La pervasività delle tecnologie informatiche all’interno del mondo sanitario sta alimentando un processo di profondo rinnovamento basato sui dati.
Grazie alle nuove tecnologie e a Internet i pazienti sono più informati che mai su condizioni mediche e trattamenti e ricoprono un ruolo sempre più attivo all’interno dei loro percorsi di cura. Richiedono maggiore capacità decisionale nei modi e tempi con cui interagire con il sistema sanitario, nella programmazione degli appuntamenti, nelle richieste di farmaci di nuova generazione e nella gestione delle liste di attesa.
Un nuovo modello di sanità guidato dalla domanda
Tutto ciò alimenta lo spostamento verso un modello di assistenza sanitaria sempre più guidato dalla domanda e con cui il sistema sanitario e la professione medica dovranno confrontarsi.
Le sfide del prossimo futuro saranno di fornire ai pazienti le informazioni e i servizi che permetteranno loro di fare scelte sempre più informate in merito alla loro salute e le strutture sanitarie saranno obbligate anche a confrontarsi con i social media che sono diventati uno spazio importante di discussione su trattamenti, procedure, scelta dei medici e così via.
I rischi della crescita dei dati
In questo processo di rinnovamento la moderna tecnologia medica è diventata dipendente dalla capacità di raccogliere e archiviare dati dei pazienti, file di immagini, video e una vasta gamma di documenti di vario tipo. Il risultato inevitabile è la creazione di grossi volumi di dati che continuano ad aumentare con ritmi sempre più serrati, in buona parte non strutturati, gestiti da una varietà di applicazioni e sistemi diversi e accessibili da strutture sanitarie, specialisti e ricercatori.
La conservazione e gestione in formato elettronico dei dati dei pazienti offre vantaggi clinici e operativi sostanziali, ma introduce anche nuovi rischi.
Nel caso in cui i dati dei pazienti vengano persi o diventino inaccessibili a causa di disastri naturali o azioni deliberate che interessano i sistemi che li ospitano, le conseguenze possono essere molto serie: si pensi, per esempio, alla mancanza di informazioni su una grave allergia a determinati farmaci di un paziente.
I dati archiviati digitalmente possono anche essere violati o rubati, esponendo le informazioni mediche, personali e finanziarie dei pazienti e lasciando gli operatori vulnerabili ai tentativi di ransomware.
Inoltre, mano a mano che i processi primari di un ospedale dipendono dall’ICT, le conseguenze per i requisiti non funzionali assumono grande rilevanza: per esempio, se i processi in sala operatoria sono supportati dai sistemi ICT è essenziale garantire il massimo livello di disponibilità, affidabilità e prestazioni.
Un ambiente difficile da controllare
L’esigenza di rendere facilmente accessibili i dati sanitari dei pazienti è antagonista della necessità di proteggerli.
I dati sanitari vengono prodotti in una miriade di punti e località differenti e, parimenti, le informazioni relative ai pazienti devono essere acquisite da molteplici soggetti distribuiti: oltre alle strutture sanitarie vi sono farmacie, compagnie assicurative, agenzie di servizi sociali, fornitori di servizi sanitari a domicilio, laboratori e persino le abitazioni private dei cittadini.
A rendere tutto più complesso vi è il fatto che i dati sanitari provengono da una miriade di database, sono in una varietà di formati eterogenei e devono essere scambiati attraverso diversi meccanismi di comunicazione (per esempio via FTP, fax o Web).
I rischi dell’IoT in sanità
L’introduzione dell’Internet of Things (IoT) in Sanità migliora il livello di assistenza ma moltiplica le problematiche di sicurezza IT.
Le applicazioni IoT nel settore sanitario spaziano dai sistemi di monitoraggio remoto, ai sensori intelligenti, all’integrazione di dispositivi medici ed espongono alla possibile manipolazione di dispositivi di varia natura, compresi quelli che controllano i livelli di dosaggio per le pompe di infusione di farmaci e alcuni tipi di defibrillatori.
Il numero di dispositivi connessi e dotati di indirizzo IP all’interno degli ospedali o delle case dei pazienti è già elevato, ma la crescita del prossimo futuro sfugge alle previsioni; inoltre ognuno di questi apparati genera e raccoglie dati.
In base alle stime di MarketResearch.com, il segmento di mercato dell’Internet of Things in ambito sanitario tra il 2018 è il 2026 crescerà a un tasso annuo composto (CAGR) del 29.09% a livello globale e del 27,25% a livello europeo con un giro d’affari che raggiungerà entro il 2020 l’impressionante cifra di 163 miliardi di dollari.
Gli operatori sanitari devono perciò comprendere che tra i loro doveri, oggi, non vi è solo quello di curare le persone, ma anche prendersi cura dei loro dati. Servono dunque strategie di gestione dei dati sanitari improntate a garantire sempre la loro protezione e disponibilità, in modo affidabile, tempestivo e coerente.
Un settore sotto attacco
In uno scenario di grande complessità come è quello sanitario, in cui grossi volumi di dati a valore vengono prodotti e scambiati, non stupisce che i sistemi sanitari siano attualmente quelli più attaccati dagli hacker. Il furto dei dati sanitari supera quello dei dati legati ai settori finanziario, education o delle risorse umane aziendali.
Nel contempo, tutti i report del settore evidenziano la forte incidenza della componente interna sulle violazioni in ambito sanitario, come risultato di azioni non autorizzate o involontarie dei dipendenti. L’uso improprio di privilegi può contribuire, infatti, a diffondere informazioni sensibili riservate in ambienti non autorizzati, pubblici o non protetti: si pensi per esempio alle e-mail indirizzate alle persone sbagliate, ai dati memorizzati in modo non autorizzato su computer portatili che vengono persi o rubati e all’archiviazione su strumenti in cloud non adeguatamente sicuri (Dropbox e simili).
Perché i dati sanitari vengono rubati?
I dati sanitari hanno sul mercato illegale un valore che supera di 10 volte quello dei numeri delle carte di credito ed è stato stimato che il costo medio di un record di dati perso o rubato è più alto del 136% per un’organizzazione sanitaria rispetto a quello di altre tipologie di organizzazioni (Digital Guardian: The definitive guide to Data Loss Prevention – Healthcare Edition).
Si tratta, inoltre, di un fenomeno in forte crescita e già ora molto più diffuso di quanto si pensi. In base a uno studio di Ponemon Institute (Sixth Annual Benchmark Study on Privacy & Security of Healthcare Data, maggio 2016) circa 2,32 milioni di americani adulti hanno segnalato che loro o loro familiari sono stati vittime di furto di identità medica.
A molti può sfuggire la ragione per cui i dati sanitari sono così importanti per scammer, spear phisher e altri cyber criminali.
Il valore di questo tipo di informazioni è legato alla loro profondità e portata: includono dati personali, data di nascita, indirizzi di posta elettronica, numeri di tessera sanitaria, dati relativi all’impego, informazioni mediche, dati assicurativi.
Negli Stati Uniti, per esempio, il legame più forte rispetto all’Italia tra Sanità e settore assicurativo fa in modo che la sottrazione di dati sanitari abbia ripercussioni importanti sul settore finanziario del paziente. Inoltre, i dati sanitari hanno un ciclo di vita superiore a quelli finanziari e alcuni di questi sono di difficile o impossibile blocco o sostituzione.
I furti di identità medica sono utilizzabili per perpetrare frodi di fatturazione da parte di organizzazioni sanitarie con un basso livello etico oppure è possibile utilizzare credenziali mediche sottratte per ottenere cure mediche o prescrizioni di farmaci.
In un contesto globalizzato bisogna poi pensare su scala sovranazionale: per esempio, la radiografia di un apparato polmonare sano può essere rivenduta a un cittadino cinese con la tubercolosi, per consentirgli di ottenere il visto necessario per viaggiare al di fuori del proprio Paese.
