Aiutare le grandi strutture sanitarie (pubbliche o private) a effettuare un percorso finalizzato a ridurre i rischi per i dati personali è un mestiere difficile. Di solito esiste un committment forte da parte del vertice aziendale che, tuttavia, si infrange, spesso, su uno scoglio che è abbastanza noto in letteratura (illuminante il saggio di Koppel, Smith,Blythe, Kothari)[1] e che suona, più o meno, così “You want my password or a dead patient?”.
Infatti il punto di vista dei clinici, cioè dei professionisti (medici e non) che si occupano della salute dei pazienti, è che loro trattano dati, appunto, clinici e non si preoccupano del fatto che i dati clinici sono dati personali (secondo il GDPR, appartenenti alle particolari categorie di dati personali) e che, pertanto, devono essere tutelati. Il loro obiettivo è migliorare la salute del paziente: costi quel che costi. Le regole di sicurezza informatica e di protezione dei dati personali sembrano assurde, inutili e faticose da applicare.
Inoltre, un’ulteriore fatica è quella di far percepire loro che, ormai, in (quasi) tutti i dispositivi medici che funzionino con l’aiuto dell’elettricità ci sono dati personali e che, quindi, è necessario applicare alcune misure di sicurezza: che sia il saturimetro oppure l’acceleratore lineare, ognuno, nel suo “piccolo” o “grande”, contiene un minimo dispositivo “interno” (la sua memoria) che trattiene dati riguardanti la salute del paziente.
E molta memoria c’è negli strumenti di comunicazione che i clinici, sempre in buona fede e sempre per convergere verso la buona salute del paziente, utilizzano disinvoltamente scambiandosi immagini radiologiche su Whatsapp oppure inviando email con esami clinici senza curarsi se li mandano dalla propria casella ad uso personale (tipicamente poco protetta) o da quella istituzionale fornita dall’organizzazione (che si suppone sia stata costruita più professionalmente e, quindi, meno vulnerabile).
“Dottore, stia attento…” è l’esortazione più frequente. Ma pochi ci credono.
Consapevole delle enormi difficoltà che, spesso, si incontrano nel settore sanitario quando si parla di cybersecurity o privacy, l’European Union Agency for Cybersecurity[2] (ENISA) ha voluto cominciare a sciogliere la matassa cominciando dalla fase cruciale per tutta la filiera della cura ed assistenza clinica: l’approvvigionamento di prodotti e servizi di una struttura sanitaria. Ha, quindi, pubblicato le “Procurement Guidelines for Cybersecurity in Hospitals”[3] (le Linee Guida per la Sicurezza Informatica nell’Approvvigionamento degli Ospedali) che offrono utili consigli per l’acquisizione di beni e servizi che, già in partenza, dovrebbero poter ridurre al minimo i rischi informatici e sui dati personali.
Il documento parte da alcuni dati significativi:
Questi due elementi, se vogliamo apparentemente banali, fanno scorgere, con una certa immediatezza, la punta dell’iceberg delle vulnerabilità che possono essere presenti nei sistemi informativi ospedalieri (HIS).
Anche il Garante per la Protezione dei Dati Personali ha sentito la necessità, conformemente a quanto prevede l’art. 57 par. 1 lettera d) (“promuove la consapevolezza dei titolari del trattamento e dei responsabili del trattamento riguardo agli obblighi imposti loro dal presente regolamento”), di incidere sulla corretta acquisizione dei dispositivi medici annunciando una collaborazione con CONSIP per inserire idonee misure a tutela dei dati trattati, come ad esempio l’impossibilità per il fornitore, che esegue un’attività di manutenzione a distanza dell’apparecchio, di accedere direttamente ai dati anagrafici dei pazienti presenti nelle immagini diagnostiche[iv]. Il Garante è stato mosso dalla approfondita conoscenza di casi in cui i manutentori hanno approfittato della propria posizione privilegiata ed hanno utilizzato illecitamente dei dati personali presenti nei dispositivi medici[v].
L’ENISA, nel sollecitare la sensibilizzazione delle strutture ospedaliere, definisce le fasi standard del ciclo dell’approvvigionamento: pianificazione, acquisizione ed esercizio e gestione. In ciascuna di queste fasi è necessario assumere specifici comportamenti finalizzati a garantire la sicurezza delle informazioni oltre che la tutela dei dati personali.
Tuttavia, l’ENISA suggerisce comportamenti comuni a ciascuna fase che, spesso, vengono trascurati:
I consigli dell’ENISA, per chi si occupa professionalmente di questa materia, sembrano ovvi e quasi banali. Esistono, tuttavia, due ostacoli che si presentano spesso nelle strutture sanitarie:
È molto importante, dunque, cercare di coinvolgere i clinici, anche con l’aiuto degli ingegneri clinici, in un assessment a raggio più ampio degli aspetti tipicamente diagnostici o terapeutici: sfida difficile, ma non impossibile.
[1] https://pdfs.semanticscholar.org/c74b/d5c43fcb11094dee5ce616d8df61ebce14dd.pdf?_ga=2.267335054.1452898703.1582882795-1984855386.1582882795
[2] https://www.enisa.europa.eu/
[3] https://www.enisa.europa.eu/publications/good-practices-for-the-security-of-healthcare-services/at_download/fullReport
[4] https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9283047#2
[5] https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9144941#3
Articolo a cura di Francesco Maldera
Da qualche tempo il mondo della sicurezza informatica ha subito una trasformazione significativa. Il cambiamento,…
I modelli di Intelligenza Artificiale (AI) stanno assumendo molto velocemente un grande ruolo nella vita…
Si avvicina la data del Forum Cyber 4.0, che il 3 e 4 Giugno 2024 riunirà a…
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…