Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Direttore responsabile Alessandro Longo

lo studio

In tre ospedali su quattro i pazienti sono alla mercé dei crash informatici

di Paolo Colli Franzone, Osservatorio Netics

05 Feb 2015

5 febbraio 2015

E se andasse in crash l’infrastruttura IT di un ospedale italiano? Sperando ovviamente che non succeda. Ma se succedesse? Sarebbe un disastro per i pazienti perché la business continuity in sanità è solo una bella parola scritta nelle norme. Da Netics, in anteprima, i dati di una survey su 65 aziende sanitarie e ospedaliere. La soluzione? Il cloud. Gli ospedali cominciano a valutarla

Il tema della continuità operativa, intesa come capacità di un’organizzazione di continuare la gestione del proprio core business anche a fronte di eventi avversi (di origine naturale o delittuosa), è di rilevanza assolutamente strategica anche (se non “soprattutto”) per quanto riguarda la pubblica amministrazione e la sanità.
Risulta sufficientemente agghiacciante pensare a un crash di sistema in un ospedale: prenotazioni, schedulazioni di interventi chirurgici, richieste e ritorni di referti, tutto in panne mentre centinaia di pazienti attendono invano e altrettante centinaia di medici e infermieri rimangono basiti a guardare monitor spenti o balbuzienti.

Il Codice dell’Amministrazione Digitlae, vigente anche in ambito sanitario perlomeno per quanto attiene alle strutture gestite direttamente dal Servizio Sanitario Nazionale, prevede all’art. 50-bis l’obbligatorietà di adozione di piani di business continuity e disaster recovery con tanto di piano dettagliato di fattibilità e rilascio di un parere da parte dell’AgID.
L’obiettivo “minimo” è rappresentato dall’adozione di soluzioni capaci di assicurare la continuità delleoperazioni indispensabili per il servizio e il ritorno alla normale operatività. Sino ad arrivare al livello “top”, dove il sistema riparte istantaneamente anche a fronte di eventi avversi di straordinaria gravità essendo replicato “altrove” in tutta la sua consistenza e complessità.

Ma come sono messe le Aziende Sanitarie e Ospedaliere italiane rispetto al problema?
L’Osservatorio Netics ha effettuato una survey su un campione di 65 ASL e AO pubbliche, chiedendo ai CIO di rispondere a una serie di domande finalizzate a comprendere lo stato dell’arte.
28 di queste Aziende sono state intervistate tra il mese di maggio e quello di settembre 2014 nell’ambito della rilevazione annuale eseguita per conto di AISIS, l’associazione dei CIO della Sanità; ulteriori 37 Aziende sono state intervistate telefonicamente tra ottobre e novembre 2014.
I risultati non sono entusiasmanti, anche se va detto che si è rilevato un significativo progresso rispetto ad una rilevazione analoga effettuata nel 2013.

Partiamo dalle buone notizie: il 75,3% degli intervistati dichiara di aver predisposto un piano di business continuity con relativo studio di fattibilità, sottoposto a richiesta di parere da parte di AgID nel 57% dei casi.
Nel 50,7% dei casi, le ASL e AO hanno attivato soluzioni di disaster recovery. Prevale (di pochissimo) la scelta di dislocare l’infrastruttura di disaster recovery in una sede diversa da quella che ospita il data center principale; la distanza media  fra data center principale e disaster recovery è di circa 12 chilometri.
Soltanto un quarto delle Aziende dotate di un’infrastruttura di disaster recovery ha adottato soluzioni di replica sincrona, garantendo quindi un RPO (recovery point objective) praticamente tendente a zero.
Come prevedibile, le Aziende maggiormente fault tolerant sono quelle (ospedaliere) di maggiori dimensioni (più di 1.000 posti letto), localizzate al Nord.

Volendo sintetizzare e semplificare: tre ospedali su quattro non sono in grado di garantire una ripartenza immediata nel caso di eventi avversi di particolare gravità. Uno su quattro non può fare altro che affidarsi all’ultimo backup effettuato, una volta ripristinata l’infrastruttura hardware.
Una buona metà delle strutture è in grado, nella migliore delle ipotesi, di ripartire nel giro di qualche giorno “se tutto va bene”.
Le ragioni di questa situazione risiedono abbondantemente, secondo le risposte degli intervistati, nella ormai cronica mancanza di fondi da destinare a investimenti: i CIO “si arrendono” di fronte all’impossibilità di adottare soluzioni di disaster recovery a replica sincrona verso sedi geograficamente “suficientemente distanti” dal data center.
Non è un caso se la stragrande maggioranza (quasi l’80%) di questi CIO si dichiara fortemente interessata a valutare, già nel corso del 2015, soluzioni di IaaS capaci di garantire fault tolerance a “investimento zero” e pienamente conformi alle norme e alle indicazioni del Garante per la protezione dei dati personali.
Interessante anche la discreta disponibilità, dichiarata da una buona decina di CIO intervistati, rispetto a ipotesi di consolidamento “associativo”: più aziende sanitarie e/o ospedaliere che “mettono insieme” i loro data center creando una infrastruttura consolidata di dimensioni sufficienti a garantire maggiore economicità e un significativo incremento di prestazioni e di sicurezza e fault tolerance.

Cloud e cooperazione, in estrema sintesi: queste le parole chiave a partire dalle quali all’offerta non resta che bussare alla porta e alla domanda non resta che crederci sino in fondo.
 

  • Alessandro

    Come diceva il buon Moretti, le parole sono importanti, ed io mi vorrei un attimo soffermare cosa vuol dire “cloud”, è cioè “data center che sta da qualche parte anziché a casa mia, probabilmente condiviso con altri per abbassare i costi di mantenimento”.

    Le buone intenzioni ci sono tutte, vogliamo più efficienza, spendere meno, sicurezza dei dati e, cosa non da poco delegare ad altri le “rogne”, perché alla fine di questo parliamo e cioè del trasferimento del rischio: non posso accettarlo? lo trasferisco e lo faccio con assicurazioni ed altre cose, come il “cloud”, che vuol dire, ripeto ancora, “non sono in grado di gestire in maniera sicura ad un costo adeguato i miei dati e quindi lo faccio fare ad altri”.

    Rimangono a me che sono un avvocato del diavolo, alcuni dubbi:
    1) Quanto pago il “cloud”, o meglio, quanto pago l’infrastruttura di qualcun altro che fa il lavoro a posto mio?
    2) Come mi collego al “cloud”? o meglio, quanto pago un collegamento performante e ridondato all’infrastruttura di qualcun altro? e cosa succede se tale collegamento mi abbandona?
    3) Esistono o esisteranno procedure e controlli per garantirmi che i dati sanitari, una volta centralizzati con altre strutture, non siano appetibili a qualcuno, ad esempio alle assicurazioni, e venduti o attaccati maggiormente di quanto lo siano adesso? (cosa che si ripropone per ANPR tra l’altro).

    La domanda finale che pongo è questo: qualcuno ha verificato se con il “cloud” un ente sanitario o qualsiasi altro ente, risparmierebbe ed avrebbe più efficienza e sicurezza? Qualcuno ha fatto uno studio di questo tipo? E di alternative non ne esistono, ad esempio, come si dice nell’articolo, associare più enti in modo da fare alcune cose in comune meglio e risparmiando?

    Concludo con una provocazione: non è che continuando sulla strada “soggetti terzi specializzati lo fanno meglio” finisce che possiamo dare un “cloud” non solo i data center ma parte o addirittura tutta la sanità? Perché fare le analisi del sangue in ospedale quando la struttura convenzionata qua vicino è più pulita, meno code e scarico le analisi dal web? che abbiamo già messo in “cloud”?

  • rafbern

    Il problema degli ospedali ha diversi aspetti ed impostazioni operative. L’ Ospedale, ai fini della sua efficienza, dev’essere valutato nell’intera organizzazione e non soltanto soffermarsi sui “crash informatici”…Nell’organizzazione ospedaliera tutto dev’essere monitorizzato e resto efficiente ai fini della sicurezza dei pazienti e di un’assistenza efficace. In molti ospedali esiste il drammatico problema del funzionamento dei DEA, dei servizi di continuità tra ospedale e territorio, una digitalizzazione ancora incompleta e differenziata tra regione e regione. L’assistenza ospedaliera necessità di rivisitazione, di innovazioni, di ristrutturazioni organizzative ed operative. E che dire del problema delle infezioni ospedaliere ? Mi fermo qui…

Articoli correlati