eHealth Security – Gestire il cambiamento del software nel sistema informativo sanitario

Se paragonassimo l’Azienda sanitaria ad un corpo umano, il software ne rappresenterebbe il sistema nervoso centrale. Piccoli cambiamenti su tale componente avrebbero enorme impatto sugli organi dell’intero sistema causando rallentamenti, blocchi delle funzionalità, mancanza di coordinamento e potenziali danni irreversibili. Una progettazione ed una gestione errata del software potrebbero produrre problematiche di varia entità che, sia valutate singolarmente che in maniera olistica, andrebbero a costituire una seria minaccia al funzionamento generale del sistema. Di conseguenza risulta fondamentale proteggere questo asset core adottando specifiche attenzioni, evitando così incidenti e possibili situazioni di crisi.

Negli ultimi anni la centralizzazione dei servizi e dei sistemi informatici della Pubblica Amministrazione ha comportato da un lato una diminuzione generale degli incidenti, dall’altro un aumento della criticità dei sistemi stessi e della superficie di impatto intesa come entità degli eventuali danni. Il potenziamento e la ridondanza delle infrastrutture elettriche, con l’evoluzione e l’aumento di velocità e resilienza delle reti di comunicazione, ha eliminato sensibilmente gli incidenti relativi a blackout elettrico ed indisponibilità del collegamento di rete. Di conseguenza il focus delle problematiche si è spostato ad un livello più alto: il software.

Il software è una componente molto costosa che frequentemente va aggiornata, risulta sempre più complessa, interdipendente ed indispensabile. Necessita di protezione e monitoraggio in quanto presente in tutti i livelli e processi aziendali e in quanto parte più onerosa dei servizi informatici. Grazie ad esso le strutture interne ed esterne delle Aziende sanitarie hanno raggiunto un livello di controllo ed automazione mai visto prima. Le nuove tecnologie di diagnostica strumentale, la condivisione delle informazioni sanitarie tra professionisti di strutture diverse, la dematerializzazione dei certificati di malattia e delle prescrizioni farmacologiche, la telemedicina, nonché i sofisticati sistemi automatici di monitoraggio ed allarme continuano ad apportare notevole beneficio all’utenza Aziendale.

Può sembrare strano, ma l’utilizzo del software presenta delle problematiche intrinseche ed in prima battuta di difficile risoluzione. Semplici aggiornamenti, ad esempio, possono creare blocchi parziali o totali di funzionamento ed anche perdite di dati. E’ per questo motivo che un processo coordinato di supervisione e gestione dei cambiamenti software risulta indispensabile.

Sebbene già da tempo sia stata posta attenzione ad alcuni aspetti di sicurezza, quali la tutela della privacy ed il rischio clinico, in quanto previsti dalla legge e quindi obbligatori, manca una corretta gestione del cambiamento del software: non esistono infatti nelle Aziende sanitarie dei processi e delle figure ad hoc. Un miglioramento in tal senso renderebbe l’Azienda più in grado di interpretare il contesto di cambiamento tecnologico, ottimizzando i costi gestionali e disponendo più correttamente le risorse. In tal modo, gli incidenti sugli asset core dovrebbero mostrare una significativa diminuzione. Non agendo su questo asset i potenziali danni, sia relativamente al settore umano (pazienti, operatori) che tecnologico (dati d’archivio), possono risultare non più circoscrivibili ad un livello accettabile. L’esternalizzazione della gestione hardware e software spesso comporta una gestione incompleta del risk assessment periodico, un’adozione di procedure di comunicazione insufficienti ed un carente monitoraggio e controllo preventivo e detettivo.

Una banale minaccia informatica potrebbe sfruttare queste vulnerabilità e generare anche un security incident. Dal momento che le informazioni trattate dai sistemi informativi sanitari possono essere catalogate come ‘supersensibili’, in quanto riferite direttamente alla salute della persona, risulta ancor più necessario adottare e mantenere alti livelli di sicurezza e qualità nella gestione dei dati e dei processi, istituendo specifiche misure di protezione che tengano conto delle tecnologie, delle interdipendenze tra servizi e delle finalità.

La perdita di qualità dei dati ha un’inevitabile ricaduta trasversale nell’organizzazione, creando un effetto domino di forte impatto negativo dal punto di vista dell’erogazione dei processi e della salute dei pazienti. Tale propagazione di errore andrebbe evitata adottando contromisure organizzative aziendali, coinvolgendo maggiormente il reparto IT, obbligando le terze parti a misure di controllo ed audit tramite strumenti giuridico/contrattuali ed implementando processi organizzativi e framework tecnologici orientati alla sicurezza. La gestione del cambiamento del software andrebbe monitorata centralmente e configurata come attività on-going e non one-time, dedicando personale qualificato a definire obiettivi di sicurezza, politiche del cambiamento tecnologico, standard e linee guida aziendali. Il referente tecnologico delle Unità Operative dovrebbe acquisire le competenze del Change Manager per interfacciarsi con il Risk Manager e l’Information Security Manager. La politica aziendale dovrebbe inoltre essere orientata verso la gestione del post-cambiamento per raccogliere e gestire i feedback degli utenti ai fini del miglioramento continuo. Le problematiche riscontrate in tal modo verrebbero indirizzate dai professionisti ai rispettivi stakeholders misurando il grado culturale degli stessi. La cultura del personale interno e dei fornitori risulta una componente essenziale intrinseca ad ogni processo, a cui va posta particolare attenzione. La logica di business, utilizzata da controparti esterne, normalmente differisce da quella dell’Azienda sanitaria; ciò comporta dei rischi, dovuti al gap culturale, che possono precludere la creazione di partnership professionali inclini alle buone pratiche di sicurezza. Per evitare ciò è necessario un team dedicato altamente competente che predisponga opportuni processi di gestione del rischio delle terze parti. La consapevolezza di queste tematiche potrebbe crescere ed espandersi in maniera capillare, per improntare un livello culturale ed un clima aziendale incline alle buone pratiche di gestione del cambiamento tecnologico. La sicurezza non verrebbe più vista come costo e pesante responsabilità, ma verrebbe rivalutata come obiettivo e valore aggiunto. Ogni servizio erogato dall’Azienda sanitaria è costituito, oltre che dal software, anche da ulteriori asset molto onerosi quali i professionisti utilizzatori, l’hardware, le infrastrutture di rete.

Dal punto di vista dell’analisi dei rischi, ognuna di queste componenti presenta tre caratteristiche fondamentali:

  • CONFIDENTIALITY. Confidenzialità è l’equivalente di riservatezza o più semplicemente privacy. Le misure adottate per assicurare la confidenzialità servono a prevenire che informazioni riservate e sensibili vengano consultate da persone non autorizzate.
  • INTEGRITY. Integrità significa mantenere la consistenza, la precisione e l’attendibilità dei dati nel loro intero ciclo di vita. I dati non possono essere cambiati da nessuna componente del servizio senza una specifica autorizzazione né alterati a causa di errori.
  • AVAILABILITY. Disponibilità significa garantire rigorosamente la continuità ed il corretto funzionamento dei processi che gestiscono le informazioni. I dati devono essere disponibili agli utenti secondo i Service Level Agreement – SLA garantiti dal fornitore o dall’Azienda.

Il livello di sicurezza di ogni asset dipende quindi dalla somma di questi tre parametri. Qualsiasi atto di violazione di un’esplicita od implicita politica di sicurezza aziendale basata su queste tre componenti si definisce incidente di sicurezza.

Le casistiche principali in cui si verifica un incidente di sicurezza possono essere così riassunte:

  • tentativi non autorizzati per guadagnare accesso ai dati ed ai sistemi;
  • interruzioni di servizio inattese a causa di guasti od errori;
  • interruzioni deliberate della indisponibilità dei servizi;
  • uso non autorizzato di un sistema per processare o memorizzare dati;
  • cambiamenti alle caratteristiche di un sistema hardware, firmware o software senza che il proprietario ne sia a conoscenza, o che non abbia fornito istruzioni in tal senso ed opportuno consenso.

Gli aggiornamenti software rientrano tra le cause principali di incidente di sicurezza. Al fine di ridurre i costi di Information Technology ed abbattere il rischio tecnologico, mitigare il rischio dovuto alla frequente attività di aggiornamento del software permetterebbe di governare in maggior sicurezza il sistema informativo sanitario e proteggere il raggiungimento degli obiettivi aziendali.

SUGGERIMENTI BIBLIOGRAFICI

Application security ISO/IEC 27034:2011. International Organization for Standardization (ISO) – International Electrotechnical Commission (IEC).

Agenzia per l’Italia Digitale (2013): Linee Guida per la razionalizzazione della infrastruttura digitale della Pubblica Amministrazione. Presidenza del Consiglio dei Ministri. European Commission – DG CONNECT (2015): eHealth projects Research and Innovation in the field of ICT for Health and Wellbeing: an overview. Digital Agenda for Europe.

PA Consulting Group (2015): Security for industrial control systems – Manage third party risks – A good practice guide 12/5/2015. CNPI – Centre for the Protection of National Infrastructure; CESG – Communications – Electronics Security Group UK.

Paul Cichonski, Tom Millar, Tim- Grance, Karen Scarfone (2012): Computer Security Incident Handling Guide. National Institute of Standards and Technology – NIST.

A cura di: GIAMPAOLO FRANCO, Azienda Provinciale per i Servizi Sanitari di Trento

Condividi sui Social Network:

Articoli simili