Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Direttore responsabile Alessandro Longo

cybersecurity

Sicurezza in Sanità, le policy che mancano in Italia

di Sergio Pillon, Coordinatore della Commissione Tecnica Paritetica per lo sviluppo della telemedicina Nazionale - ‎Ministero della Salute, Conferenza Stato regioni

12 Set 2016

12 settembre 2016

E’ ora di prendere seriamente in considerazione il tema, con policy forti, a livello centrale, l’aiuto degli esperti tecnici, senza delegare alle regioni o ai tecnici competenze che non hanno. Gli inglesi e gli americani hanno indicato una strada, a noi recepire il meglio, affinarlo ed adattarlo, per il bene di tutti, degli operatori del settore e dei cittadini

I dispositivi medici intelligenti e realtà aumentata sono le innovazioni digitali, tra tutte le piu’ recenti, che hanno il maggior bisogno di migliorare la security, secondo i ricercatori della Carnegie Mellon.

Nel rapporto del  CERT / CC della Carnegie Mellon USA dell’aprile 2016, intitolato Emerging Technology Domain Risk Survey il capitolo 7.2 recita:

7.2 raccomandazione
A causa dell’impatto di dispositivi medici intelligenti sulle vite umane , il CERT / CC raccomanda una priorità di sensibilizzazione per questo dominio nel 2016. La struttura normativa di questo dominio ha dimostrato che la Industrial Control Systems Cyber Emergency Response Team (ICS-CERT)  e la FDA saranno i leader per la promozione di buone pratiche di sicurezza in questo settore. Inoltre  il National Health Information Sharing and Analysis Center (NH-ISAC) ha iniziato a sviluppare le buone pratiche per migliorare la sicurezza dei dispositivi medici.

Il patto per la sanità digitale è stato approvato dalla conferenza Stato Regioni e si avvierà una cabina di regia con il compito di introdurre l’innovazione digitale nel sistema sanitario. Per chi come me vive la realtà quotidiana della Digital Health uno dei primi pensieri è stato “e adesso”? Il mondo che io vedo è fatto da sistemi ospedalieri dove un direttore di struttura deve ricordarsi almeno 10 password differenti, che cambiano ogni tre mesi, senza sigle sign-on per mille attività, che è spesso costretto a delegare, con conseguente distribuzione della password al personale, medici di famiglia che trasferiscono il flusso delle ricette  “cosiddette” elettroniche ogni sera, su linee pubbliche con procedure batch, a volte non criptate, con file che contengono anche username e password del medico, l’accesso con semplice codice fiscale e password a tutto il sistema della certificazione di invalidità e di malattia, analogo accesso al sistema della prescrizione on line, dispositivi di wellness utilizzati come fossero dispositivi medici ed inseriti in percorsi di diagnosi e cura, telemonitoraggi fatti con dati che viaggiano in chiaro… Una fiction passata recentemente sui canali a pagamento “Mr Robot” realizzata , a dire degli autori con il contributo di Anonymous, (ha suscitato pensanti critiche da parte degli esperti di sicurezza per la eccessiva spettacolarizzazione del tema,a mio pare necessaria per lasciare un segno), mostra un giovane hacker che promette alla psicologa che lo segue che smetterà di drogarsi e che farà un test con cadenza periodica per mostrarle la sua determinazione. Poi si “leggono” i suoi pensieri: i sistemi ospedalieri della sua assicurazione sanitaria sono basati di versioni obsolete e non piu’ supportate da Microsoft, team di tecnici inadeguati per competenza e per numero, guidati da un management totalmente ignaro dei problemi. E nei suoi pensieri il referto da positivo per oppioidi diventa negativo.

Sinceramente non mi sento di escludere che questa sia una realtà possibile nel nostro SSN, purtroppo mi sembra una realtà probabile. Su un altro versante oggi abbiamo migliaia inutili e pericolosissime APP che promettono di controllare la pressione, lo scompenso cardiaco, l’asma, il diabete. Alcune di queste riportano il termine Prank, che vuol dire scherzo ma in realtà quasi nessuno di quelle che le scaricano lo capisce e si legge dai commenti che lasciano sugli store. Abbiamo addosso sensori approssimativi che calcolano attività e calorie, il mio smartwatch mi fa fare 10.000 passi al giorno se con lo scooter passo in zona piazza Venezia a Roma, in mezzo al pave’.

Una giungla di approssimazione che non tiene conto delle basi capisaldo dell’atto sanitario (non dell’atto sanitario digitale ma di quello medico erogato anche attraverso l’ICT): Safety, Security, Resilience e Trust, che sono da sempre elementi chiave della professione sanitaria. Per chiarirci, Safety (evitare di fare danno per errore) per il medico/infermiere richiede apparati certificati, medici competenti, locali idonei, modelli organizzativi collaudati ecc. Security (evitare di fare danno perché un malintenzionato ha usato maliziosamente il sistema) richiede apparati protetti da manipolazioni intenzionali, luoghi accessibili solo a chi e’ autorizzato, cartelle accessibili solo agli aventi diritto, metronotte che sorvegliano o studio, telecamere alla porta ed in sala di attesa per evitare rapinatori e tossicodipenenti interessati ai farmaci ed ai ricettari/timbri ecc.

Resilience (funzionare anche in presenza di guasti ) richiede apparecchiature e presidi di scorta,manutenzione entro poche ore h24, medici che sostituiscono il collega in caso di malattia, backup sicuro dei dati clinici ecc.

Trust (affidabilità e qualità della prestazione) richiede competenze professionali ed aggiornamento costante, referenze certificate, aggiornamenti e pubblicazioni scientifiche. La privacy a mio parere è solo il risultato della messa in atto del precedente e dell’obbligo legale e deontologico di segreto professionale). Aggiungere il digitale a questi processi è ormai attuale e richiede un ripensamento delle regole, non caso per caso, non generico, ma su forte indicazione centrale. Gli inglesi hanno una autority specifica, Dame Fiona Caldicott, National Data Guardian for Health and Care,  che ha recentemente pubblicato un report  “Raccomandazioni per rafforzare la sicurezza delle informazioni sulla salute e sulle cure e per garantire che le persone possano fare scelte informate su come vengono utilizzati i propri dati” , Review of Data Security, Consent and Opt-Outs-

Il rapporto in estrema sintesi indica tre obblighi per le organizzazione sanitarie, poi declinati nel dettaglio

1)    il personale : garantire che il personale sia capace e competente a gestire le informazioni con rispetto e sicurezza , secondo i Caldicott Principles.

2)    i processi: garantire che l’organizzazione in modo proattivo sia in grado diu impedire violazioni della sicurezza dei dati e sappia rispoendere in modo appropriato ad incidenti accaduti o appena sfiorati

3)    la tecnologia: garantire che la tecnologia sia sicura e up- to-date

inoltre almeno  per le grandi organizzazioni, devono essere complianti con gli standard principali, come ad esempio la serie 27000 ISO / IEC, gli standard della ISF  di buona pratica per la sicurezza delle informazioni e gli standard IASME

il documento completo puo’ essere scaricato qui.

Dobbiamo, noi “sanitari”, prenderci la governance dell’atto medico digitale ed utilizzare le nostre competenze per guidare l’atto di cura o il PDTA come abbiamo sempre fatto, anche attraverso strumenti digitali, con la massima tutela del medico e del paziente. Non è una specificità del digitale, safety,security,resilience e trust sono la BASE dell’atto medico. E’ ora di prendere seriamente in considerazione il tema, con policy forti, a livello centrale, l’aiuto degli esperti tecnici, senza delegare alle regioni o ai tecnici competenze che non hanno. Gli inglesi e gli americani hanno indicato una strada, a noi recepire il meglio, affinarlo ed adattarlo, per il bene di tutti, degli operatori del settore e dei cittadini

 

 

Articoli correlati