Luca Rubaga, managing director di Sirti Digital Solutions, spiega l’importanza di gestire i rischi di cybersecurity nel mondo dell’eHealth.
Il percorso di trasformazione digitale del Paese ha messo in forte evidenza l’importanza di attuare in tutti i settori una strategia di protezione che non sia affidata esclusivamente all’adozione di tecnologie.
Questo fenomeno è stato sensibilmente accelerato dall’esperienza pandemica e sostenuto dall’impianto normativo del Perimetro di Sicurezza Nazionale Cibernetico e dagli investimenti legati ai progetti del PNRR. Le soluzioni di sicurezza, ovvero di trattamento del rischio cyber, devono essere infatti inserite all’interno di processi di gestione e implementate nel rispetto dello specifico contesto di utilizzo.
I requisiti di Riservatezza, Integrità e Diponibilità (RID) che dati, servizi o infrastrutture devono preservare tramite l’applicazione di misure di sicurezza dipendono fortemente dallo scenario applicativo.
Si prendano a esempio due diverse tipologie di reti di telecomunicazione. Una a supporto di servizi IT di tipo “generalista” e l’altra per sistemi “OT”, ovvero di sistemi per l’automazione e il controllo industriale, ambiti nei quali tipicamente si muovono i servizi di Sirti Digital Solutions. Queste due reti, seppur realizzate con tecnologie analoghe, presentano requisiti del tutto diversi, a cui conseguono differenti ordini di rilevanza delle componenti di Riservatezza, Integrità, Disponibilità.
Dal punto di vista concreto, questo paradosso ha comportato un cambio di prospettiva da parte degli operatori del settore ICT: la sicurezza nel mondo cyber si persegue non solo introducendo componenti tecnologiche, bensì – soprattutto – applicando alle infrastrutture realizzate delle misure di sicurezza che dipendono dagli scenari d’impiego delle infrastrutture stesse, a cui consegue un attento percorso di analisi e valutazione del rischio.
Le considerazioni fin qui condivise impattano in particolar modo il mondo dell’eHealth che, di conseguenza, diviene il campo più delicato nel quale misurarsi nell’ambito cyber. Una vera sfida.
Nel mondo dell’eHealth, aziende come Sirti Digital Solutions operano per clienti di rilevanza nazionale con l’obiettivo di trasferire anche in questo comparto la pluriennale esperienza maturata nella progettazione, realizzazione e gestione di infrastrutture ICT critiche. L’efficacia di questo lavoro sarà proporzionale alla capacità di saper declinare e applicare di volta in volta le misure di sicurezza cyber, mettendo al centro, con la necessaria sensibilità, le caratteristiche specifiche dei servizi dedicati alla medicina digitale.
La digitalizzazione del mondo sanitario e, in particolare, quello relativo alla diagnosi, alla cura e all’assistenza, ha portato naturalmente a condividere infrastrutture un tempo destinate a servizi ICT “non specialistici”. Ciò consente di beneficiare dell’economicità e della facilità d’impiego, ma espone al rischio di non effettuare un’adeguata e preventiva valutazione dei requisiti di sicurezza.
Questo rischio trova ragione d’essere nel fatto che, nei sistemi a servizio della medicina “digitale”, non è possibile stabilire alcuna priorità tra i requisiti della RID. Dalla tutela ai massimi livelli di ciascuna proprietà di Riservatezza, Integrità e Disponibilità dipendono, pertanto, la salute della persona e la protezione dei suoi dati più sensibili.
A rendere ancora più articolato il quadro concorrono anche elementi di tipo tecnologico. Tra tutti si osservi che il collegamento in rete di alcuni dispositivi medici può avvenire anche in modo indiretto tramite tecnologie wireless (es. Bluetooth), oggettivamente più complesse da presidiare.
La criticità dello scenario descritto, sebbene ancora parzialmente esplorato, aumenterà con la diffusione di applicazioni di Artificial Intelligence a supporto della diagnostica e della cura, nelle quali il controllo umano sarà sempre più complesso da applicare. A ciò si aggiungono anche tutte le attuali (e future) applicazioni della robotica a supporto delle attività umane, che possono spaziare dalla gestione della distribuzione dei farmaci fino alla “robotic-assisted surgery”.
Anche la direttrice della facilità di accesso ai dati non è esente da rischi. L’uso promiscuo privato/professionale degli endpoint (pc, smartphone, tablet) e la pervasività delle app social renderanno inevitabilmente più ampia la cosiddetta “superficie d’attacco”. La diffusione dell’ICT nel mondo dalla sanità, quindi, consentirà di ridurre il rischio dell’errore umano e faciliterà l’accesso ai servizi, ma – inevitabilmente – innalzerà l’esposizione ad attacchi deliberati, determinando possibili significativi impatti sulle persone e sull’intera comunità sociale.
