STRATEGIE

Sanità digitale in cerca di security, ecco perché serve un piano mirato

Il settore ospedaliero è fra i più bersagliati dagli attacchi che mettono a rischio non solo l’efficienza dei processi ma anche la salute dei cittadini. E’ necessario che l’Italia adotti un Common Framework “su misura”: in grado di coniugare protezione della filiera ed erogazione delle cure

13 Nov 2019
Giacomo Assenza

Complex System & Security Lab Università CAMPUS Bio-Medico di Roma

Andrea Chiappetta

Ceo Aspisec

big data wearable- motore di ricerca sanità - farmacia digitale

La minaccia cyber contro la Sanità digitale è in continua crescita e causa danni economici e rallentamenti di sistema che rischiano di interferire con la sua capacità di erogare cure mediche in modo puntuale ed efficace. Sebbene sia il più bersagliato, il tessuto ospedaliero stenta ad implementare delle misure di cybersecurity adeguate che risultano costantemente in ritardo. Questo è in parte dovuto alla mancanza di linee guida specifiche di cybersecurity appositamente declinate per risultare adattabili nel settore ospedaliero. Approfondiamo il tema analizzando pro e contro delle strategie in campo.

Nonostante esistano cornici metodologiche e organizzative sia a livello nazionale che internazionale, nessuna di queste tiene in considerazione le peculiarità e necessità specifiche del settore in Italia. Questo articolo, dopo una breve profilazione della minaccia cyber che gli ospedali si trovano a dover fronteggiare, riporterà alcune esperienze di framework di cybersecurity. Infine, esprimerà la necessità di creare uno strumento guida appositamente customizzato per il settore sanitario evidenziando gli aspetti specifici che tale documento dovrà curare.

Gli ospedali e la crescente minaccia cyber

Il settore sanitario in generale, e il tessuto ospedaliero in particolare, hanno subito nel corso degli ultimi anni un numero sempre maggiore di attacchi cyber che hanno causato non solo pesanti perdite economiche e reputazionali, ma anche malfunzionamenti nell’intera filiera che sono sfociati in rallentamenti nell’erogazione di assistenza sanitaria.

INFOGRAFICA
Manufacturing verso l’Industry 5.0: sfrutta i vantaggi della monetizzazione dei dati!
Big Data
Digital Transformation

Ad oggi si stima che un singolo data breach può costare alla vittima fino a 7 milioni di dollari, e si calcola che il costo economico delle attività cyber contro la filiera sanitaria abbia superato la soglia dei 400 miliardi di dollari annui. Anche in Italia, stando all’ultimo rapporto del Clusit, gli attacchi informatici contro il settore sono aumentati del 99% tra il 2017 e il 2018, con il costo medio per incidente che aumenta del 7% ogni anno.

Anche per il settore ospedaliero, un attacco informatico può mirare a compromettere la confidenzialità del dato sanitario, andandone dunque a minare la riservatezza per trarre benefici dalla conoscenza dell’informazione, la sua disponibilità, andando ad impossibilitare i legittimi titolari ad accedere al dato, oppure la sua integrità, intesa come l’alterazione della correttezza ed esattezza dell’informazione sanitaria, con tutte le implicazioni che questo può avere sulla salute dei pazienti.

È da sottolineare che i dati medici costituiscono un target appetibile in virtù del loro valore intrinseco. Se varie entità statali e parastatali sono interessate a questo tipo di informazioni a fini di intelligence e counter-intelligence, come evidenziato dall’operazione ai danni dell’OPM (ufficio di gestione del personale degli Stati Uniti) venuta alla luce nel 2015, ad oggi la minaccia più diffusa si lega ad attività di cybercrime. Questo è dovuto agli ingenti profitti che si possono ricavare vendendo i dati sanitari al mercato nero. Per esempio, nel solo 2018 l’HIPAA (Health Insurance Portability and Accountability Act) ha registrato la sottrazione ed esposizione di 13.020.821 cartelle sanitarie, e se si pensa che una singola cartella è facilmente venduta nel deep web per circa 50 dollari, si può immaginare la vantaggiosità di attività criminali di questo tipo.

Security e Sanità digitale, i framework esistenti

La crescente minaccia contro il tessuto ospedaliero deriva anche da un netto ritardo del settore nell’implementazione di misure tecnico-organizzative di cybersecurity adeguate. L’NHS (National Health Service) inglese, per esempio, fu vittima nel 2017 di un ransomware ribattezzato in seguito WannaCry. WannaCry, sebbene non disegnato per colpire in via diretta il settore sanitario criptò i dati di molti istituti medici inglesi obbligando gli ospedali a cancellare circa 19.000 appuntamenti. Come si legge in un rapporto investigativo del NAO (National Audit Office), nessuno degli ospedali colpiti aveva aggiornato i propri software per risolvere una vulnerabilità di sistema scoperta da Microsoft a marzo 2017, nonostante le ripetute allerte da parte del NHS.

In questo scenario in rapida evoluzione, gli ospedali si trovano a dover trarre vantaggio delle nuove tecnologie con l’obbiettivo di massimizzare l’efficacia dell’erogazione di cure mediche, malgrado la crescente complessità e vulnerabilità. Tale sfida suggerisce l’opportunità di definire delle linee guida che possano semplificare il compito dei singoli soggetti nello stabilire livelli adeguati di protezione sia per costruire una sicurezza affidabile, che per rispettare la normativa vigente.

Negli Stati Uniti, per esempio, su iniziativa di aziende leader del settore sanitario che considerano la sicurezza delle informazioni come una componente fondamentale del proprio business è stata costituita a partire dal 2007 l’Health Information Trust Alliance (HITRUST), un’organizzazione che, in collaborazione con altri leader della sicurezza tecnologica e dell’informazione, ha creato e mantiene uno specifico Common Security Framework (CSF).

Lo scopo del consorzio e del documento è quello di costituire un insieme completo e certificabile di prescrizioni che può essere utilizzato da tutte le organizzazioni che creano, accedono, memorizzano o scambiano dati sensibili di carattere sanitario, e include un quadro comune di gestione dei rischi, una metodologia di valutazione, un indirizzo per aumentare la consapevolezza riguardo la sicurezza informatica, e una struttura di information sharing che consente a tutti i soggetti di trarre beneficio delle lesson learned dagli incidenti, e di scambiarsi informazioni relative a vulnerabilità, aggiornamenti di sistema e minacce.

Il framework HITRUST si pone come strumento flessibile in grado di poter essere adattato a realtà diverse per dimensione e grado tecnologico, con lo scopo generale di migliorare la sicurezza e resilienza del settore sanitario nel suo complesso.

Security, dal Nist il framework italiano

In Italia non si dispone di un simile documento incentrato sul settore sanitario, ma una risorsa a carattere generale che fornisce linee guida per proteggere gli asset digitali è il Framework Nazionale di Cyber Security, redatto nel 2015. Questo costituisce un adattamento del framework del NIST alla realtà economica italiana principalmente dominata dalle PMI. Il framework nazionale è uno strumento di supporto, non obbligatorio né vincolante, la cui adozione può aiutare le singole organizzazioni nel definire un percorso volto alla cybersecurity e alla protezione dei dati coerente con la normativa vigente, riducendo i costi necessari e aumentando l’efficacia delle misure realizzate.

Un elemento significativo del framework nazionale è la sua flessibilità applicativa che lo rende adattabile a realtà di varia natura assecondando le singole opportunità e necessità. Il documento infatti, oltre a stilare una lista di Categorie e Sottocategorie, ossia di specifici aspetti che è consigliabile trattare, comprende tre livelli di priorità (alta, media e bassa) e tre livelli di maturità (M1, M2, e M3). Mentre i primi semplificano l’individuazione delle misure da intraprendere con maggiore urgenza, i livelli di maturità forniscono uno strumento di autovalutazione per stimare il livello complessivo di cybersecurity dell’azienda. In questo modo gli utilizzatori possono, basandosi su un documento comune, stabilire una strategia ad hoc alla propria realtà.

Anche se già applicati con successo in differenti settori di industria, questi documenti non rispondono completamente alle specificità del settore sanitario italiano; inoltre, in alcuni casi, a causa di una certa rigidità di alcuni di questi standard e linee guida, le organizzazioni non sono state in grado di adattarli al loro contesto specifico e sviluppare pratiche che soddisfino completamente le loro esigenze.

Common Security Framework per la Sanità

Da qui nasce l’esigenza di creare uno strumento che sia elaborato su misura per il settore sanitario e per il tessuto ospedaliero. In particolare, un quadro metodologico di cybersecurity per la realtà sanitaria deve tener conto e indicare strategie gestionali per trattare aspetti unici della filiera.

In primis, gli ospedali sono degli ambienti saturi di elementi tecnologici che scambiano informazioni. L’ambito sanitario, infatti, impiega un’ampia gamma di tecnologie che comprende non solo i comuni sistemi IT (information Technology), ma anche dispositivi medici che con l’adozione sempre più pervasiva dell’IoMT (Internet of Medical Things) risultano connessi ad internet e quindi potenzialmente soggetti ad attacchi cyber provenienti dall’esterno. In un’ottica di cybersecurity, un ambiente così disomogeneo presenta numerosi elementi di vulnerabilità e necessita dunque di una strategia di protezione multidimensionale che comprende tecnologie molto diverse tra di loro.

Un ulteriore elemento da tenere in considerazione riguarda la grande interconnessione dei vari soggetti che compongono il tessuto sanitario. Gli ospedali si scambiano enormi quantità di informazioni che vengono spesso conservate in banche dati comuni e interoperabili. Un esempio è l’EHR (Eletronic Health Record), ossia la cartella clinica informatizzata che consente a vari soggetti sanitari di accedere ed arricchire lo storico sanitario di un paziente al fine di migliorare l’interoperabilità delle varie strutture, e di conseguenza la qualità ed efficacia delle cure.

Questo rappresenta tuttavia un fattore di criticità in quanto un soggetto vulnerabile potrebbe vanificare le misure protettive messe in atto dagli altri operatori. Per esempio, nel già citato attacco WannaCry, il ransomware colpì direttamente 34 soggetti, ma ben 46 soggetti che non furono infettati riportarono perturbazioni e disagi dovuti all’impossibilità di accedere a dati cruciali. È evidente che in un sistema interconnesso ogni anello della catena deve presentare un livello di protezione minimo per poter garantire sicurezza e resilienza all’intera filiera. Questa necessità di protezione “all-encompassing” deve però fare i conti con una realtà molto variegata, popolata da ospedali con risorse tecniche, amministrative, e soprattutto economiche diverse, dove spesso la cybersecurity non rappresenta la priorità primaria. In tal senso, un framework di cybersecurity di successo deve risultare flessibile e applicabile a realtà diverse. Deve inoltre fungere da anello di raccordo in grado di convogliare la totalità dei soggetti in uno sforzo comune a livello di settore.

Sanità: proteggere senza “stringere”

Un ulteriore elemento di unicità della settore ospedaliero riguarda la delicatezza del servizio offerto. Gli ospedali sono strutture incentrate sulla salute del paziente, e l’adozione di strumenti di cybersecurity particolarmente stringenti potrebbe influire negativamente sulla realizzazione della mission primaria, ossia l’erogazione di cure mediche adeguate.

Gli ospedali, infatti, sono caratterizzati dalla costante acquisizione, scambio ed elaborazione di una mole significativa di dati. In tal senso, le misure di cybersecurity, quali encryption, firma digitale o sistemi elaborati di autenticazione, che rafforzano la confidentiality (confidenzialità) delle informazioni sono le stesse che ne limitano l’availability (disponibilità) con potenziali ripercussioni sulla capacità degli ospedali di fornire servizi in modo puntuale ai propri pazienti.

L’idea è che la sicurezza del dato debba essere garantita senza rendere troppo difficoltosa l’erogazione di cure adeguate e tempestive. In tal senso, un framework per la sanità deve orientare gli operatori verso delle misure di cybersecurity basate su un corretto bilanciamento che preveda strumenti di sicurezza rigidi, ma sufficientemente elastici per assicurare l’accesso ai dati in condizioni di urgenza e necessità.

Infine, quello della cybersecurity sta diventando un ambito sempre più regolamentato, e uno strumento di supporto per il settore sanitario deve essere calato in questo contesto, guidando gli operatori ad elaborare strategie nel rispetto della normativa esistente. In materia di cybersecurity i soggetti sanitari italiani devono ottemperare agli obblighi e obiettivi derivanti dalla disciplina nazionale, per quanto riguarda le misure minime e il Piano triennale (2019-2022) di sicurezza informatica per la Pubblica Amministrazione, ma anche a quelli derivanti dalla disciplina europea in tema di protezione dei dati personali (GDPR) e, per tutti i soggetti identificati come OSE (operatori di servizi essenziali), anche alla disciplina NIS (Network and Information Security).

In particolare, la disciplina europea prevede che gli operatori predispongano misure di cybersecurity adeguate con l’eventualità di incorrere in sanzioni amministrative. Non solo, quindi, è necessario che gli ospedali adottino i mezzi per proteggere i propri sistemi contro gli attacchi informatici, ma anche – e in modo sempre più cogente – che esse siano in grado di dimostrare e rendere conto alle Autorità dell’adeguatezza tecnologica, metodologica e procedurale dei propri processi digitali.

La strategia di Confindustria Digitale

Questi elementi di unicità rendono il problema della cybersecurity in ambito ospedaliero una questione particolarmente complessa che necessità una trattazione ad hoc. A tal fine Confindustria Digitale ha attivato uno specifico tavolo di lavoro per la definizione di un Common Security Framework (CSF) con l’obiettivo di creare una cornice organizzativa e metodologica che indichi come strutturare a livello manageriale gli aspetti di cybersecurity dei soggetti che popolano il tessuto ospedaliero in Italia, tenendo conto delle peculiari necessità di settore qui evidenziate.

L’obiettivo è quello di creare uno strumento di lavoro flessibile e organico, che instauri un linguaggio comune di cybersecurity comprensibile a tutti i livelli organizzativi inclusi tecnici, direttori sanitari e manager. Questo strumento potrà, quindi, complementare l’azione promossa a livello governativo con la disciplina relativa alla PA, il GDPR e la NIS con l’obiettivo di creare un livello minimo di cybersecurity nei vari soggetti trasformando dunque l’innovazione tecnologica del settore in un elemento che ne migliora l’efficienza e che rende quello di ricevere cure mediche adeguate un diritto sempre più concreto.

Evento in presenza
SAP NOW, 20 ottobre | Sostenibilità e innovazione per un ecosistema digitale che rispetta il pianeta
Cloud
Datacenter
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Analisi
PA
Salute digitale
News
Fondi
Formazione
Ecologia
Digital Economy
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

LinkedIn

Twitter

Whatsapp

Facebook

Link