Elemento cardine di una profonda trasformazione del nostro sistema sanitario nazionale, il Fascicolo Sanitario Elettronico (FSE) si sta progressivamente diffondendo per sostituire la tradizionale cartella clinica cartacea che, mal strutturata, classificata o addirittura illeggibile, ha più che ampiamente raggiunto i suoi limiti: anche per questo, proteggerlo dai rischi cyber è divenuta una priorità nel settore sanitario.
Sull’onda della forte digitalizzazione del sistema indotta dall’emergenza pandemica, il FSE ha accresciuto in maniera sensibile la sua penetrazione, passando tra il 2019 e il 2021 da 12 milioni a circa 32 milioni. Assieme al FSE, c’è un intero settore che si sta digitalizzando, sulla spinta del Piano triennale per l’informatica nella pubblica amministrazione per triennio 2020-22 rilasciato dall’AgID, che ha posto una serie di ambiziosi obiettivi.
Già nel 2018 è nato in Italia “Cybersecurity”, il primo gruppo di studio a livello nazionale per la costruzione di un sistema di sicurezza dei dati informatici nei servizi sanitari. Il team, coordinato dall’Istituto Superiore di Sanità (ISS), vede la partecipazione di molti esperti appartenenti a diverse università italiane, accomunati dall’obiettivo di sviluppare conoscenze e metodologie di cyber difesa dei sistemi informativi utilizzati quotidianamente in ambito sanitario, in sinergia tra diverse Istituzioni del nostro paese.
Questa rivoluzione nel settore porta con sé molte promesse, in particolare per quanto riguarda l’informatizzazione del processo di cura e lo sviluppo di tecnologie interoperabili, che dovrebbero connettere tra loro pazienti, assistenti, studi medici e anche gli stessi dispositivi medici, per migliorare in definitiva l’efficienza della cura dei pazienti.
Indice degli argomenti
Un intero settore già a rischio
Con le minacce informatiche in continua evoluzione, il fatto che il settore sanitario sia a rischio non è una novità. Volumi di dati preziosi e sensibili, un bisogno spesso imperativo di continuità di servizio, un mix disomogeneo di infrastrutture e sistemi esistenti e strumenti di protezione non adeguati, ha reso questo settore un obiettivo primario per i criminali informatici da anni ormai.
Qualunque sia il vettore di attacco, phishing, compromissione della posta elettronica aziendale, ransomware o smishing, gli attaccanti stanno aggirando le difese delle strutture sanitarie per accedere ai dati personali, chiedere riscatti, disturbare – e nel peggiore dei casi interrompere – l’erogazione di servizi medicali.
Ma il peggio deve ancora venire. Nell’ottobre 2020, l’FBI ha avvertito gli ospedali e i fornitori di assistenza sanitaria degli Stati Uniti di aspettarsi una “maggiore e imminente minaccia di criminalità informatica, con conseguenti attacchi ransomware, furto di dati e interruzione dei servizi sanitari”.
Nel suo recente report annuale, il Clusit, l’Associazione italiana di sicurezza informatica, ha segnalato 1.871 attacchi gravi di dominio pubblico rilevati a livello mondiale nel corso del 2020, di cui 215 lanciati proprio contro organizzazioni sanitarie, pari all’11.5% del totale.
Durante il regime di pandemia le azioni fraudolente non si sono fermate, anzi. L’Interpol, ad esempio, ha intercettato numerosissime campagne di malspam a tema Covid-19 che hanno preso di mira decine organizzazioni tra cliniche, ospedali, case di cura, ma anche laboratori di ricerca dediti a trovare cure e vaccini efficaci.
Anche l’Healthcare Threat Landscape report di Proofpoint ha evidenziato come nella prima fase di lockdown, le organizzazioni sanitarie, rispetto ad altri settori, hanno ricevuto circa il 16% di messaggi pericolosi in più associati alle campagne, mentre nel 77% di tutte le cyber campagne lanciate nella prima metà del 2020, almeno un cliente del settore sanitario ha ricevuto un’e-mail pericolosa.
Una riflessione sulla resilienza del Fascicolo sanitario elettronico
Di fronte a questo crescente rischio informatico, il settore deve essere meglio attrezzato per rilevare e contrastare rapidamente gli attacchi. Per quanto riguarda il Fascicolo sanitario elettronico, non dovrebbe essere permessa alcuna fuga di dati per non minarne la sua stessa essenza.
Migliorare la sicurezza e la resilienza delle informazioni è quindi fondamentale per prevenire interruzioni che potrebbero avere un impatto importante sulla salute del paziente.
Lo stesso Garante per la protezione dei dati personali ha sottolineato già a maggio 2020 la necessità di incrementare la sicurezza del Fascicolo sanitario elettronico, per ridurre “il rischio di accessi indebiti ai dati del fascicolo sanitario, resi possibili da una inadeguata definizione del perimetro e dei profili di legittimazione degli stessi professionisti sanitari”.
Dati troppo sensibili per essere rubati
Se la digitalizzazione offre enormi opportunità, crea anche nuove sfide nell’ecosistema sanitario, soprattutto in termini di sicurezza IT. Come una vera cartella clinica digitale nel cuore della catena sanitaria, il Fascicolo sanitario elettronico memorizza tutte le nostre informazioni su salute, trattamenti, risultati dei test e allergie e ne permette la condivisione con i professionisti che ne hanno bisogno per curarci al meglio.
Si tratta di dati molto preziosi. A differenza di quelli finanziari (come il numero di una carta di credito), che possono essere modificati in caso di frode, i dati relativi a un paziente lo caratterizzano personalmente (numero di previdenza sociale, indirizzo, altezza, peso, informazioni mediche su di lui, sul coniuge o sulla famiglia) e non possono essere sostituiti.
In caso di furto, l’individuo è quindi direttamente esposto, con conseguenze variabili che vanno dalla perdita di riservatezza al ricatto, al furto di identità e al rischio fisico.
Esiste anche una vera e propria dimensione predittiva dei dati sanitari che preoccupa ulteriormente, poiché sarebbe possibile, applicando algoritmi a questi dati, “caratterizzare” i pazienti e, per esempio, calcolare la probabilità di sviluppare una patologia, o utilizzarli per studiare il potenziale medico-commerciale di un trattamento.
Questi dati rappresentano quindi una miniera d’oro per i cybercriminali, che cercano in tutti i modi di rubarli per poi monetizzarli.
E-mail, primo vettore di attacco
Il percorso verso un’assistenza sanitaria realmente digitale è ancora lungo. Oltre alle cartelle cliniche, c’è anche il problema di assicurare uno scambio di informazioni protetto per quanto riguarda i dati dei pazienti. Alcuni paesi, come la Francia, hanno definito un protocollo ad hoc per la messaggistica sanitaria, attualmente in fase di implementazione.
La posta elettronica rimane il principale vettore di infezione, quindi è il momento di prestare un’attenzione più specifica a questo canale di comunicazione e condivisione dei dati.
Gli operatori sanitari possono sentirsi protetti con un sistema di messaggistica sicura, ma siamo ancora lontani dalla realtà.
Inoltre, questo tipo di strumento non fornisce sufficiente visibilità sul reale livello di esposizione alle minacce IT, come il ransomware, è quindi urgente agire per proteggere un settore già sotto stress in un contesto sanitario particolarmente difficile.
Anzi, il crescente ricorso a sistemi di posta elettronica cloud-based, come Office 365 e G-Suite, per motivi principalmente economici o di flessibilità operativa, non fa che peggiorare le cose, elevando ulteriormente le possibilità di compromissione degli account e quindi di possibile sottrazione di dati sensibili.
Una difesa informatica incentrata sulla persona
Con un quadro più chiaro del panorama degli attacchi, diventa possibile adattare le difese adeguate per contrastare i cyber criminali.
Questo comporta l’implementazione di strumenti di e-mail filtering per fermare le minacce prima che raggiungano la casella di posta, anche quando questa si trova nel cloud, e la creazione di processi di verifica per limitare le possibilità di successo del furto d’identità e degli attacchi di compromissione degli account tramite strumenti di Cloud Security (CASB) o specifici per la verifica degli account compromessi (come CAD, Cloud Account Compromise).
Ma la tecnologia da sola non basta. I cyberattacchi prendono sempre più di mira le persone, quindi è l’elemento umano la linea di difesa più forte. Il primo passo nello sviluppo di una strategia di sicurezza incentrata sulle persone è quello di identificare le Very Attacked People (VAPs) all’interno dell’organizzazione, e fornire loro gli strumenti e le informazioni necessarie.
Questo inizia con la formazione sulla consapevolezza della sicurezza, che copre le ultime minacce, i metodi e le motivazioni dei cyber criminali. Oltre alla capacità di individuare link dannosi ed e-mail sospette, gli utenti finali devono essere consapevoli che la cybersicurezza è una responsabilità di tutti.
Affinché la protezione sia efficace, la formazione deve essere continua, approfondita e contestualizzata. Gli esercizi di simulazione di crisi sono anche armi preziose per prepararsi a combattere la minaccia e a impegnare quella resilienza di cui l’industria ha bisogno.
Poiché la minaccia è in continua evoluzione e gli aggressori escogitano costantemente nuovi modi per bypassare i sistemi di difesa, anche l’impegno di proteggere i sistemi informativi sanitari deve essere continuo.
