Il personale sanitario è impreparato al rischio informatico: l’urgenza è la formazione

I medici sanno bene di cosa si parla, quando parliamo di sicurezza. Primum non nocere, innanzi tutto non nuocere, è il giuramento della professione medica da più di duemila anni. Quindi l’utilizzo di protocolli, dispositivi, medicinali e procedure, che siano per prima cosa “sicuri” nel senso di non fare del male al paziente, con un atteggiamento di rispetto nei confronti del corpo e della salute di chi si affida al medico che originariamente era letteralmente sacrale.

Bisogna invece ammettere che l’informatica non è nata con lo stesso principio, ed è quindi cresciuta sentendo sempre un po’ la sicurezza come una sovrastruttura, una distrazione rispetto al fine principale che è quello di “fornire il servizio”. Si può peraltro notare che nel mondo d’oggi una simile impostazione causa a volte situazioni paradossali che vanificano il servizio stesso.

Questi due mondi, la sanità e l’informatica, erano in rotta di collisione da tempo; la seconda, avendo conquistato da tempo l’ufficio, ha naturalmente preso possesso – anche se a volte con un po’ più di fatica – di tutti gli uffici dell’ambito sanitario. Si è iniziato nei processi più lontani dalla cura del paziente, amministrazione, contabilità, controllo di gestione; poi nella logistica e nel magazzino; da lì l’informatica è entrata nelle corsie degli ospedali, poi negli studi dei medici, ed ormai oggi collega le farmacie ai medici alle amministrazioni pubbliche, e financo all’amministrazione centrale del Fisco, con i comprensibili problemi di trattare in modo corretto ed etico delle informazioni che per definizione sono sensibili, e se usate male possono avere un impatto anche grave sulla vita delle persone.

Oggi però i due mondi si sono ormai compenetrati in modo inestricabile. L’informatica, a partire da circa un quarto di secolo fa, ha automatizzato i laboratori di analisi e rivoluzionato la diagnostica. La sala operatoria è da tempo piena di informatica, ed i collegamenti in rete sono quasi i soli in grado di superare le rigide partizioni che la separano dal resto dell’Ospedale. L’Ospedale stesso ormai ha un “sistema nervoso” informatico che ne fa una grande macchina complessissima, e che consente di controllare sempre più finemente i singoli sistemi.

Questi sistemi spaziano da quelli banali e relativamente meno importanti – controllo della sbarra che consente agli automezzi di entrare nel parcheggio – a quelli assai complicati e in grado di incidere sulla vita stessa dei pazienti – come ad esempio il sistema di distribuzione dei gas medicali (ossigeno in primis). L’introduzione dell’informatica nella medicina, nella diagnostica e nella gestione delle strutture sanitarie offre la possibilità di migliorare la cura del paziente in modi fino ad ora inimmaginabili. Insomma la tecnologia consente non solo più efficienza, ma un nuovo modo di avere cura dei pazienti; e se l’efficienza è importante, la cura dei pazienti lo è ancora di più.

Per contro, insieme a queste meravigliose opportunità, si introducono in ambito medico e sanitario degli aspetti di fragilità e criticità nuovi, e per lo più assolutamente sconosciuti al personale che lavora nel settore. Temi, peraltro, sostanzialmente assenti dalla loro formazione specialistica, e ignorati per motivi storici anche dalla formazione di base.

Si comprende facilmente come, quindi, il tema della sicurezza informatica in medicina vada ben al di là delle “semplici” tematiche di protezione dei dati personali. Le possibilità variano da situazioni relativamente poco preoccupanti, come ad esempio una “infezione” da parte di una botnet, fino a terrificanti ipotesi di terroristi in grado, senza nemmeno muoversi dalla loro poltrona, di manipolare gli impianti dell’ospedale per uccidere persone innocenti. Di fronte a queste minacce c’è un personale che sostanzialmente non viene preparato ad affrontarle e che si trova, quindi, in situazioni insostenibili.

Come tutti sappiamo, un “semplice” cryptolocker ha costretto almeno un ospedale a trasferire d’urgenza tutti i propri pazienti altrove: parliamo di varie centinaia di persone, dai casi più semplici a quelli più gravi, da trasportare in altri ospedali. Pensiamo solo a quante ambulanze devono essere servite, quante ore di superlavoro, e quanti rischi aggiuntivi per la salute dei pazienti. Oltre, naturalmente, alla possibilità che l’ospedale sia portato in Tribunale o dai pazienti per il procurato danno oppure, fosse stato in Italia, dalle autorità per interruzione di pubblico servizio.

E pensare che si tratta di una minaccia relativamente semplice da contrastare, applicando contromisure per nulla fantascientifiche come backup, segmentazione della rete, aggiornamento dei sistemi. Con le minacce sicuramente più evolute che ci troveremo a fronteggiare, come si può pensare di poter mantenere attiva una infrastruttura critica come quella sanitaria?

È essenziale quindi intervenire immediatamente sulla formazione specifica del personale, in primis di quello legato all’informatica ed alle telecomunicazioni, dove spesso – e non per loro colpa – si sconta una carenza di competenze in merito alla sicurezza, carenza determinata di solito da motivi storici. Certo il blocco del turnover in molte realtà pubbliche non ha aiutato, ma anche chi è di recente assunzione non può vantare alcuna formazione alla sicurezza nel proprio curriculum a meno che, con una lodevole iniziativa personale, non abbia seguito dei corsi in merito nel proprio tempo libero. Questo non è impossibile, e capita più spesso di quanto si possa pensare, ma naturalmente non si può nemmeno ipotizzare di lasciare la cosa soltanto all’intraprendenza dei singoli.

La formazione dovrà inoltre estendersi al personale medico e sanitario, a quello amministrativo, e a chiunque altro abbia a che fare con il settore della sanità e dell’assistenza, con esempi specifici e legati all’esperienza delle persone coinvolte. Naturalmente si dovrà trattare di una formazione a vari livelli, adeguata al ruolo di ciascuno ed anche al livello di coinvolgimento di ciascuno nei processi. Ciò che invece è necessario assicurare comunque è una consapevolezza diffusa del problema e dei suoi aspetti, che consenta quindi a tutti di fare fronte, nella misura in cui vi sono coinvolti, agli attacchi che arriveranno (e non è un problema di “se” ma solo di “quando”).

Solo così potremo contare su un settore della sanità e dell’assistenza che possa continuare ad essere efficace nel resto del ventunesimo secolo.