Sicurezza dei sistemi e dati sanitari: allarme inascoltato. Ecco il punto

Il tema della sicurezza informatica in Sanità rappresenta uno di quei “grandi” argomenti ancora purtroppo ampiamente sottovalutati, almeno qui in Italia.

Che il dato clinico rappresenti un boccone assai più che ghiotto nel mercato nero dei dati in rete, forse ancora più di quanto lo rappresentino i dati finanziari degli utenti inconsapevoli, lo sanno tutti. Così come non è troppo difficile comprendere quanto un ipotetico cyberterrorista potrebbe raggiungere il suo scopo di mettere in crisi le infrastrutture critiche di un Paese paralizzando le attività di un ospedale.
Idem per un ipotetico cyber ricattatore che sistematicamente propagasse ransomware sui computer dei medici di famiglia: ipotetico sino a un certo punto, perché di casi di riscatti pagati per riappropriarsi dei dati da parte di medici ce ne sono già parecchi.

Qualche mese fa, la senatrice Nerina Dirindin insieme ad altri nove senatori fece un’interrogazione al Ministro della Salute in sede di XIIa Commissione, ottenendo risposte più o meno rassicuranti ma comunque classificabili alla voce “lo sappiamo, comunque le competenze sono perlopiù regionali, noi possiamo solamente monitorare, e speriamo che vada tutto bene”. Nulla da eccepire sul fatto che il Ministro e tutto il Ministero Salute ben poco possono fare e incidere sulle strategie informatiche di 21 Regioni e 250 fra aziende sanitarie, ospedali pubblici e – a maggior ragione – su decine di migliaia di soggetti privati a vario titolo afferenti al Servizio Sanitario Nazionale.

Interpellata da “Forumpa.it”, la senatrice Dirindin ha affermato: “Le strutture sanitarie non sono strutture come tutte le altre. Sono luoghi ai quali si rivolgono le persone in momenti di difficoltà, confidando di trovarvi non solo professionalità, ma anche riparo dai rischi presenti all’esterno, comprese calamità, epidemie e attacchi terroristici. Ospedali che crollano perché non antisismici, sistemi informativi non testati per garantire la sicurezza dei dati sanitari anche di fronte a possibili attacchi di cyberterrorism, tecnologie sanitarie non verificate per contrastare minacce informatiche di matrice criminale o terroristica rendono il sistema sanitario incapace di svolgere il proprio ruolo proprio nel momento di maggiore bisogno. L’attenzione al contrasto dei rischi connessi alla sicurezza informatica (sicurezza fisica e logico-funzionale) e alla sicurezza degli edifici sanitari è purtroppo trascurata nel nostro Paese. Più volte abbiamo chiesto al ministro Lorenzin lo stato dell’arte e azioni di contrasto, senza ottenere risposta. Più volte abbiamo cercato informazioni presso le Regioni, senza risposta. Eppure la direttiva europea è chiara e i dati disponibili non sono rassicuranti. L’indifferenza rispetto a questioni così importanti è purtroppo desolante.”

Attenzione: in sanità il problema della cyber security non è limitato al solo perimetro (peraltro considerevole) dell’informatica “tradizionale” (i server, i PC, i tablet e gli smartphone). In un ospedale nemmeno troppo tecnologicamente all’avanguardia ci sono centinaia di dispositivi biomedicali attaccabili, moltissimi dei quali hanno a che fare direttamente con il mantenimento in vita di pazienti.
E pochissime strutture sanitarie si dimostrano particolarmente severe nei confronti dei loro fornitori, richiedendo ad esempio la certificazione MDS2 (Medical Device Security Manufacturer Disclosure Statement), come ci dice un recente report di Deloitte.
Sul fronte dell’informatica “tradizionale”, Netics ci ricorda come ancora il 24% delle strutture sanitarie pubbliche italiane non sia in grado di reagire in tempi “decenti” a un cyber attack che non sia attuato dal cracker dilettante sotto casa, e che un buon 40% delle stesse strutture non conduca regolarmente e frequentemente dei test di vulnerabilità.
Anche in questo caso, come spesso succede in Sanità, più che leggerezza e/o inconsapevolezza del rischio siamo di fronte a un problema di carenza di risorse da investire per affrontare e risolvere le evidenti lacune dei sistemi informativi e dei dispositivi biomedicali (molti dei quali sono decisamente obsoleti ma non vengono sostituiti per mancanza di fondi).

La Commissione Salute del Senato pone giustamente due ordini di problemi: la mancanza – a livello centrale – di un quadro complessivo aggiornato rispetto al tema (un assessment delle tecnologie dispiegate e del loro livello di compliance) e di una cornice normativa altrettanto aggiornata rispetto all’evoluzione tecnologica raggiunta.
Aggiungasi il tema delle risorse, con la necessità di attivare un fondo straordinario per l’adeguamento tecnologico delle strutture sanitarie italiane.
Chi frequenta assiduamente ospedali e uffici di ASL ha ben chiaro il fatto che esistono e vengono quotidianamente utilizzati computer vecchi di 9 anni con sistemi operativi non più supportati dai rispettivi produttori, per non parlare dei dispositivi biomedicali.
“Mancano i soldi”, è la risposta che si ottiene quando si chiede il perché di questo straordinario dispiegamento di archeologia informatica. Ed è assolutamente vero.

Dopo di che, è anche altrettanto vero che la mancanza di competenze digitali specifiche e di sensibilità nei confronti del tema fa sì che ad esempio le password di accesso vengano esposte in bella vista su Post It appiccicati al monitor, o che le reti informatiche dell’ospedalino di provincia vengano gestite da cantinari più o meno cugini del primario e/o più o meno in possesso di certificazioni adeguate.

E anche questo è un bel problema.

L’Agenzia per l’Italia Digitale ha appena rilasciato un interessante e molto ben fatto documento di linee guida sul tema della sicurezza ICT nella PA, e quindi anche in Sanità.
Un ottimo punto di inizio, anche se l’Agenzia continua a ritenere valida l’equazione “ICT = Computer”.
Sarà forse vero in un Ministero o un Comune, ma in ospedale non è così: ICT in un reparto di terapia intensiva o in una sala operatoria significa anche dispositivi biomedicali digitali connessi via Bluetooth o altri protocolli (ZigBee, altri) a un server da qualche parte. Idem in laboratorio d’analisi, in sale di diagnostica, in anatomia patologica, persino in qualche reparto di degenza ordinaria.
E qui il discorso si fa ancora più serio, come dicevamo qualche riga più in alto: eventuali problemi derivanti da attacchi o anche solo da problemi di routine relativi alla sicurezza in rete non hanno soltanto a che fare con un fermo di sistema o con inosservanze alla privacy. Qui la vulnerabilità di un nodo di rete piccolo a piacere può avere a che fare con la vita di un paziente.

I grandi player sul mercato dell’ingegneria clinica, ma anche quelli del versante ICT più tradizionale, hanno le idee piuttosto chiare sul da farsi, oltre ad avere le soluzioni al problema. Ma – ribadiamolo caso mai non si fosse ancora capito – senza risorse per gli investimenti non si va da nessuna parte.
Ed è curioso che si siano spesi soldi pubblici per piattaforme abilitanti i servizi online della PA senza pensare prima al tema della sicurezza: un po’ come comprare bestiame senza avere contezza della fragilità del recinto, diciamo.

In questa newsletter, grazie al prezioso contributo di alcuni ottimi conoscitori del tema, potremo ascoltare i primi punti di vista: ma il dibattito rimane ovviamente aperto, e chiunque voglia apportare un mattoncino di esperienza e/o idee non può che essere il benvenuto.
Sempre in questo numero della newsletter, inizia una carrellata sulle Regioni italiane impegnate a digitalizzare i loro sistemi sanitari: cominciamo dal Lazio, dove a partire dal 2015 stiamo assistendo a un fortissimo recupero di posizioni in quella che – di fatto – è la “classifica” della e-readiness specifica per la Sanità, ossia il ranking annuale Netics.
Proseguiremo nelle settimane a venire, ospitando di volta in volta casi di successo e/o illustrazioni delle strategie di digitalizzazione degli altri sistemi sanitari regionali: anche qui vale l’invito a collaborare, aperto agli assessorati regionali alla salute, alle direzioni dei sistemi informativi di assessorato ed alle società regionali “in-house”.