Lavoro e professione

Cybersecurity, Fiaso: i furti di dati sanitari valgono 134 euro per ogni cittadino

di red.san.

Negli ultimi due anni per mancato rispetto della privacy sui dati sanitari il Garante ha comminato sanzioni per 3 milioni e passa di euro l'anno, che sono arrivati già a 11 nei primi mesi del 2017, causa maxi-ammenda da 10 milioni comminata al gigante Google.
Segno che in fatto di privacy e cyber sicurezza sanitaria c'è ancora molto da fare, come dimostrano dati e report presentati in un incontro a porte chiuse con gli esperti del settore promosso dalla Fiaso, la Federazione di Asl e ospedali.

La nostra sanità è più che mai esposta, anche se finora non ci sono stati enormi sabotaggi e furti. Asl e ospedali, racconta un Report della Sapienza di Roma, sono più indietro di Comuni, Regioni e Pubblica amministrazione centrale, sia in termini di consapevolezza del problema, che di organizzazione e difesa dai cyber-attacchi. Il 41% delle Asl e il 46% degli ospedali ha dichiarato di non aver mai subito un tentativo di cyber attacco. Il 15 e il 32% ne ha segnalati meno di 100, mentre rispettivamente solo il 6 e il 4% ha inoltrato oltre 10mila segnalazioni. «Il problema è che le Aziende sanitarie che si dichiarano meno esposte sono anche quelle che risultano essere impreparate in termini di cyber sicurezza», spiega Claudio Caccia, presidente dell'Associazione italiana sistemi informativi in sanità (Aisis).
«Oggi all'interno delle Aziende sanitarie mancano figure professionali ad hoc per la sicurezza informatica, affidata a società esterne che vedono solo i problemi del segmento di attività loro affidato. Così viviamo una situazione borderline perché manca una visione d'insieme dei problemi legati alla sicurezza dei dati sanitari», denuncia Graziano de' Petris, responsabile ufficio privacy dell'Azienda ospedaliera dell'Università di Trieste e docente di ingegneria clinica. Anche se il nuovo Regolamento europeo sulla privacy, che entrerà in vigore nel maggio del prossimo anno, darà una mano prevedendo l'istituzione di una nuova figura di responsabile della protezione dei dati.

Fiaso: aziende ad alto rischio
Ma la nostra sanità è a rischio soprattutto perché gli allarmi lanciati periodicamente dalla Polizia postale ad oggi non vengono raccolti dalle singole Aziende sanitarie e ospedaliere. «Manca un centro territoriale di diramazione degli alert, quello che in termini tecnici si chiama Cert. Esiste per banche e settore finanziario in genere, non per la sanità, ma è un vuoto che la Fiaso si è impegnata a colmare insieme al Centro nazionale anticrimine informatico della polizia postale», annuncia il presidente della Federazione di Asl e ospedali, Francesco Ripa di Meana. «Nel frattempo, Fiaso ha condiviso con le Aziende una roadmap per arrivare preparati all'appuntamento europeo del maggio 2018».

Quanto costano i furti di dati sanitari?
A mettere a fuoco il valore dei furti delle notizie sensibili che riguardano la salute, il rapporto targato Ibm: ben 134 euro per ciascun italiano. Una tassa occulta che serve per ripristinare anti-virus, reinserire dati, risarcire i danneggiati. Danni economici che sono ancora nulla rispetto al rischio che informazioni assolutamente riservate sulla nostra salute finiscano nel migliore dei casi ad assicurazioni e fondi sanitari integrativi, nel peggiore alle aziende dalle quali dipende il nostro lavoro.
Sicuramente a proteggere le informazioni riservate sulla salute degli italiani non aiuta l'uso a volte un po' spregiudicato che i medici fanno della Rete. L'83% di loro condivide informazioni sui pazienti via sistemi di posta elettronica che non forniscono garanzie in merito alla corretta gestione delle informazioni scambiate (tramite ad esempio una adeguata gestione di diritti di accesso a informazioni sensibili – rights management -, di criptazione delle informazioni in transito, ecc.), il 70% con sms e il 53% nei gruppi di whatsapp, «senza sapere quel che rischiano», rimarca De' Petris.

Medici “disinvolti” sull’uso dei dati
«Oggi la condivisione dei dati clinici è comunque essenziale ai nuovi modelli di assistenza centrati su presa in carico globale del paziente cronico e medicina d'iniziativa», ricorda a sua volta Luca Baldino, Responsabile Fiaso Ict. «Ma ogni qualvolta contattiamo un assistito, per ricordare ad esempio che è ora di effettuare un controllo legato alla sua patologia, rischiamo di travalicare i limiti del diritto alla privacy. Per questo –aggiunge- è più che mai necessario elaborare meccanismi di rilevazione del consenso informato meno burocratici e farraginosi possibile».
Fermo restando che «non esiste un concetto di sicurezza assoluta e che qualsiasi sistema è vulnerabile. Per questo ogni azienda deve individuare al suo interno quali sono i dati più sensibili da proteggere», precisa Carlo Mauceli, Chief Technology Officer di Microsoft Italia, che ha affiancato Fiaso nell'organizzazione di questo importante incontro. Uno dei primi passi da compiere per proteggersi, e idealmente il più semplice, è l'aggiornamento dei sistemi. Così come gli hacker sviluppano continuamente nuovi e sempre più sofisticati sistemi per impadronirsi di dati e informazioni, altrettanto fanno i produttori di software, con l'obiettivo di ridurre il rischio di compromissione. Ma è proprio qui che si apre un'altra falla.

«Nel mondo applicativo ci sono tantissimi software che non permettono l'aggiornamento del sistema operativo, pena ad esempio la perdita delle certificazioni che i software stessi hanno ottenuto nel tempo. La complessità che nel tempo s'è venuta a creare rischia di minare pesantemente la gestione sicura dei dati dei pazienti» denuncia. «“L'unica strada possibile per garantire la continuità del servizio e nel contempo la sicurezza dei sistemi è quella di fare sistema con tutti gli attori, dai produttori di software di base e verticale, ai produttori di dispositivi clinici, ai responsabili di Asl e Aziende Ospedaliere, oltre alle organizzazioni che sono intervenute oggi. Penso che in questo Fiaso possa giocare un ruolo fondamentale, come promotore di tavoli di lavoro volti ad approcciare la sicurezza e la data privacy in modo olistico».


© RIPRODUZIONE RISERVATA