In questi giorni l’attenzione nazionale ed internazionale ruota intorno all’entrata in vigore del nuovo Regolamento (UE) 2016/679 (GDPR), che, come è noto, innova il quadro normativo europeo in materia di protezione dei dati personali[1], imponendo alle imprese e alle pubbliche amministrazioni di adottare misure tecniche ed organizzative finalizzate ad un trattamento legittimo, sicuro e trasparente dei dati personali. L’obiettivo è quello di garantire che lo sfruttamento delle informazioni personali avvenga in maniera sempre lecita e non comporti una violazione della sfera di identità personale dei soggetti interessati ovvero limitazioni dei relativi diritti e libertà fondamentali.
La priorità della cybersecurity nelle società iperconnesse
Al di là della rilevanza degli obiettivi perseguiti dalla nuova normativa europea, tuttavia, il sempre più esteso utilizzo delle Information and Communication Technologies nell’ambito dell’erogazione di servizi di grande interesse per la collettività impone una riflessione che vada oltre il semplice trattamento dei dati personali e che si soffermi sull’articolato e sempre più complesso problema della sicurezza delle tecnologie connesse. Questo alla luce della convinzione che nelle moderne società iperconnesse la cybersecurity rappresenti una assoluta priorità e richieda soluzioni efficienti dinanzi a sfide e profili di criticità sempre più insidiosi che, se non affrontati in maniera tempestiva, possono comportare rischi ulteriori e, in alcuni casi ben più gravi, di quelli derivanti da un non corretto utilizzo delle informazioni di carattere personale.
Attacchi informatici in ambito sanitario
Si fa riferimento in particolare ai casi di attacchi informatici nei confronti dei dispositivi medici attivi impiegati in ambito sanitario per la cura dei pazienti. L’ambito sanitario rappresenta, infatti, un settore estremamente dinamico in termini di metodologie e di tecniche adottate, ma al contempo si mostra estremamente delicato e vulnerabile, in quanto l’impiego sempre più diffuso delle nuove tecnologie in tale contesto viene ad intrecciarsi inevitabilmente con la delicatezza e la rilevanza dei servizi erogati e dei dati trattati. Tale peculiare struttura comporta di conseguenza la presenza di una molteplicità di “security-induced safety cases” in virtù dei quali casi di breach della sicurezza possono comportare conseguenze rilevanti in termini di efficacia dei trattamenti o addirittura condurre a situazioni di rischio per la vita degli ammalati.
Un esempio concreto: oncologia e cyber security
Un esempio concreto di tale complesso panorama della cyber security in Sanità può essere ricavato dall’analisi di un tipico workflow di un trattamento radioterapeutico di un paziente oncologico. In tale contesto, il processo lavorativo si compone di una serie di azioni interdipendenti che si basano sull’utilizzo di sofisticate tecnologie informatiche.
La sequenza, infatti, ha inizio con l’acquisizione dei dati del paziente (memorizzati nelle cartelle cliniche) e termina con l’esecuzione del trattamento (che comporta il controllo diretto da parte di sistemi informatici di dispositivi medici attivi). Nel mezzo si succedono una serie di fasi digitalizzate e coordinate mediante un sistema di memorizzazione e di verifica (cosiddetto“record and verify system”).
Più in particolare, tali step consistono:
- nell’acquisizione di immagini della sezione del corpo coinvolta dalla malattia mediante tomografia computerizzata (simulazione CT);
- nel trasferimento delle immagini acquisite al dispositivo di countouring;
- nella determinazione della parte interessata (target) e di quelle che invece non devono essere trattate (organi critici);
- nella prescrizione del trattamento da parte del radioterapista oncologo;
- nel trasferimento di tale prescrizione ad un sistema di pianificazione del trattamento;
- nell’attività di pianificazione da parte di un esperto fisico;
- nell’approvazione del piano di azione da parte di tale esperto;
- nell’approvazione del piano di azione da parte del radioterapista oncologo;
- nel trasferimento del piano di azione alla consolle della macchina preposta al trattamento;
- nell’impostazione e nella verifica del trattamento con il paziente;
- nell’approvazione del radioterapista oncologo;
- nell’inizio della radioterapia.
Cyber security in Sanità, ecco i principali pericoli e le sfide per l’Italia
Smart hospital e robot
I cosiddetti smart hospitals, inoltre, in presenza di pazienti che possono beneficiare dei trattamenti di chemioterapia, sono spesso dotati anche di bracci robotici in grado di gestire autonomamente e direttamente la fase preparatoria della cura a partire dai piani di lavoro inviati alle macchine. In particolare, questi dispositivi sono in grado di pesare principi attivi e le soluzioni, realizzare farmaci in polvere, dosare i componenti mediante un braccio meccanico robotizzato e attuatori dedicati, montare siringhe, sacchetti, dispositivi di infusione, scaricare i materiali necessari ai tecnici garantendone la non contaminazione.
Strumenti tecnologici estremamente efficienti
E’ evidente che l’adozione di tali sistemi apporti notevoli vantaggi per i pazienti, che hanno la possibilità di usufruire di strumenti tecnologici estremamente efficienti, che garantiscono loro una maggiore speditezza e sicurezza dei trattamenti ai quali sono sottoposti. Si pensi ad esempio all’adozione di sistemi di etichettatura basati su codici a barre per consentire la totale rintracciabilità dei medicinali utilizzati ovvero alla presenza di camere autosufficienti ISO 5 (conformi alla norma ISO 14644) che garantiscono altissimi livelli di igiene. Lo stesso personale sanitario, grazie all’impiego di tali tecnologie, riceve una maggiore protezione da esposizioni rischiose o accidentali grazie alla drastica riduzione dei momenti di interazione con farmaci ad alto rischio.
Le conseguenze di un cyber attacco ai dispositivi medici
Al di là degli inevitabili vantaggi per i soggetti coinvolti, l’utilizzo di dispositivi medici che operano e comunicano in maniera continuativa mediante la rete rende, tuttavia, il sistema inevitabilmente esposto ad attacchi cyber che in alcuni casi possono rilevarsi estremamente gravi non solo per la struttura sanitaria, ma per gli stessi pazienti sottoposti al trattamento. La vulnerabilità di tali sistemi infatti risiede non solo nella interoperabilità dei dispositivi che scambiano informazioni in tempo reale, ma anche e soprattutto nella loro stretta interdipendenza. Ne consegue che la violazione di un singolo dispositivo non si traduce mai o quasi mai in un evento isolato, ma si inserisce quasi inevitabilmente nel workflow del trattamento arrivando, in molti casi, ad inibirne l’intero funzionamento o ad inficiare la correttezza del risultato finale.
Basti pensare al caso di un atto cyber in grado di arrestare il funzionamento di uno strumento dedicato all’invio del piano di azione validato dal radioterapista oncologico alla macchina preposta al trattamento. La mancata trasmissione di tale comando può causare la paralisi del trattamento, con un evidente impatto sulla salute del malato ed addirittura la possibilità, nei casi più gravi, di decesso del paziente.
Sistemi di autenticazione deboli
Alle problematiche connesse alla connettività dei dispositivi medici attivi si aggiunge, poi, la diffusa presenza di sistemi di autenticazione deboli, basati cioè sull’utilizzo da parte del personale medico di username e password facilmente violabili.
Questo comporta ulteriori criticità in quanto la violazione dei sistemi di accesso può impattare sulla disponibilità, integrità e tutela delle informazioni trattate. In particolare, la peculiare vulnerabilità dei sensori wireless può determinare non solo fenomeni di violazione della privacy dei pazienti, ma avere conseguenze ancora più dannose in termini di: produzione di falsi allarmi; offuscamento di casi di emergenza reali; modifica dei dati utilizzati con il fine doloso di ridurre l’efficacia del trattamento.
A rischio la sopravvivenza dei pazienti
In un panorama così complesso ed estremamente rilevante per i pazienti che si affidano alle cure di tali strutture è evidente che la protezione dei dispositivi medici connessi da attacchi cyber rappresenta una assoluta priorità e non un semplice corollario della tutela dei dati personali. Ad essere messa a rischio, infatti, non è semplicemente la sfera della privacy del paziente, ma in alcuni casi la sua stessa sopravvivenza.
Sicurezza degli smart hospital priorità Ue
L’importanza di tale tema è stato evidenziato negli ultimi anni anche a livello sovranazionale da parte della Commissione Europea, che ha posto l’accento proprio sulla assoluta urgenza di intervenire sulla sicurezza degli ospedali “smart”, considerati ormai infrastrutture critiche nelle moderne società digitali. In particolare, con la recente call H2020 – SU-TDS 02– 2018[2] la Commissione ha individuato come obiettivi fondamentali, alla base di una efficiente ed equilibrata evoluzione del settore sanitario in ambito digitale, lo sviluppo di metodi e di strumenti alternativi nonché di best practices che siano in grado di indentificare gli elementi di vulnerabilità dei processi sanitari digitalizzati e di prevenire e fronteggiare efficacemente i rischi di sicurezza ad essi connessi. Inoltre, è stata evidenziata l’assoluta rilevanza della creazione di partnership tra ospedali, health care centers ed industrie del settore al fine di individuare soluzioni tecniche condivise che siano in grado di rispondere in maniera dinamica ed efficiente alle sempre più insidiose sfide determinate dall’utilizzo delle tecnologie connesse in ambito sanitario.
________________________________________
- Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) ↑
- Call H2020 SU-TDS 02– 2018 _TOPIC : Toolkit for assessing and reducing cyber risks in hospitals and care centres to protect privacy/data/infrastructure, 27 ottobre 2018.http://ec.europa.eu/research/participants/portal/desktop/en/opportunities/h2020/topics/su-tds-02-2018.html ↑
