10 regole sulla sicurezza del sistema sanitario
Alcune premesse
Gli ultimi anni sono stati caratterizzati da costanti attacchi informatici anche alle strutture sanitarie.
È inutile ricordare, in questa sede, quanto sia delicato questo settore: i dati riferiti alla salute delle persone sono tra le informazioni più idonee a danneggiare i diritti e le libertà delle persone, la loro reputazione, il loro benessere e qualità della vita.
Sono quei dati che erano giustamente definiti “sensibili” nella normativa proprio per questa capacità di ferire e discriminare le persone in caso di una circolazione fuori controllo.
Abbiamo letto, nei mesi scorsi, di violente aggressioni informatiche a siti web e servizi regionali, ad ASL e a innumerevoli enti legati alla sanità, nonché del furto di dati sanitari di pazienti, spesso utilizzando il già visto ransomware, e della loro pubblicazione in rete.
Gli attacchi ransomware alle strutture sanitarie sono sovente accompagnati da richieste di riscatto (spesso molto alto, anche di centinaia di migliaia di euro, se non milioni). In caso di mancata risposta entro un termine stabilito dal criminale, o di risposta negativa, il criminale provvede a fare circolare pubblicamente i dati.
Per attaccare una struttura sanitaria, i criminali o sfruttano le già viste vulnerabilità di fornitori esterni e del loro sistema informatico, o approfittano di errori comportamentali dei dipendenti (che, ad esempio, aprono allegati o cliccano su link che portano a siti truffaldini).
Se l’azione criminale d’attacco si presenta particolarmente aggressiva, il criminale può arrivare a cancellare e sovrascrivere non solo i dati degli archivi centrali della struttura sanitaria ma anche quelli dei backup, rendendo così la situazione ancora più critica e ritardando ulteriormente la ripresa delle attività dei servizi critici.
Si pensi a che effetto negativo possano avere ulteriori giorni di fermo delle attività anche se solo necessari per comprendere la entità e le modalità dell’attacco. Un ospedale o un centro clinico non può permettersi giorni di "down".
Spesso i dati sanitari vengono esfiltrati da un gruppo criminale e poi, subito dopo, vengono venduti ad altri, ossia vengono fatti circolare nei circuiti criminali.
Se non si paga il riscatto la minaccia più temibile, si diceva, è che i dati di pazienti di dipendenti e di terapie siano pubblicati e possano essere poi usati da ulteriori soggetti terzi per furti di identità, per ricatti, per lesione della reputazione o per falsificare documenti.
Il settore sanitario è più vulnerabile di altri perché vanta problemi diffusi di computer e sistemi obsoleti (in alcune realtà periferiche, detto tra noi, sarebbero tutti da sostituire...) e di mancanza completa di piani di formazione sui protocolli di sicurezza anche negli utenti comuni.
Si pensi che investire seriamente e tempestivamente in tre direzioni ben precise - provvedere sistemi aggiornati, introdurre la doppia autenticazione in tutti i sistemi e organizzare corsi di formazione mirati – potrebbe cambiare radicalmente, in meglio, il quadro di sicurezza di qualsiasi realtà.
Obiettivamente in periodo di pandemia e post-pandemia, e con la corsa alla telemedicina, alle piattaforme di monitoraggio domestico dei malati, ai braccialetti e ai dispositivi indossabili per finalità legate alla salute e all’uso della intelligenza artificiale, vi è stato un aumento della digitalizzazione nel sanitario ma non un’altrettanta cura e investimenti in sicurezza, né la previsione di ruoli specifici, interni o esterni, pagati per questo. Ci stiamo sempre più digitalizzando ma l'attenzione alla sicurezza informatica non sta andando di pari passo.
A ciò si aggiungono, in determinati periodi, ulteriori aggressioni informatiche e tentativi di attacchi legati a motivazioni politiche che possono essere connesse al recupero di informazioni sensibili di alcune persone di particolare importanza o alla creazione di situazioni di caos e disorientamento pubblico in un determinato Paese.
Il mancato aggiornamento di sistemi informatici, per di più , in alcune regioni meno sviluppate e con meno mezzi e maggior crisi economica (che porta a minori investimenti) è un ulteriore fattore di criticità molto grave. A ciò si aggiunge una ignoranza diffusa, legata proprio al quadro generale di analfabetismo informatico, che facilita attacchi di phishing e di social engineering o, persino, la facile manipolazione delle vittime.
DIECI semplici regole da apprendere su questi temi
- In qualsiasi struttura sanitaria dovrebbe essere obbligatorio l’uso di sistemi di doppia autenticazione, al fine di aumentare la sicurezza al di là della semplice "accoppiata" nome-utente e password.
- È essenziale verificare la sicurezza informatica anche di tutti i dispositivi hardware, soprattutto quelli connessi a sistemi Iot.
- Occorre applicare in ogni attività, vista la delicatezza dei dati sanitari, il principio di minimizzazione nel trattamento dei dati, trattandoli il meno possibile e processando solo quelli essenziali al trattamento svolto.
- Ove possibile, sarebbe opportuno applicare tecniche informatiche di pseudonimizzazione dei dati, separando le identità delle persone dai dati che a loro si riferiscono.
- Sarebbe buona cosa prediligere, se il trattamento lo consente, l’utilizzo di dati anonimi al fine di ridurre sensibilmente il rischio per le persone e i loro diritti.
- Diventa essenziale elaborare e attuare delle procedure interne nella comunicazione dei dati sanitari sia internamente tra i vari uffici, sia verso l’esterno.
- Bisogna comprendere il valore del dato sanitario e bisogna farlo comprendere a tutti coloro che lo trattano.
- Ocorre prestare particolare attenzione alla sicurezza negli ambienti di smart working, alle abitudini di dipendenti che utilizzano tecnologie non controllate a livello centrale e alla sicurezza dei fornitori esterni.
- Bisogna formare con grande cura tutti coloro che trattano dati e prevedere dei ruoli e dei punti di riferimento interni quale, ad esempio, il responsabile cybersecurity dell’ospedale
- Occorre prestare particolare attenzione ai servizi di verifica online delle analisi e di recupero e archiviazione di referti online (soprattutto alle modalità di accesso e al possibile scambio di identità).