Attacchi informatici: la sanità italiana ha le «difese», manca la formazione

Gli attacchi informatici continuano a bersagliare la sanità anche in Italia. Ma qual è la situazione? Per far fronte alla minaccia cyber, le infrastrutture e la normativa esistono e sono valide: ma la formazione del personale è il vulnus degli attacchi hacker. È quanto emerge dalla ricerca scientifica sulla preparazione e consapevolezza del rischio informatico nella sanità italiana. Un’analisi nata dalla collaborazione tra Sham - gruppo Relyens e il Dipartimento di Management dell’Università di Torino. Il sondaggio, i cui risultati sono approfonditi nel whitepaper «Capire il rischio Cyber: il nuovo orizzonte in sanità», raccoglie e analizza le risposte di 68 professionisti sanitari operanti in strutture distribuite su 14 Regioni italiane. I professionisti intervistati sono Risk manager, responsabili Qualità, Data protection officer (Dpo), responsabili della Sicurezza informatica (Ciso) e dell’Ingegneria clinica, nonché referenti della Direzione sanitaria e generale. Il 70% delle strutture appartiene alla sanità pubblica, il 30% al comparto privato, con dimensioni che variano da meno di 250 posti letto a più di 750, rappresentando in maniera omogenea la composizione del sistema sanitario nazionale.

Big data, opportunità e pericoli

«È un’analisi circoscritta ma rappresentativa, che fotografa lo stato dell’arte della preparazione dei nostri operatori sanitari rispetto alla minaccia cyber e i cui risultati possono contribuire concretamente alla ricerca sulla sicurezza del comparto Salute» dice Roberto Ravinale, direttore esecutivo della società mutua leader nella Responsabilità civile sanitaria nel Nord Italia. Che cosa stia accadendo nel settore sanitario, è descritto bene nel whitepaper: «Nel settore sanitario le potenzialità applicative dell’utilizzo e sviluppo della robotica e dell’Intelligenza artificiale sono molteplici: si spazia dalla robotica medica dove i software diagnostici minimizzano significativamente l’errore umano grazie alla precisione dei movimenti meccanici pre-programmati al ricorso ai robot per manovrare strumentazione chirurgica spesso troppo pesante e poco maneggevole per l’operatore umano; dalla personalizzazione delle cure che permette di affinare sempre di più la diagnosi e la prognosi rispetto a determinate condizioni cliniche e possibili opzioni terapeutiche e di intervento a tutte quelle attività più direttamente legate ai servizi di assistenza professionale ai pazienti. La concreta applicazione e operatività dell’Artificial Intelligence, soprattutto in ambito sanitario, passa attraverso l’immagazzinamento sempre più massiccio di una quantità crescente di informazioni personali identificabili e sensibili dei pazienti, i cd. big data. In una recente “Indagine conoscitiva sui big data” – condotta da Agcm, Agcm e il Garante Privacy – è messo bene in evidenza come “in ambito sanitario, grazie ai progressi nelle tecnologie di nuova generazione che hanno portato ad una disponibilità crescente di dati biomedici, sono state create banche dati ad accesso libero contenenti dati genomici e clinici di pazienti in forma anonima. Tali database contenenti un gran numero di dati eterogenei costituiscono una grande opportunità per gli scienziati, i quali, avvalendosi di tecniche di analisi dei Big Data, possono estrarre nuova conoscenza in maniera automatizzata su una determinata patologia”. Ma, all’enorme mole di nuovi dati generati fa da contrappunto la necessità che l’elaborazione e il trattamento di essi avvenga in un contesto di misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza».«La ricerca ci ha consentito di individuare criticità e aree di miglioramento con l’obiettivo ultimo di potenziare le azioni di risk management sanitario anche in campo informatico» aggiungono gli autori Anna Guerrieri, Risk manager di Sham in Italia e Enrico Sorano, professore aggregato di Economia aziendale presso il Dipartimento di Management dell’Università di Torino.

I risultati: cyber risk riconosciuto come priorità

Che cosa è emerso dalla ricerca? Il 24% delle strutture ha dichiarato di aver subìto attacchi informatici, dei quali l’11% è costituito da ransomware e il 33% da accessi abusivi ai dati. Seguono con percentuali inferiori «tracciamento illecito di dati», «ransomware o cryptolocker» e «furto di device/dispositivi»: tutte e tre le voci registrano una frequenza percentuale pari all’11%.a minaccia hacker però non è sottostimata: il 59% delle strutture percepisce il tema cyber risk in sanità come una priorità che impatta su prestazioni erogate e modelli organizzativi interni. Un ulteriore 31% ha valutato il tema come parzialmente prioritario. Ciononostante sono ancora poco frequenti le misure adottate dalle strutture per prevenire e gestire il rischio cyber: una mappatura del rischio interno alla struttura non è stata ancora posta in essere, ovvero solo parzialmente effettuata, dal 49% dei rispondenti e solo il 29% si è impegnato nell’attività. Parallela la rilevazione del dato in merito alla eventuale analisi dei rischi potenziali presenti nell’organizzazione aziendale di riferimento, che reitera le percentuali di frequenza sopra indicate: non è stata effettuata o effettuata solo parzialmente per il 53% dei casi, e anche qui effettuata solo per il 31%. Parimenti la percentuale di frequenza relativa alla effettuazione di test di vulnerabilità è limitata al 35%. Da annotare che su questo specifico elemento la percentuale del “Non so” aumenta al 26%. «Complessivamente – spiegano Guerrieri e Sorano – l’ambito normativo, il livello di priorità all’interno della gestione aziendale e la dotazione hardware risultano all’altezza della sfida crescente. Ma il livello di guardia e di competenza tecnica tra il personale che quotidianamente utilizza i dispositivi non è sufficiente. Molto spesso si aprono porte agli hacker in modo del tutto inconsapevole. È essenziale alzare il livello di allerta introducendo percorsi di formazione continuativa e nuove competenze».

Sensibilizzazione e consapevolezza

«L’occasione da cogliere è adesso – sottolinea Arabella Fontana direttore medico del presidio ospedaliero di Borgomanero - Asl Novara —. Servizi e informazioni digitali verranno scambiati in volumi sempre maggiori. Dobbiamo applicare anche all’ambito cyber, un approccio proattivo: la sicurezza informatica deve essere prevista e considerata in ogni processo. Sensibilizzazione e consapevolezza sono il cuore del miglioramento: capire il valore della sicurezza dei dati e i danni enormi che la sua mancanza può causare». «C’è bisogno di un altro paradigma — aggiunge Antonio Furlanetto, “futurista” e Risk Manager esperto in responsabilità civile, Docente di Risk management anticipante presso l’Università di Trento e Ad di Skopìa S.r.l. Anticipation Services —. Non possiamo più fare affidamento su una gestione del rischio esclusivamente reattiva ma dobbiamo accettare che il futuro ci riserva eventi che non possiamo prevedere, ma ai quali ci possiamo preparare. Non è un limite delle nostre conoscenze, è nella natura delle cose che ci siano dei rischi autenticamente incerti. Il rischio informatico rientra in questa categoria e non può essere limitato ai soli attacchi hacker. Abbiamo un rischio legato al malfunzionamento della tecnologia stessa, all’uso dei dati, all’attenzione o meno delle persone. Tutto questo fa del rischio cyber un rischio polivalente che richiede una preparazione contemporanea su tutti i piani nei quali si manifesta».