Il tema del rischio cyber in sanità è decisamente attuale, come dimostra anche l’interessante rapporto di Sham svolto in collaborazione con il Dipartimento di Management dell’Università di Torino che offre davvero tanti spunti di riflessione.
Secondo il rapporto ben il 24 per cento delle strutture sanitarie italiane è stata attaccata durante il covid nel 2020.
La sanità è al centro di un processo di trasformazione digitale che ha subito una fortissima accelerazione nel periodo della pandemia, ma che sicuramente era già in atto prima. La spinta nell’ultimo periodo però è stata importante e gli effetti si vedranno nei prossimi anni.
Indice degli argomenti
Il rapporto Sham su rischio cyber in Sanità e università di Torino
Quasi una struttura attaccata su quattro in un anno è un dato molto grave. Si legge che il 11% dei casi è un ransomware, il 33% accessi abusivi ai dati.
Lo studio è basato su 68 strutture sanitarie in 14 regioni italiane.
Rischio cyber in sanità: difficoltà evolutive del settore
Quanto sia grave è facile capirlo. Da servizi essenziali in questo periodo, come la possibilità di scaricare online i referti, alla telemedicina, in buona parte ancora in fase prototipale, fino all’utilizzo dell’intelligenza artificiale nella diagnostica: ogni azienda della sanità sta sviluppando progetti e sempre più ne dovrà sviluppare per rimanere al passo con l’offerta del settore.
Nello stesso tempo, questo processo mette in evidenza le difficoltà di questa evoluzione.
La sanità, infatti, è fra i settori che per primi si sono avvicinati all’informatizzazione dei processi, ma in modo molto disomogeneo, e nello stesso tempo è uno dei settori con i sistemi informativi più complessi.
La conseguenza, oggi, sono sistemi informativi che spesso sono il risultato di stratificazioni avvenute nel corso di decenni, con sistemi di diverse generazioni che devono interagire strettamente fra di loro.
Ma anche, aziende in cui stanno entrando la robotica e l’intelligenza artificiale, ma nelle quali contemporaneamente i reparti possono ancora gestire la cartella clinica dei pazienti in modo quasi completamente cartaceo.
Gestire la sicurezza in questo contesto è molto complesso, ma necessario.
Un patrimonio di dati da proteggere
Lo studio sottolinea, giustamente, come i rischi di cyber security, in particolare, debbano ormai essere considerati insieme agli altri rischi importanti a cui sono esposte le strutture sanitarie.
Non si tratta solo di un tema di riservatezza dei dati, per quanto importante: la disponibilità e la correttezza dei dati sono sempre più critici per assicurare la corretta cura dei pazienti ed evitare responsabilità che potrebbero ricadere in capo alle strutture ed agli operatori sanitari.
È anche importante sottolineare come la grande quantità di dati che viene generata può essere fondamentale se sfruttata nel campo della ricerca, per assicurare la capacità di diagnosi sempre più accurate, calibrando il percorso di cura sulle esigenze del singolo paziente, fino ad arrivare alla medicina predittiva.
Un patrimonio di dati che va quindi protetto per essere adeguatamente valorizzato ed utilizzato, sempre con attenzione alla tutela del paziente.
E parlando di interventi per la protezione delle informazioni, lo studio sottolinea ancora giustamente come non si tratti di interventi puramente tecnologici sul sistema informativo: è necessario adottare delle procedure di condotta sia in ambito clinico sia nel trattamento dei dati personali che coinvolgano tutto il personale deputato allo svolgimento delle diverse attività.
Rischio cyber in sanità: normativa di riferimento
Sono quindi necessarie procedure che siano quindi realmente utili ed efficaci nella gestione dei rischi, e non solo un adempimento formale per apparire conformi a norme e standard.
La sicurezza è, in effetti, un requisito abilitante all’adozione di soluzioni innovative, che in assenza di sicurezza esporrebbero il paziente a rischi probabilmente inaccettabili. Si pensi, ad esempio, nel caso della medicina, ai rischi a cui sarebbe esposto il paziente in caso di manipolazione dei dati raccolti, o peggio ancora di quelli inviati via smartphone ad un microinfusore per l’erogazione di una terapia.
Non si tratta certamente di rinunciare alle grandi potenzialità che questo tipo di innovazione può avere, ma nello stesso tempo si tratta di rischi che vanno gestiti con rigore e attenzione.
La normativa di riferimento, del resto, va proprio in questa direzione. Non si tratta solo del GDPR, ma ad esempio il Regolamento EU 2017/745 sui dispositivi medici, all’Allegato I, articolo 17, richiede esplicitamente che i rischi legati alla sicurezza delle informazioni siano gestiti.
Si tratta di un cambio di prospettiva radicale che i produttori di dispositivi medici dovranno adottare, visto che finora la certificazione dei dispositivi era spesso presa come ragione, se non come scusa, per evitare interventi volti a chiudere le falle di sicurezza degli stessi dispositivi, cosa che ha portato alla presenza di dispositivi vulnerabili che hanno causato grandi problemi alle strutture della sanità (basti pensare all’impatto di WannaCry su dispositivi che ancora utilizzavano Windows XP).
Il giusto approccio per la gestione del rischio
Con queste premesse, lo studio entra quindi nel merito della sensibilità, della percezione e della gestione del rischio cyber nelle strutture della sanità.
L’approccio di Sham è molto attuale: da più parti, infatti, si discute come il mercato delle assicurazioni si debba rapidamente adattare alle mutate condizioni in cui operano le aziende di diversi settori, e la sanità è certamente uno di questi.
La maggiore dipendenza dalle informazioni e dai sistemi informativi, la digitalizzazione, la forte innovazione in corso, unite alla maggiore aggressività del crimine informatico (come mostra chiaramente il rapporto Clusit, gli attacchi sono sempre in aumento come numero, efficacia e impatto), richiedono che le assicurazioni facciano evolvere la propria offerta per gestire efficacemente i nuovi scenari, e l’approccio migliore sembra essere quello di favorire l’adozione di buone pratiche da parte degli assicurati, in modo da mitigare i rischi ad un livello che il rischio residuo debba oggettivamente essere gestito mediante il trasferimento. La grande domanda che ne segue è quindi: quanto è vicina la sanità italiana a questo obiettivo?
È importante capire il rischio cyber
L’analisi si basa sul sondaggio informativo “Capire il rischio cyber: il nuovo orizzonte in sanità”, realizzato dal Dipartimento di Management dell’Università di Torino, allo scopo di comprendere il grado di consapevolezza degli operatori sanitari italiani sul cyber risk e, più nello specifico, la conoscenza e il rispetto del quadro normativo, la dotazione e l’organizzazione interna, la formazione e sensibilità del personale relativa alla tematica oggetto dell’indagine.
Che l’approccio non sia focalizzato sulle tecnologie si capisce anche dai testimonial coinvolti nello studio, che sono risk manager, dirigenti e ricercatori del settore della sanità, e non i responsabili dei sistemi informativi o dell’ingegneria clinica, che naturalmente svolgono un ruolo determinante nella gestione dei rischi legati alla sicurezza, ma il cui operato può essere efficace solo in un contesto organizzativo e di gestione complessiva del rischio che per primo affronti queste problematiche. Dato il contesto, l’attenzione è quindi prima di tutto al rischio clinico.
Questa prospettiva, abbastanza ovvia nel settore, si distacca da quella che può essere la percezione comune rispetto al dato sanitario. Si parla molto di riservatezza del dato, ma in questo contesto, anche nella prospettiva della normativa sul trattamento dei dati personali, i rischi maggiori sono legati all’integrità e alla disponibilità dei dati: dati corretti e disponibili sono infatti quello che serve per poter curare il paziente, che è comunque il principale obiettivo di una struttura della sanità.
Ed è proprio la normativa che, come già fatto in altri settori, sembra essere una delle spinte principali verso l’adozione di misure di sicurezza adeguate, primo fra tutti il GDPR. L’attenzione negli anni passati da parte del Garante è stata giustamente importante, e le prospettive di sanzioni elevate che sono state introdotte dal GDPR non poteva che aumentare l’attenzione ai requisiti posti dalla norma, che è fortemente focalizzata sulla gestione del rischio.
Lo studio cita naturalmente anche le altre norme rilevanti per l’ambito della cyber security (la Direttiva NIS e la sua implementazione nazionale, ad esempio) che in futuro potrebbero ottenere in questo settore lo stesso livello di attenzione che ha la normativa sul trattamento dati personali, come anche lo sviluppo di norme che iniziano ad affrontare temi innovativi ma di grande potenzialità per il settore della sanità, come l’intelligenza artificiale e la robotica.
Settore sanitario e bancario: analogie e differenze evolutive
La seconda parte dello studio affronta più specificamente i risultati dei questionari sottoposti ai partecipanti. Sono risultati molto interessanti, che offrono un quadro molto disomogeneo, simile a quello che si trovava in altri settori diversi anni fa, ad esempio nel settore bancario.
Anche nel settore bancario, infatti, la normativa e le esigenze di copertura del rischio, in questo caso date dagli accantonamenti richiesti da Basilea II per la gestione dei rischi operativi, hanno giocato un ruolo fondamentale nel passare da una sensibilità e un’attenzione “a parole” all’integrazione della gestione del rischio si sicurezza delle informazioni nei processi di gestione del rischio e operativi delle aziende.
E in effetti, la sensibilità nel settore della sanità, stando agli esiti dell’indagine, è effettivamente alta, ma si scontra con le difficoltà nel tradurre questa sensibilità in azioni concrete.
Se è relativamente alta la risposta in termini di “priorità del tema”, già se si passa a temi come la mappatura dei rischi le percentuali calano drasticamente.
Se si tiene conto del requisito di valutazione dei rischi legati al trattamento dati personali posto dal GDPR, che sicuramente ha dato una spinta in questo settore, i risultati non sono proprio entusiasmanti. Anche dal punto di vista operativo, in termini di prevenzione e gestione, è evidente la necessità di un cambio di marcia.
Particolarmente significativo come segnale il dato relativo alle azioni a seguito di eventi avversi cyber, dove solo il 44% dei rispondenti dichiara che si sono implementate azioni di miglioramento interno e il 13% in parte, per di più con un’elevata percentuale di risposte “non so”, che potrebbe suggerire che in realtà il tema sia poco presidiato al di fuori di strutture operative come la Direzione sistemi informativi, e quindi non siano rischi gestiti in coerenza con gli altri rischi aziendali.
Si deve considerare che quello della sanità è un contesto in cui la gestione del rischio non è un tema estraneo, anzi la gestione del rischio clinico è un tema importante. Più confortante il dato relativo alle attività di formazione, anche questo probabilmente in parte guidato dalla normativa sul trattamento dati personali.
Il rischio cyber in sanità e le certificazioni di sicurezza
L’analisi prosegue analizzando altri aspetti, tutti interessanti, ma è utile approfondire il tema delle certificazioni di sicurezza, non tanto quelle di prodotto quanto quelle di processo, prima fra tutti la ISO/IEC 27001.
L’attenzione del settore sembra essere bassa, ed è comprensibile: l’attenzione alle certificazioni deriva generalmente dalla necessità di dimostrare a qualcuno la conformità alle buone pratiche.
Nel settore della sanità, è più facile che ci possa essere interesse alle nascenti certificazioni legate al trattamento dei dati personali.
Va detto che un processo di certificazione è in generale un processo oneroso.
Nello stesso tempo, identificare criteri oggettivi che possano dare evidenza del rispetto di buone pratiche può essere un presupposto importante per chi debba offrire a queste strutture una copertura assicurativa per questi nuovi rischi.
Copertura assicurativa che diventa un’esigenza sempre più pressante, anche in relazione alle cause che potrebbero essere intentate da pazienti in relazione a violazioni, specialmente dove una sanzione del Garante dia evidenza di carenze nella gestione della sicurezza.
L’individuazione di strumenti adatti a gestire questa esigenza sarà probabilmente un tema interessante nei prossimi anni.
