere il rischio informatico. 

Stando a quanto pubblicato dall’IAIS (International Association of Insurance Supervisors) nel suo ultimo rapporto avente ad oggetto la sottoscrizione dei rischi informatici in Europa e delle considerazioni in tema di sostenibilità del mercato assicurativo in questo ramo, le attuali pratiche di sottoscrizione di tali rischi, benché utili, ancora non risultano ottimali.  

La causa di questa mancanza è dovuta principalmente all’incapacità di misurare correttamente l’esposizione al rischio, nonché alla circostanza che sia l’intensità del monitoraggio (come la frequenza delle valutazioni) e lo sviluppo di strumenti specifici (come l’uso di stress test) sono commisurati alle dimensioni relative del mercato della sottoscrizione informatica, che attualmente è generalmente limitato 

Quali sono le differenze nel modello italiano e francese.  

Dovendo ragionare in un’ottica di differenze esistenti tra il modello di tutela del rischio informatico in vigore in Italia e oltralpe, vale la pena citare un istituto tipico del diritto francese che non ha eguali nel nostro ordinamento. Mi riferisco all’ “hébergement des donnés de santé”, ovvero l’hosting dei dati sanitari su supporti digitali. 

Partendo dal presupposto che i dati sanitari sono dati sensibili il cui accesso è protetto dalla normativa in tema di protezione dei dati personali, il legislatore francese stabilisce che l’hosting di tali dati debba essere effettuato in condizioni di sicurezza adeguate alle loro criticità al fine di garantirne la loro riservatezza e sicurezza. 

Pertanto, qualsiasi persona fisica o giuridica che ospita dati sanitari personali raccolti nel corso di attività di prevenzione, diagnosi, cura o monitoraggio medico-sociale per conto delle persone fisiche o giuridiche che hanno prodotto o raccolto i dati o per conto del paziente stesso, deve essere approvato o certificato a tal fine. 

In conformità con l’GDPR, gli host di dati sanitari su supporti digitali (ad esclusione dei servizi di archiviazione elettronica) devono essere certificati. 

L’approvazione degli host è obbligatoria per tutte le organizzazioni che ospitano e utilizzano dati sanitari o che eseguono backup per conto di un’istituzione sanitaria. 

LA SANITÀ TORNI A INVESTIRE NELLA PREVENZIONE

Riparte per il 2021 la partnership tra Federsanità, ARIS, AIOP e Sham – gruppo Relyens per diffondere le buone pratiche che rendono le cure più sicure. Aperte le iscrizioni al 5° Concorso Risk Management Sham. Frittelli: “La pandemia ci ha insegnato che bisogna valorizzare e promuovere a 360° la gestione del rischio in sanità”.  

La pandemia non è finita ma l’impegno dei cittadini, dei sanitari e la copertura dei vaccini stanno contribuendo al contenimento dell’emergenza.  

Questo è il momento di dare avvio a una nuova fase per la sanità italiana. “Per oltre un anno le risorse sanitarie sono state impegnate nella gestione di unemergenza senza precedentiDall’epidemia la sanità italiana ha imparato tanto – spiega Tiziana Frittelli, presidente nazionale di Federsanità – ed ora è il momento di fare tesoro di quanto accaduto per riorganizzare in termini di sicurezza e prevenzione attività e percorsi complessi”. 

In questo contesto si cala il 5° Concorso Risk Management Sham organizzato da Sham con la partnership di Federsanità, ARIS e AIOP.  Sham – gruppo Relyens, è il Risk Manager europeo che affianca le strutture sanitarie e sociosanitarie nella gestione del rischio oltre che un leader riconosciuto, con il suo modello mutualistico, nell’ambito della responsabilità civile e della gestione sinistri. 

Quest’anno, come da tradizione, potranno partecipare tutte le aziende sanitarie pubbliche, private e private senza scopo di lucro, presentando un progetto per il miglioramento della sicurezza in ambito sanitario.  

Ci rivolgiamo all’intero panorama sanitario – spiega Il direttore esecutivo di Sham in Italia, Roberto Ravinale -. L’obiettivo del concorso – che nel 2019 ha raccolto più di 120 progetti da tutta Italia – è quello di condividere e diffondere le buone pratiche su tutto il territorio nazionale e, novità di quest’anno, anche a livello europeo. Nel 2021 vogliamo, inoltre, fare un passo in più: incentivare le strutture sanitarie a riprendere la riflessione sulla sicurezza partendo dalle lezioni della pandemia”. 

Tutto l’ecosistema sanitario è stato investito dall’emergenza COVID e sono emersi con chiarezza due elementi: il primo riguarda la necessità di operare in modo sinergico, senza pregiudizi, tra pubblico e privato; di condividere esperienze e adottare percorsi comuni, con le proprie identità – entrambe parti integranti di un sistema sanitario che mette al centro la cura e assistenza in sicurezza della persona; il secondo afferisce alla necessità di realizzare una efficace, integrata e sostenibile continuità assistenziale sul territorio tra i diversi setting, dall’ospedale alla RSA al domiciliare, utilizzando competenze multidisciplinari che oltre a quelle clinico-sanitarie includono quelle logistiche e digitali” aggiunge Nevio Boscariol, Responsabile Economico Servizi e Gestionale – UESG dell’Associazione Religiosa Istituti Socio Sanitari (ARIS). 

L’Associazione Italiana Ospedalità Privata (AIOP) rinnova, dopo il debutto nel 2019, il patrocinio con Sham. Conferma di un impegno comune. La sicurezza, la prevenzione e la gestione dei nuovi e vecchi rischi a qualsiasi livello sanitario rappresentano l’orizzonte verso cui dovrebbe ambire tutta la sanità italiana.  

Tra i rischi che il COVID ha messo in risalto figurano, infatti, anche quelli che minacciano il benessere psicofisico del personale sanitario così come la crescita degli attacchi informatici. Ognuno di questi ambiti sarà rappresentato in una categoria del Concorso.  

Per partecipare basterà concorrere in una delle tre categorie: ‘Prendersi cura di chi si prende cura di noi’; ‘Riduzione del rischio sanitario’; ‘Riduzione del cyber risk’. Il Concorso è aperto sia a progetti in essere, a riconoscimento del grandissimo impegno della sanità nell’ultimo anno, che a progetti futuri, come incentivo al loro avvio e i premi ammontano fino a 5.000 euro. 

Iniziative come il Concorso di Risk Management – conclude Frittelli – da anni hanno focalizzato l’attenzione sul tema della sicurezza delle cure che, prepotentemente, è tornato ad essere centrale per tutti proprio nel corso dell’esperienza della pandemiaLo scenario, drammatico che abbiamo vissuto ci impone una rinnovata consapevolezza del nostro ruolo di cittadini di uno Stato sociale, di cui le strutture sanitarie, i medici e tutti gli operatori della sanità costituiscono l’essenza.  È da questa crisi e da questo contesto che deve trovare nuova linfa il modello di una sanità responsabile che riporti in assetto quella alleanza terapeutica fatta di sicurezza e qualità a tutela della salute di tutti”.  

 PER CANDIDARSI  entro il 15 maggio 2021 

REGOLAMENTO E MAGGIORI INFO 

RAPPORTO CLUSIT 2021: ATTACCHI CYBER IN AUMENTO NEL MONDO

I dati del rapporto mostrano un aumento del 12% degli attacchi informatici nell’ultimo anno con una riduzione di minacce dirette ai sistemi aziendali mentre raddoppiano le aggressioni ai danni dei singoli utenti.

 

Attacchi cyber sempre più numerosi e frequenti ai danni di forze dell’ordine, sanità ma anche ai singoli cittadini. Questo è il resoconto dell’ultimo rapporto Clusit che mostra come si siano evolute le minacce informatiche negli ultimi mesi.

Nell’anno dell’inizio della pandemia si è registrato un aumento degli attacchi informatici su scala globale del 12%. Le cifre sono in linea con le previsioni e il tasso di crescita degli anni passati che porta a un complessivo aumento del 66% rispetto al 2017. Niente di sorprendente, dunque in termini di numeri assoluti. Le principali novità si registrano, invece, rispetto alle modalità di attacco e agli obiettivi colpiti. Il tema Covid-19 è stato alla base del 10% degli eventi registrati. Cyber attack e truffe basate sull’ingegneria sociale hanno sfruttato le insicurezze e le incertezze del momento per assicurarsi il successo dei propri assalti. In particolare, gli attacchi a tema Covid-19 indirizzati alle strutture sanitarie si sono divisi tra tentativi di estorsione di denaro (55%) e tentativi di spionaggio ai danni di centri di ricerca sui vaccini per l’acquisizione di informazioni rilevanti (45%). Durante l’anno appena trascorso, oltre alla tensione a cui sono state sottoposte a causa della pandemia, le strutture sanitarie si sono viste in prima linea anche per quanto riguarda le minacce informatiche posizionandosi subito dietro a enti governativi e della difesa per numero di attacchi subiti.

Ridotti gli attacchi diretti ai sistemi aziendali, ormai preparati e consapevoli dei rischi digitali, durante il 2020 sono aumentati, invece, i tentativi di arrivare al sistema centrale a partire dai dispositivi personali dei lavoratori costretti allo smartworking, meno attrezzati a difendersi. Sono 85 mila le denunce di aggressione digitale da parte degli utenti, il doppio rispetto a quanto registrato nel 2019. Gli strumenti più sfruttati per inserirsi nei dispositivi sono i malware (42%) di cui il 29% sono, più precisamente, ransomware che prevedono il pagamento di un riscatto per la restituzione dei dati sottratti.

La maggior parte degli attacchi, l’81%, è portato avanti con scopi criminali, come l’estorsione di denaro, mentre una piccola parte, il 14%, è mosso da tentativi di spionaggio cyber in gran parte indirizzati ai centri di ricerca sui vaccini per il Covid-19.

Secondo i dati del report gli Stati Uniti sono il paese più colpito: a loro sono stati indirizzati il 47% dei cyber attack. I Paesi europei, al secondo posto, hanno visto una crescita dell’11% rispetto all’anno precedente, e sono stati vittime del 17% degli attacchi.

Complessivamente, i dati del rapporto mettono in guardia sul progressivo aumento delle minacce cyber sia per frequenza che entità dei danni: il 56% degli attacchi che vanno a buon fine, infatti, ha un impatto catalogato come “alto” e “critico” mentre il 44% è di gravità media. Poiché i sistemi informatici sono ormai legati a tutte le attività sociali, è evidente quanto le minacce cyber possano influenzare economicamente un Paese. È prioritario dunque adottare delle politiche in grado di mitigare i danni e prevenire i rischi che coinvolgano più livelli di sicurezza e che non si limitino alla formazione di specialisti ma anche dei singoli utenti.