wannacry e oltre

Cybersecurity e Sanità: le regole in Usa, Ue e Italia (e perché armonizzarle)

Le aziende di dispositivi medici progettano, costruiscono e vendono a livello globale e, quindi, la sicurezza, l’integrità, il contenimento delle vulnerabilità, le regole di divulgazione e le migliori pratiche devono avere un respiro globale

15 Mag 2017
cyber sanità_512459680

La gravità delle conseguenze che si possono verificare nell’ambito sanitario in caso di mancato rispetto delle adeguate misure di sicurezza contro cyber-attacchi sono sotto gli occhi di tutti, anche per il notevole risalto mediatico che è stato dato recentemente, portando all’attenzione del grande pubblico alcuni episodi di ransomware o di altri cyber-incidenti verificatisi in strutture sanitarie di mezzo mondo.

Eppure, il tema della cyber-sicurezza nella sanità dovrebbe essere tenuto nella dovuta considerazione più che in altri, se sol si considera che le possibili ripercussioni sono incalcolabili e che il rischio clinico è già una problematica da non sottovalutare nel mondo analogico, figurarsi in quello digitale, sempre più presente, connesso e pervasivo.

Secondo il Data Breach Investigation Report 2017 di Verizon (leader mondiale di soluzioni innovative per le tecnologie e la comunicazione), nel settore Healthcare, si sarebbero verificati 458 incidenti, dei quali 296 con rivelazione confermata di dati.

Tali incidenti si sarebbero verificati principalmente attraverso 3 modalità: cattivo uso dei privilegi, errori vari e furto/perdita dei dati (che da soli rappresenterebbero l’80% dei data breach in sanità) e sarebbero stati perpetrati per il 32% da soggetti esterni, per il 68% da interni e per il 6% da partner, tutti soggetti guidati da motivazioni economico-finanziarie per il 64%, ludiche per il 23% e di vendetta per il 7%.

I dati compromessi avrebbero riguardato per il 69% l’ambito medico, per il 33% quello personale e per il 4% i pagamenti.

Del resto i dispositivi medici, come tutti gli altri sistemi informatici, sono notoriamente vulnerabili rispetto a violazioni di sicurezza, e sono potenzialmente in grado di influenzare la sicurezza e l’efficacia del dispositivo tanto da arrivare a mettere a repentaglio la salute, se non addirittura la vita, delle persone.

Queste vulnerabilità aumentano e continuano ad aumentare da quando i dispositivi medici utilizzati sono sempre più connessi a Internet, alle reti ospedaliere e ad altri dispositivi medici.

È innegabile, ovviamente, che tutti i dispositivi medici comportano una certa quantità di rischio, ma quelli connessi in rete, quasi sempre wireless, ne comportano una decisamente maggiore.

D’altronde, in ambito sanitario, la sicurezza non verte solo sul tema della sicurezza dei dati e delle informazioni personali, intesa sia come disponibilità, sia come integrità sia come confidenzialità, ma anche e più ampiamente, sul tema della tutela della salute dell’utente-paziente, che sicuramente desta più preoccupazione (ipotesi, tuttavia, che spesso si intreccia con la precedente), tanto da essere stato oggetto di un recentissimo intervento normativo interno ad opera della L. n. 24 del 8 marzo 2017, recante “Disposizioni in materia di  sicurezza  delle  cure  e  della  persona assistita, nonché in materia di responsabilità professionale  degli esercenti le professioni sanitarie”.

Ora, fermo restando che, come è noto, la sicurezza informatica “assoluta” non esiste, vediamo come vengono affrontate le diverse realtà.

Dando uno sguardo oltre oceano, la Food and Drug Administration americana (FDA) consente ai dispositivi medici di essere commercializzati quando esiste una ragionevole garanzia che i benefici per i pazienti superino i rischi, con la consapevolezza che tali funzionalità migliorano la sanità e aumentano la capacità dei fornitori di assistenza sanitaria di trattare i pazienti, anche se l’aumento dell’uso della tecnologia (soprattutto wireless) determina un aumento dei rischi di minacce in materia di cyber-security.

È necessario, infatti, equilibrare la protezione della sicurezza del paziente e promuovere lo sviluppo di tecnologie innovative e migliori prestazioni del dispositivo, affrontando le minacce della sicurezza in rete e riducendo i rischi per la stessa.

E poiché le cyber-minacce alla sicurezza non possono essere completamente eliminate, i produttori di dispositivi, gli ospedali, le strutture sanitarie e gli altri operatori coinvolti devono lavorare e collaborare per gestirli, specie in considerazione del fatto che l’anello debole della catena è quasi sempre il fattore umano ed in particolare il dipendente “infedele” o “inconsapevole”.

Negli ultimi giorni dello scorso anno (dicembre 2016), la FDA ha pubblicato la sua ultima guida sulla sicurezza informatica dei dispositivi medici dopo la messa in commercio (postmarket).

La guida segue e integra quella pubblicata in precedenza su questioni in materia di cyber-security prima della messa in commercio (premarket); entrambe le parti, pre e post, devono essere lette e considerate unitariamente.

In entrambi i casi, la FDA definisce un approccio completo e un ciclo di vita per la gestione del rischio informatico. In base a questa guida, la FDA chiede alle aziende di operare in modo strutturato per pensare e agire su problemi di prodotto, hardware, software e rete, in modo che il rischio sia controllato e minimizzato.

Tra gli strumenti utilizzati più a rischio non si possono non menzionare le raccolte dei dati personali e medici (sotto forma di fascicoli sanitari, dossier sanitari o cartelle cliniche), l’uso di dispositivi Mobile, in particolar modo il cosiddetto BYOD (Bring Your Own Device) e l’IoT (Internet of Thing).

Sul versante Europeo, la Direttiva n. 1148/2016 (c.d. N.I.S., Network and Information System), ha posto le fondamenta per creare una cornice normativa tesa ad armonizzare le varie realtà interne in modo da affrontare in maniera uniforme la tematica delle reti e dei sistemi e servizi informativi che ormai svolgono un ruolo vitale nella società e che, pertanto, l’Europa riconosce come essenziale la loro affidabilità e sicurezza per le attività economiche e sociali, in particolare ai fini del corretto funzionamento del mercato interno.

La suddetta Direttiva, tra l’altro, individua gli Istituti sanitari (compresi ospedali e cliniche private), inserendoli nel Settore Sanitario al n. 5 della Tabella contenuta nell’allegato II, come “operatore di servizi essenziali”, che, ex art. 5, sono definiti in base ai criteri seguenti:

  1. a) soggetto che fornisce un servizio che è essenziale per il mantenimento di attività sociali e/o economiche fondamentali;
  2. b) fornitura di tale servizio dipendente dalla rete e dai sistemi informativi;
  3. c) incidente che avrebbe effetti negativi rilevanti sulla fornitura di tale servizio.

Sul versante interno, invece, la normativa in materia di cyber-sicurezza è stata recentemente aggiornata con il D.P.C.M. 17.02.2017 ed ulteriormente arricchita con la Circolare Agid 17 marzo 2017, n. 1/2017, contenente le misure minime di sicurezza ICT per le PP.AA., da implementare entro il 31 dicembre 2017, obbligatoriamente per tutte le pubbliche amministrazioni e, quindi, anche quelle della sanità.

La menzionata circolare definisce tre livelli di sicurezza, sulla base dei controlli che devono essere eseguiti per rispettare ciascun livello:

– “Minimo”, livello sotto il quale nessuna amministrazione può scendere, in quanto i controlli in essa indicati debbono ritenersi come obbligatori;

– “Standard”, inteso come base di riferimento nella maggior parte dei casi;

– “Alto”, inteso come un obiettivo a cui tendere.

Ovviamente, in ambito sanitario l’obiettivo non potrà che essere quello “Alto”.

Le varie misure di sicurezza vengono suddivise in otto classi di controlli da attuare e monitorare sulla base dei livelli da raggiungere.

Ricordiamo, infine, che tali misure si sommano e in alcune parti si sovrappongono a quelle previste nel Codice Privacy (all. B – Disciplinare tecnico) e che le “Linee guida in materia di Dossier sanitario” del 4 giugno 2015 emanate dal Garante Privacy contengono attualmente uno dei pochissimi casi in cui è obbligatorio notificare all’Autorità un eventuale ipotesi di data breach (normative di prossimo superamento ad opera del Reg. UE 679/16).

Nonostante quanto detto, ed è comprensibile, le aziende produttrici non sono propense spontaneamente a comunicare agli utenti, anche istituzionali, l’esistenza di una vulnerabilità finché non esiste una soluzione, poiché una vulnerabilità nota senza una correzione può facilmente (e spesso) essere sfruttata dagli attaccanti.

Un altro problema, infine, che continua ad essere molto importante, è che le regole globali devono essere armonizzate.

Le aziende di dispositivi medici progettano, costruiscono e vendono a livello globale e, quindi, la sicurezza, l’integrità, il contenimento delle vulnerabilità, le regole di divulgazione e le migliori pratiche devono avere un respiro globale.

Nel tempo, molto probabilmente, come la maggior parte delle questioni in materia di sicurezza, le varie linee guide rappresenteranno una sorta di perenne “lavoro in corso”, continuamente aggiornato e migliorato.

I soggetti coinvolti e le autorità di regolamentazione a livello globale dovrebbero, inoltre, iniziare ad occuparsi delle migliaia di casi specifici di utilizzo che consentiranno di creare una sorta di database distribuito e universale dal quale attingere le best practice e che, magari attraverso l’utilizzo di Intelligenze Artificiali, sia sempre più determinante nella continua cyber-lotta tra buoni e cattivi.

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati