Perché è così difficile introdurre la cybersicurezza in sanità


Nonostante i passi in avanti degli ultimi anni nell’ambito digitale, informatica e sanità hanno ancora una relazione complicata. La forte spinta all’innovazione, favorita anche dai fondi del Pnrr che stanno iniziando ad arrivare, da sola non basta per superare i tanti ostacoli che si frappongono lungo il percorso.

“Da quando è nata, nel 2003, Aisis vuole coinvolgere tutti gli informatici che lavorano nella sanità, sia pubblica sia privata, e disseminare conoscenza specifica dell’ambiente sanitario”. Alberto RonchiAlberto Ronchi è il presidente dell’Associazione italiana Sistemi informativi in sanità, oltre che direttore dei sistemi informativi all’Istituto Auxologico di Milano.

L’impegno di Aisis ha iniziato a dare i suoi frutti, contribuendo a diffondere una maggiore consapevolezza in chi, pur avendo un ruolo strettamente tecnico, è inserito in un ambiente, quello sanitario, governato da regole ben precise.

In particolare, l’ambito della sicurezza è fondamentale. Fino a qualche anno fa, si tendeva a pensare che soltanto i computer dovessero essere collegati in rete. Oggi quasi tutti i dispositivi medici presenti in ospedale lo sono: se questo permette una gestione più fluida dei dati, che possono essere scambiati in tempo reale, rende allo stesso tempo l’intero sistema più vulnerabile.

Nonostante i passi in avanti degli ultimi anni nell’ambito digitale, informatica e sanità hanno ancora una relazione complicata

Negli ultimi anni, gli attacchi informatici alla sanità sono cresciuti, anche perché sono più accessibili di altri. “Oggi è ancora difficile avere una figura dedicata alla cybersicurezza – afferma Ronchi – Molti non ne sentono la necessità e spesso la parte di security viene assimilata a quella infrastrutturale. È chiaro che in ambienti molto complessi una figura che si occupi di security in modo trasversale sarebbe invece utile”. È il Ciso, Chief Information Security Officer, un ruolo che porta con sé un problema di costo (è un manager) e di governance: “Dovrebbe essere una figura trasversale e come tale si dovrebbe inserire tra le due figure classiche in ambito informatico, il responsabile delle infrastrutture e quello delle applicazioni”, commenta Ronchi.

L’esperto sottolinea l’importanza di un approccio risk-based: “È utopistico pensare di poter sistemare tutto – rileva – Come suggerito da linee guida internazionali, occorre effettuare una valutazione basata sul rischio. In questo senso il Ciso potrebbe essere una figura indipendente che aiuta il risk manager”.

(Manca) la normativa

“In base al nostro osservatorio, al momento la figura che si occupa di cybersecurity non è separata da chi segue i sistemi informativi. La maggior parte delle aziende, inoltre, si protegge basandosi su prodotti e non sulla valutazione del rischio: installare antivirus, antimalware e firewall è utile, ma da solo non basta più”. Per l’esperto, poi, oggi le valutazioni sui bisogni non partono dall’analisi dei rischi della singola struttura: “Spesso ci si fa guidare dai fornitori, dal mercato, dagli analisti, dalle notizie che si leggono… Da un paio di anni Aisis cerca di diffondere anche questo tipo di cultura. Ad oggi, tuttavia, non saprei citare delle aziende sanitarie che stiano mettendo in pratica questa modalità. Siamo ancora un po’ indietro da questo punto di vista”.

Al momento la figura che si occupa di cybersecurity non è separata da chi segue i sistemi informativi

Per Ronchi, tuttavia, è solo questione di tempo: “Sono convinto che gli investimenti ci saranno, visto che è nata l’Agenzia per la cybersicurezza nazionale e visto il focus sulla sanità digitale previsto dal Pnrr”.

In questo momento, a differenza di quanto avviene per la privacy, la cybersicurezza non è ancora normata. “Credo che presto lo sarà – afferma Ronchi – Esistono direttive a livello europeo come Nis e Nis2 che forniscono indicazioni. Lo fanno per le cosiddette infrastrutture critiche, ma se riuscissimo già a proteggere quelle sarebbe ottimo. L’Agenzia per la cybersecurity nazionale è nata anche per vigilare e portare avanti l’attuazione di queste indicazioni minime almeno per le aziende strategiche, per portare tutti allo stesso livello”.

La sanità territoriale

Il Pnrr porta con sé un altro elemento cardine: la sanità territoriale. Le sfide sul piatto sono molte e quella sulla cybersicurezza non fa eccezione. Recentemente Agenas ha prorogato i termini del bando per ricevere proposte di partnership pubblico-privata per le reti di prossimità, la telemedicina e l’assistenza sanitaria territoriale. “Si stanno gettando adesso le basi: tra qualche tempo sapremo chi saranno i partner – afferma Ronchi – Dal punto di vista della cybersecurity, non è ancora chiaro se ci sarà un sistema unico per tutti o un backbone nazionale a cui si agganceranno le Regioni”.

Ci sono strategie che permetterebbero di limitare i danni e proteggere meglio i sistemi informatici in sanità?

Di una cosa il presidente Aisis è sicuro: “Questo sistema sarà molto capillare perché dovrà essere raggiungibile dappertutto, da tutti i device, avrà parti di App… Tecnicamente, come dicono gli esperti di sicurezza, questo significa ampliare di molto la superficie d’attacco. L’aumento del rischio va quindi segmentato e gestito. Spero vengano adottate policy davvero molto stringenti per evitare che questa aumentata superficie d’attacco faciliti le intrusioni”. Oggi si parla molto di zero trust policy, una strategia che richiede convalide continue per ogni interazione digitale. Ottimo per la sicurezza, meno per il risvolto pratico, soprattutto in ambito sanitario.

Il nodo dell’ingegneria clinica

Ci sono strategie che permetterebbero di limitare i danni e proteggere meglio i sistemi informatici in sanità? “Innanzitutto si potrebbe utilizzare di più il cloud – prosegue Ronchi – In questo modo si demanderebbe la sicurezza ad aziende più strutturate. Parallelamente, occorrerebbe rivolgersi a realtà che si occupano di cybersecurity, esternalizzando il maggior numero di attività possibile. Tenere in casa gli esperti è sempre più difficile: se sono davvero bravi se ne vanno, altrimenti rischiano di soffrire di ‘obsolescenza’ e quindi non essere sempre aggiornati”.

La terza priorità individuata da Ronchi è culturale: “Bisogna andare verso una gestione basata sui rischi e non pretendere di investire tutto subito”. Infine, “gestire meglio tutto quello che è ingegneria clinica, ancora poco attenta alla cybersecurity”.

Oggi è infatti impensabile avere dispositivi medici non collegati in rete. Farlo, però, significa rendere vulnerabili questi strumenti, che raccolgono dati anagrafici e sensibili sui pazienti. In quanto medical device, questi dispositivi sono sottoposti a una normativa stringente e qualunque piccola modifica rischia di far perdere loro la certificazione del fabbricante.

 Gianluca Giaconia“L’ingegneria clinica purtroppo è indietro da questo punto di vista – ammette Gianluca Giaconia, membro del Consiglio direttivo e del Comitato ICT dell’Associazione italiana ingegneri clinici (Aiic) – Chi produce un software puro si è già posto da almeno 20 anni il problema della cybersicurezza e ha assimilato la privacy by default e quella by design. Oggi infatti tutti i software che arrivano sul mercato prevedono regole di complessità della password, la scomposizione dei dati anagrafici da quelli clinici e sistemi che fanno andare in standby il software se non c’è nessuno loggato. Tutto questo è ormai assodato nell’ambito dell’information technology. Nel nostro mondo non ancora”.

E per capire la complessità che cela questa affermazione, Giaconia, che è anche Direttore dell’Uoc di Ingegneria Clinica – HTA dell’Azienda ospedaliera dei colli Monaldi-Cotugno-CTO di Napoli, fa un esempio pratico: “Qualche tempo fa abbiamo dovuto installare un modulo per la firma digitale su qualsiasi postazione dove si potesse fare refertazione – racconta – Abbiamo chiamato chi ci aveva fornito le workstation legate per esempio alle tac, alle risonanze magnetiche, alle pet, e un fabbricante in particolare ci ha dato risposta netta: non era possibile installare software di terze parti, pena la perdita della certificazione”. La modifica del medical device, per quanto banale, non è quindi semplice da gestire. E la certificazione, al momento, è gestita completamente dal fabbricante.

E quindi nella pratica?

Un altro esempio riguarda l’applicazione dei vari regolamenti ai device medicali. “Per la privacy, i dati di una centrale di monitoraggio per la terapia intensiva non devono essere leggibili da terzi – spiega Giaconia – Dati personali e tracciati non devono per esempio essere accessibili a chi passa in un corridoio”. Come suggerisce il nome, la centrale monitora costantemente i ricoverati e, se registra qualche anomalia, suona in modo che il personale sanitario possa correre al letto del paziente e verificare che cosa non vada. È impensabile che a un dispositivo del genere siano applicate le regole che si usano per esempio per il computer di un amministrativo. “La centrale non può andare in standby dopo un minuto che non viene utilizzata, e, alla sua eventuale riattivazione, non deve essere chiesta una password per poter vedere i tracciati in tempo reale. Il monitor al letto del paziente in terapia intensiva non va in standby e così la centrale di monitoraggio. Il defibrillatore non può chiedere una password quando viene acceso: se l’operatore non la conosce, chi ne avrebbe bisogno muore. Per questo, bisogna prevedere una serie di eccezioni infinite, si tratta di un lavoro certosino e affatto banale”.

Nella pratica, è necessario pensare non solo alle misure informatiche, ma anche a quelle organizzative

L’invito di Giaconia è di pensare non solo alle misure informatiche, ma anche a quelle organizzative: se la centrale di monitoraggio deve essere protetta rispetto a terzi, si potrà fare in modo che i dati non siano leggibili da chi passa nel corridoio. I nomi e cognomi delle persone possono essere sostituiti dalle iniziali. “È necessario inventare strategie diverse rispetto a quelle già previste da molti anni nei sistemi informativi”.

Anche per l’ingegnere clinico la territorializzazione della sanità comporta problemi non banali. “È chiaro che la distribuzione di device sul territorio che devono trasmettere i dati del paziente aumenta il rischio di attacco e la vulnerabilità del sistema – afferma – In questo caso, come ingegneri clinici abbiamo le armi smussate: dovrebbe intervenire la cultura tecnologica, progettando il device domiciliare in modo che abbia già requisiti assimilabili a un sistema informatico. Per esempio la trasmissione cifrata o la possibilità di fare degli aggiornamenti”.

Il sistema, insomma, deve nascere già protetto. “Se questo avviene resta poi la responsabilità legata alla gestione: come ingegneri clinici dobbiamo capire che probabilmente in futuro saranno rilasciati periodicamente degli aggiornamenti sulla sicurezza e noi dovremo gestire anche il livello di aggiornamento software dei singoli device”.

A tutto questo si aggiunge un ulteriore elemento di complessità: quello della responsabilità. Se chi si occupa di information technology infatti è esposto a malfunzionamenti ai sistemi, disagi e furti di dati, gli ingegneri clinici hanno un rischio collegato al funzionamento dell’apparecchiatura.

Esiste una norma tecnica molto dettagliata, che differenzia safety e security: della prima si occupano gli ingegneri clinici, della seconda gli informatici

“Esiste una norma tecnica, molto dettagliata, che differenzia tra safety e security. Della prima si occupano gli ingegneri clinici, della seconda gli informatici”.

Anche qui, un esempio può aiutare: “Credo che negli anni le pompe infusionali siano stati i device più attaccati – premette Giaconia – Se un attacco compromette il funzionamento di una pompa infusionale alla quale è legato un farmaco salvavita, questo può portare alla morte del paziente”.

Da alcuni anni le associazioni di ingegneri clinici e responsabili dei sistemi informativi interagiscono per cercare di ovviare insieme anche ai problemi di sicurezza: “Abbiamo una collaborazione fruttuosa: entrambi i mondi sono consapevoli della necessità di fare le cose insieme – commenta Giaconia – I problemi maggiori, tuttavia, si riscontrano a livello aziendale, quando tutto si gioca sulla relazione personale tra il direttore dell’ingegneria clinica e quello dei sistemi informativi”. Se vanno d’accordo, anche la struttura funzionerà bene. Laddove questo non succeda, servirà “la lungimiranza del direttore generale, oppure la presenza di una struttura di coordinamento che si occupi della mediazione tra quelli che sono gli ambiti, i limiti e le responsabilità delle due figure. Chiaramente servirebbe però che tutto questo fosse sistematico e strutturato e non frutto dell’iniziativa personale e della buona volontà dei singoli”.