Come confermano tutte le indagini condotte nell’ambito della sicurezza informatica, l’ambiente sanitario fra quelli a più alto rischio. Ogni volta che dei cybercriminali effettuano un attacco la percentuale di successo in ambito sanità è molto alta perché spesso si trovano di fronte sistemi datati o con aggiornamenti carenti.
Come confermato da Francesco Gabrielli, direttore del Centro Nazionale per la Telemedicina e le Nuove Tecnologie Assistenziali, l’argomento sicurezza digitale è nuovo per il settore e questo spiega la frequente mancanza di consolidate pratiche per l’installazione di aggiornamenti software, che alzerebbero notevolmente il livello di protezione.
Non va poi dimenticato che per installare nuove versioni software può essere necessario dover intraprendere trafile burocratiche che richiedono lunghi tempi di approvazione, che vanno solamente vantaggio di chi intende minare la sicurezza dei dati.
“Noi medici da pochi anni abbiamo iniziato a considerare il problema della cybersecurity. Tuttora, in Italia ci sono ampie fette della comunità medico scientifica che non si preoccupano minimamente di come gestire le informazioni dei pazienti in rete, è fuori dalla loro mentalità”, dice Gabrielli. Che spiega: “Io ho iniziato a occuparmi di telemedicina nel 1995 con il Cnr su un programma che trattava impianti industriali ad alto rischio. Allora il problema della sicurezza non era nemmeno preso in considerazione, successivamente si è però capito che non poteva essere trascurato”.
Tuttavia, la percezione che si aveva all’epoca nell’ambiente medico della sicurezza informatica era di una cosa che riguardasse esclusivamente altri ambiti, come per esempio le fabbriche, lo spionaggio industriale, i dati militari.
Negli ultimi anni si è però sviluppata una certa attenzione all’argomento, che è andata via via crescendo. “Questo non è dipeso tanto dalla presa di coscienza di dover proteggere il proprio confine – sottolinea Gabrielli – quanto, invece, dalla normativa europea sulla privacy. Anche qui c’è stata un’evoluzione, perché la classe medica, per definizione, è votata al riserbo dell’informazione. Questo è vero soprattutto per coloro che lavorano in clinica, che hanno un atteggiamento di tutela della riservatezza dell’informazione molto spinto. All’inizio il fatto che ci fosse una norma che di nuovo insegnasse ai medici come comportarsi per mantenere la riservatezza dei dati non è stato molto considerato. Ma poi si è fatta strada l’idea che esiste un mondo parallelo, quello della cybersecurity”.
C’è voluto del tempo perché la comunità medico-scientifica in Italia prendesse davvero coscienza della necessità di proteggere i dati dei pazienti. Però ancora oggi, come detto, ci sono molti operatori del settore che non si preoccupano del problema della sicurezza perché non rientra tra le loro priorità. Per molti versi, quindi, la valutazione della sicurezza “è ancora all’inizio per la professione medica – afferma Gabrielli –. C’è però un elemento nuovo che si sta facendo strada: l’attenzione verso le normative europee che hanno creato una maggiore sensibilità verso la tutela del dato. Questo è sicuramente collegato al fatto di aver sentito parlare di esperienze esterne all’ambito sanitario, tuttavia ha permesso di iniziare a capire che il dato rappresenta una risorsa e che economicamente ha un valore”.
Gabrielli non esita a dire che si tratta di “una svolta importante per i medici, che sono abituati a considerare i dati di loro proprietà. Però la situazione sta cambiando perché con le tecnologie digitali il dato diventa un oggetto differente rispetto al passato, un oggetto che si può condividere. Gli studi multicentrici hanno un respiro completamente diverso, per non parlare delle evoluzioni successive come le possibilità offerte dall’intelligenza digitale. C’è quindi un’attenzione emotiva diversa e più marcata sull’uso del dato”.
Ma dalla presa di coscienza del problema alla sua soluzione può intercorrere un lungo periodo di tempo. E questo è quello che potrebbe accadere in Italia dove “dal punto di vista procedurale le cose non vanno tanto bene – evidenzia Gabrielli – perché le nostre aziende ospedaliere non sono protette adeguatamente: lo sostengono tutti coloro che si occupano del settore. Il sistema sanitario pubblico italiano non è protetto, quindi dobbiamo correre ai ripari. E questo è il motivo per cui presso l’Istituto superiore di sanità è stato creato il Centro nazionale per la telemedicina e le nuove tecnologie assistenziali ed è stata messa in cantiere anche la costituzione del Gruppo nazionale di studio sulla cybersecurity. L’obiettivo è avere una base di esperti che possa aiutare a redigere dei documenti di indirizzo e di posizionamento che valgano poi in modo estensivo su tutto il territorio nazionale”.
Il Centro nazionale per la telemedicina e le nuove tecnologie assistenziali intende promuovere il miglioramento dello stato di salute pubblica attraverso la ricerca, lo sviluppo, l’ottimizzazione e la valutazione di tecnologie innovative per la tutela della salute pubblica utilizzando competenze multidisciplinari.
Il Centro, sfruttando competenze multidisciplinari, svolge attività di ricerca, controllo e formazione nei settori della radiobiologia, dell’assicurazione di qualità nelle scienze radiologiche, della medicina nucleare, della bioingegneria, dei dispositivi medici, della medicina rigenerativa, della microscopia elettronica, delle nanotecnologie e delle terapie innovative.
Quello sulla cybersecurity è il primo gruppo di studio a livello nazionale per la costruzione di un sistema di sicurezza dei dati informatici nei servizi sanitari. Coordinato dall’Istituto Superiore di Sanità, il gruppo è nato da un’iniziativa congiunta del Centro Nazionale per la Telemedicina e le Nuove Tecnologie Assistenziali e del Centro Nazionale di Tecnologie Innovative in Sanità Pubblica, in collaborazione con la Polizia Postale e delle Comunicazioni e vede la partecipazione di molti esperti appartenenti a diverse università italiane. L’obiettivo è sviluppare le conoscenze e le metodologie di difesa dei sistemi informativi utilizzati quotidianamente in ambito sanitario ed è per la prima volta perseguito in una sinergia tra Istituzioni.
“Per consentire il pieno sviluppo nel sistema sanitario italiano di servizi basati sull’uso coordinato, efficace e sicuro, delle tecnologie digitali e di telecomunicazione è di primaria importanza proteggere i dati sanitari dei cittadini in modo uniforme su tutto il territorio nazionale da attacchi informatici – spiega Gabrielli –. Il Gruppo studierà strategie specifiche per migliorare costantemente la difesa delle strutture sanitarie del Paese da attacchi informatici di varia natura e si occuperà anche di definire adeguati e aggiornati sistemi di formazione per le professioni sanitarie, con l’obiettivo di sviluppare maggiore consapevolezza dei rischi cyber in sanità, diffondere la conoscenza tecnica e raccomandare le migliori pratiche di protezione”.
Gabrielli non nasconde che ci sia molto da fare su questo argomento e bisognerebbe anche cercare di comunicarlo, non soltanto agli addetti agli lavori. “Dobbiamo fare in modo che le persone percepiscano la vicinanza del problema – conclude Gabrielli –. E non solo presso la categoria medica ma anche tra i pazienti, coinvolgendoli maggiormente nelle problematiche di sicurezza. Basti pensare che spesso i medici parlano di esiti di esami all’interno di messaggi inviati tramite WhatsApp. Occorre spiegare ai medici che la sicurezza non è un ostacolo al loro lavoro, ma un’opportunità in più”.