Dai defibrillatori alle sale operatorie: rete di difesa contro i cyber-pirati


Dal nostro inviato a Tel Aviv – Secondo una ricerca condotta da Ermes Cyber Security, startup dell’Incubatore I3P del Politecnico di Torino e specializzata nella difesa delle aziende dai pericoli del Web, gli hacker nel 2018 sono riusciti a violare globalmente oltre un miliardo di account. Cifra che raddoppia, nelle stime di Eset Trend Report 2019. Previsione non del tutto azzardata, se si pensa che gli attacchi a cinque colossi come Aadhaar, Exactis, Under Armour, MyHeritage e Facebook ha messo allo scoperto 1miliardo e 800 mila file sanitari. Il Data Breach Investigation Report di Verizon (2018) dice che il 15 per cento dei data breach riguarda le organizzazioni sanitarie. Per la prima volta si venuti a conoscenza di diciassette incursioni ai danni di siti istituzionali, ospedali e Asl, perch sono stati rivendicati dagli attivisti di Anonymous. Insomma c’ poco da stare allegri. 

Il mondo dei dispositivi sul Web e i rischi

Benvenuti nell’era dell’IoT (acronimo di Internet of Things),  l’estensione di Internet al mondo degli oggetti e dei luoghi concreti. S, nel mirino degli hacker finiscono anche loro: i dispositivi medici controllabili da remoto attraverso la rete. Secondo il report Fortinet (che raccoglie i dati di 450 fornitori di programmi di sicurezza informatica nel mondo) gli attacchi  si sono intensificati anche nel 2018. Un bracciale conta-calorie, un cardiofrequenzimetro collegato ad una app o anche dispositivi medici pi complessi che lavorino attraverso la rete sono gi stati hackerati. Per fortuna, finora, senza conseguenze dirette sulla salute dei malati, anche se la violazione di dati sensibili pu produrre effetti altrettanto gravi. Nello sforzo di modernizzare il National Health System (il Sistema nazionale inglese, il primo modello di welfare dal quale ha attinto anche il nostro Servizio sanitario), Sam Sha , direttore del Digital Development dell’NHS ha ben presente questo rischio ma insiste sulla necessit di andare avanti fornendo ai cittadini un “ambiente digitale pubblico sicuro”. “Abbiamo i nostri standard nazionali che devono garantire dati  e privacy.  Le organizzazioni che vogliono fornire dispositivi al’NHS devono adeguarsi a questi standard”.

Standard e regole non bastano

Spesso, tuttavia, l’adozione di standard  e regole nel campo della cyber sicurezza non basta.  Stiamo entrando in una nuova era basata sul concetto di medicina personalizzata e i dispositivi IoT svolgeranno un ruolo cruciale nel trasformare l’esperienza sanitaria da una relazione episodica a un vero e proprio “viaggio continuo”. “L’IoT ha due aspetti – spiega Elena Sini, membro del Governing Council di Himms Europe e di Himms Italia (un network internazionale di professionisti della salute e dellICT – Information and Communications Technology – pubblici e privati, che promuove il miglioramento dei servizi sanitari attraverso l’applicazione di soluzioni digitali) che ha appena terminato la sua relazione alla Conferenza di Tel Aviv -: quello interno, pi diffuso e pi consolidato, che riguarda  il tema dei device medicali ma anche dei sensori integrati nei sistemi informativi clinici, ancora carenti per di una vera e propria governance centralizzata. Spesso tutte queste iniziative arrivano per tramite dell’ingegneria clinica , peggio ancora nelle realt male organizzate per il tramite dei medici stessi che magari con i fornitori hanno a volte dei progetti di ricerca e dei finanziamenti .  Questo fa s che si hanno tutta una serie di informazioni che nella maggior parte dei casi non diventano patrimonio informativo aziendale ma rimangono isolate in questi silos applicativi costituiti dai sistemi stessi . Quando invece anche vengono integrate c’ da affrontare il tema della mancanza di know-how, capacit, esperienza e anche consapevolezza rispetto anche alle nuove sfide di cybersecurity che questi dispositivi pongono”.

Sensori indossabili

“E poi c’  il tema dell’external IoT – continua Sini – che oggi sta crescendo, legato alla prevenzione , agli stili di vita , al follow up dei pazienti. In realt ancora oggi tipicamente guidato dall’industria e meno dalle strutture sanitarie che si trovano per certi versi a subirlo a meno che si tratti di specifici progetti della vecchia telemedicina che magari sono governati dagli ospedali. In realt quello che oggi non si riesce a seguire quest’onda legata alla diffusione di questi dispositivi di Iot tramite un’infinit di app che sembrano semplificare anche la relazione con il paziente , migliorarne l’esperienza ma che in realt poi non portano un valore clinico aggiunto reale”. 

La situazione in Italia: luci e ombre

Qual la situazione in Italia? Le due indagini nazionali sulla sicurezza dei servizi informativi sanitari, quella relativa al rischio generale per la salute e quella relativa alla sicurezza dei dispositivi medici (IoT) connessi alle reti sanitarie, condotte dall’Alta Scuola di Economia e Management dei Sistemi Sanitari dell’Universit Cattolica e ministero della Salute (ancora in corso) provano a dare qualche risposta. Alla survey hanno finora partecipato 31 aziende sanitarie e 1112 ospedali, sia pubblici sia privati. “La fotografia della situazione non cos incoraggiante – racconta Elena Sini – ma ovvio che sia cos per noi perch il tema complesso e ora inizia a porsi davvero la sfida. L’IoT applicato alle strutture ospedaliere e ai device e ai sistemi ha bisogno ancora di una messa a punto . Manca una governance centralizzata”.

L’indagine Altems e ministero della Salute

“Lo IoT gioca un  ruolo rilevante perch previsto che pi o meno il 20% dei dati che arriveranno nel 2020 saranno dai dispositivi medici  – sottolinea il professor Fabrizio Ferrara coordinatore del  Laboratorio dei Sistemi informativi di Altems universit Cattolica e membro di Himss-.  Quindi l’anno scorso ci siamo posti il problema, sempre d’accordo con il ministero, di approfondire lo studio iniziale fatto sul sistema informativo pi in generale, di declinarlo in maniere pi specifica nel contesto dei dispositivi medici , compreso IoT , telemedicina e cos via, integrati con il sistema informativo. Quindi avere un sistema di riferimento preciso che ci dicesse quali sono i problemi di sicurezza non soltanto l’antivirus, l’https, e questi aspetti tecnologici che impattano sulla sicurezza del paziente, sulla continuit del percorso di cura, sugli aspetti economici”. 

Sicurezza affrontata in modo frammentario

“Il primo obiettivo definire un modello di riferimento e di maturit con cui si possa fare anche un self assessment  – conclude Ferrara -.  All’indagine hanno risposto  circa 114 ospedali  e in totale abbiamo raccolto circa 17 mila informazioni quindi un database sufficientemente significativo da tutte le Regioni d’Italia. Siamo in fase conclusiva, dovrebbe uscire la prossima settimana il report finale. Ci che emerge purtroppo che la sicurezza vista solo da un punto di vista tecnologico e in maniera molto frammentata. Ad esempio, nel  70% delle aziende non c’ collaborazione tra unit di gestione del rischio clinico e responsabili della sicurezza del sistema informativo. Non si parlano tra di loro”. ” Gi da due anni a questa parte, confrontando lo studio fatto tre anni fa e l’attuale, un certo trend migliorativo da un punto di vista di sensibilit al problema , perch parlo di organizzazione, si nota. Il Gdpr da questo punto di vista , con il fatto che cogente e che prevede sanzioni pesanti, pu diventare un’occasione di opportunit se utilizzato bene per organizzare meglio tutti gli aspetti di sicurezza. Il messaggio che stiamo cercando di portare avanti proprio di vedere la sicurezza come un discorso generale. Il sistema informativo non pi un insieme di procedure applicazioni e pc sparpagliati uno strumento strategico per l’azienda”.

27 marzo 2019 (modifica il 27 marzo 2019 | 14:04)

© RIPRODUZIONE RISERVATA




Pagina ufficiale: http://xml2.corriereobjects.it/rss/salute.xml

Autore dell'articolo: admin