Soltanto un comparto sanitario sufficientemente sicuro dal punto di vista informatico potrà erogare un’assistenza pienamente digitalizzata. Un binomio inscindibile, anche alla luce degli attacchi cibernetici sempre più mirati e della progressiva dipendenza dai device interconnessi. È il focus del panel sulla cybersecurity in sanità a Roma Welfair.
Vulnerabilità cyber della Sanità tra formazione del personale e strumenti tecnologici di controllo. Ma anche protezione dei flussi dati, compartimentazione dei database, definizione dei profili di responsabilità civili dei software, hardware e AI sanitarie. Sono alcune delle azioni che accompagnano la gestione del rischio informatico nell’occupare la posizione che gli spetta come parte integrante del risk management sanitario. Temi attuali e affrontati nel panel “Vulnerabilità del SSN e rafforzamento delle capacità tecniche di difesa cyber nelle strutture sanitarie” a Roma Welfair, coordinato da Massimo Mangia, esperto di sanità digitale.
Sottolineando “l’importanza, per i professionisti del settore, di condividere le esperienze – anche quelle negative – affinché ci sia un aggiornamento continuo” e rimarcando la complessità tecnologica del momento (“oggi sviluppare dei sistemi informatici richiede sempre maggiori competenze, tra esperti sistemisti, di user experience, di sicurezza”), Mangia pone un paradosso: “Viviamo nell’epoca del voyerismo diffuso. Se da un lato ci sono persone che amano condividere sui social informazioni private – anche sul proprio stato di salute – dall’altro c’è chi si preoccupa di difendere la privacy”. Quindi gli interventi (e il dibattito) entrano nel vivo.
Privacy by default come principio base
Puntualizzando il principio di privacy by default – secondo cui, per impostazione predefinita le imprese dovrebbero trattare esclusivamente il dato personale nella misura necessaria e sufficiente per gli obiettivi previsti e per il periodo strettamente necessario a tali finalità –, Mangia incalza Guido Scorza, componente del Collegio del Garante per la protezione dei dati personali, sull’importanza che le organizzazioni comprendano a fondo il valore dei dati personali.
“È così – comincia l’avvocato Scorza –, ma dobbiamo partire dal presupposto che si protegge ciò a cui noi riconosciamo un valore. Se c’è assunzione di tale consapevolezza, proprio come accade per il denaro, ciascuno farà del proprio meglio. Ma occorre tempo”. E sul tema dell’esfiltrazione dei dati sanitari (in tal senso, tra i casi più recenti c’è l’attacco ransomware a Synlab Italia), il componente del Collegio del Garante della privacy ammette: “Spesso la preoccupazione è rivolta a chi dal di fuori può esfiltrare, ma l’esperienza insegna che la debolezza del fattore umano dal di dentro è tutt’altro che trascurabile. Ci sono figure che, pur avendo un rapporto privilegiato con i dati, non riescono a riconoscerne il valore. Sono loro l’anello debole della catena”.
Sul tema della cultura dei dati si esprime anche Andrea Lisi, presidente di Anorc Professioni: “Viviamo una condizione di ipertrofia normativa, un’emergenza costante che ci fa perdere di vista i principi generali, ovvero la cultura e la qualità del dato, sui quali bisogna puntare molto”. Quindi l’avvocato Lisi precisa: “Non ci può essere digitalizzazione in contrapposizione con la privacy o senza data protection”.
Ed entrando nello specifico dei data breach in sanità, fa presente che “tali violazioni di dati personali sono legate a due fattori: il dossieraggio – in cui l’anello debole è la persona, ragione per cui occorre investire sull’alfabetizzazione e sulla formazione – e la confusione dei ruoli (dal committente al fornitore al subfornitore, che nel momento in cui gestiscono male il presidio di sicurezza manifestano l’assenza di cultura del controllo. E, di conseguenza, la mancanza di cultura del dato”).
Il data breach all’ASL 1 Abruzzo
Il 3 maggio 2023 i criminali della gang ransomware Monti hanno compiuto un cyberattacco che ha compromesso i database dell’Azienda sanitaria abruzzese, divulgando milioni di dati particolari, ponendo a rischio i diretti interessati e lo svolgimento delle terapie. “Pensiamo, ad esempio, a un attacco informatico a seguito del quale una sacca di sangue non viene più identificata e, di fatto, diviene impossibile portarla in sala operatoria. Ci rendiamo conto?”. Così Massimo Dutto, direttore generale di ACS Italia, organismo di certificazione e controllo pubblico che insieme a Regione Veneto e ad Accenture – illustra Dutto – sta costruendo la figura del referente della cybersecurity all’interno delle Usl (“l’obiettivo è lavorare sulle competenze. La certificazione di una competenza significa avere un’esperienza professionale”).
Cambiando regione e facendo ritorno con la mente all’attacco ransomware subìto dalla Asl 1 Abruzzo, Riccardo Urbani, esperto tecnico del Presidente Regione Abruzzo, ricorda: “Contro il collettivo criminale russo è stato come combattere una guerra per 30 giorni, sia nella parte difesa sia in quella di attacco. Non abbiamo ceduto alla richiesta di pagamento del riscatto e questi criminali si sono incattiviti, dichiarando nel dark web ogni loro mossa. Nell’arco di 25 giorni abbiamo riattivato i servizi essenziali e, distanza di oltre un anno, posso dire che oggi l’Ospedale San Salvatore dell’Aquila è una sorta di roccaforte”.
La formazione in cybersecurity parte dalla competenza
Nell’ambito del suo intervento, Claudio Telmon, membro del Comitato direttivo del Clusit, non lascia spazio a fraintendimenti: “Premesso che la domanda di esperti in sicurezza informatica è più grande dell’offerta, mi preme ribadire che sono le persone competenti in materia a dover approfondire, studiare, interessarsi ai temi che stiamo affrontando. Mentre fin troppo spesso assisto a corsi che partono da zero, per dare solo un’infarinatura generale”. Continua Telmon: “il settore della cybersecurity è remunerativo, ma occorre lavorare al meglio sulle certificazioni e sulle competenze, senza mai improvvisare. Non è banale affermare che un sistema informatico sicuro è, prima di tutto, un sistema informatico gestito bene”.
La citazione “so di non sapere” attribuita al filosofo Socrate riecheggia nelle parole di Antonio Iannamorelli (Director of government affairs presso Telsy): “È fondamentale che le aziende sanitarie abbiano la consapevolezza dell’inconsapevolezza. Prendendo atto che la situazione è complessa e il rischio non è solo quello di subire un cyberattacco, con tutte le gravi conseguenze del caso, ma anche di ricevere pesanti sanzioni se non si rispettano le direttive internazionali”.
Nel solco dell’intervento di Iannamorelli (convinto che “la sicurezza della digitalizzazione è una questione certamente di cultura, ma soprattutto di budget. Basti pensare alla distanza in materia tra l’Italia e gli Stati Uniti”) si inseriscono le dichiarazioni di Alberto Bozzo, esperto di AI in sanità e responsabile della protezione dei dati. “C’è un problema culturale e di scarsa volontà. Tendiamo a “sederci” troppo, adagiandoci sul legislatore europeo. Ricordo che l’AI sta avanzando in modo spaventoso e i criminali informatici utilizzano l’intelligenza artificiale per attacchi mirati. Se non la conosciamo, se siamo superficiali, come pensiamo di fronteggiarli?”.