Cyber security nel mondo della sanità: i consigli per difendersi dai data breach

“Non c’è MAI fine al peggio!”.

Così riecheggia l’amarezza di coloro che si trovano a fronteggiare i data breach rivolti a molteplici ospedali e strutture socio-assistenziali impegnati in prima fila nella gestione dell’emergenza Covid-19.

Niente e nessuno riesce a fermare i criminali della rete che mettono in ginocchio, ancor più di quello che già sono, le strutture ospedaliere e socio-assistenziali che, ahimè, si trovano a combattere anche contro i cyber attacchi. 

I recenti Data Breach nel mondo della sanità

Gli ultimi casi riguardano l’ospedale Spallanzani di Roma e l’Azienda Ospedaliera San Camillo Forlanini. Il primo è stato colpito da un accesso abusivo al sistema informatico ed il secondo è stato oggetto di un presunto sabotaggio dove sono stati danneggiati computer dei laboratori per il test Covid-19.

L’errore umano ha colpito invece la Sacra Famiglia di Erba dove è stata inserita una chiavetta USB infetta che ha portato all’installazione ed attivazione di un virus.

Appare quindi evidente che oggi, ancor più ieri, è opportuno affidarsi a strumenti e tecnologie atte a proteggere i sistemi informatici dagli attacchi esterni, tenendo conto delle linee di massima enunciate dal GDPR e delle preziose indicazioni fornite dal “Procurement guidelines for cyber security in hospitals” (documento pubblicato dall’ENISA a febbraio 2020).

Il risk approach – la valutazione del rischio

Prima di trovare soluzioni di natura informatica e non, dobbiamo indagare sui rischi presenti e capire come poterli mitigare mediante adeguate misure di sicurezza.

Le misure, come enunciate dall’art. 32 del GDPR, variano a seconda del device/asset coinvolto.

Bisogna quindi chiedersi quali siano gli asset di cui ci si è dotati per svolgere le molteplici prestazioni sanitarie. Pensando agli ospedali vengono in mente tutte quelle apparecchiature e programmi (hardware e software) atti ad erogare le attività di diagnosi, prevenzione, controllo, terapia o attenuazione di una malattia (apparecchiature radiologiche, centrifughe per la preparazione del sangue per la trasfusione o autoemotrasfusione, scambiatori di ossigeno ed anidride carbonica, dispositivi per emodialisi, dispositivi di somministrazione controllata di farmaci, defibrillatori etc.). Alcuni di questi potrebbero anche essere sistemi in cloud.

Non vanno poi dimenticati i software che governano gli impianti di riscaldamento ed elettrico e i componenti della rete informatica come cavi, switch, router, firewall, server, antivirus, VPN ed i client.

I rischi connessi a tutti questi apparati sono molteplici e vanno dall’accesso abusivo al furto, dall’eliminazione all’alterazione di dati sanitari….

Come proteggere i dati sanitari

Con consapevolezza! Partendo dal principio cardine dell’Accountability secondo cui le aziende ospedaliere devono essere responsabili dei propri strumenti partendo dalla consapevolezza degli stessi e dal loro corretto utilizzo.

Se dovessimo declinare il concetto di consapevolezza e responsabilizzazione dovremmo pensare agli aggiornamenti dei software ed al loro controllo, all’installazione di patch correttive, all’installazione di antivirus dotato di antispam, alla criptazione dei server nonché degli allegati e all’aggiornamento dei firmware.

Non solo…

Non cadiamo nell’errore di pensare che si parli solamente di implementazioni di carattere informatico e tecnico. Sono altresì importanti le policy e procedure che ci permettono di controllare gli aggiornamenti, che pongono delle regole sui sistemi di autenticazione ed accesso da parte degli operatori sanitari, anche dall’esterno alla struttura sanitaria. Analogamente risulterà utile la stesura di un piano di Disaster Recovery, allocato nel più generico piano di Business Continuity, che tra i requisiti prevede la calendarizzazione di periodici test finalizzati alla verifica della validità del Piano di Disaster Recovery in modalità dry (simulando situazioni di criticità) o in modalità wet (facendole veramente avvenire in un ambiente controllato).

Fondamentale risulta anche la formazione della Direzione e del personale che dovranno imparare ad individuare un possibile rischio e ad intervenire tempestivamente per bloccarlo e segnalarlo, evitando il famoso errore umano che nella maggior parte dei casi risulta complice involontario dei malintenzionati.

Da ultimo pensiamo anche ai principi di privacy by design e by default che ci inducono a pensare alla fase preliminare quindi alla fase della trattativa ove dovranno intervenire legali, esperti di data protection, privacy e cyber security in grado di verificare, ad esempio, il processo di creazione e controllo dei dispositivi medici ed all’analisi di questioni collegate.

Il nostro consiglio è riflettere ed affidarvi a personale qualificato soprattutto per quelle società che si trovano nel mirino dell’attività ispettiva da parte dell’Autorità Garante in collaborazione col Nucleo speciale privacy e frodi tecnologiche (deliberazione del 6 febbraio 2020).