Cybersecurity, in sanità 700mila attacchi al minuto

Nel nostro Paese l'atteggiamento delle aziende è ancora inadeguato: solo il 39% delle grandi società vanta piani di investimento pluriennali, soltanto il 46% ha in organico un Chief information security officer

Dall’economia della moneta a quella delle informazioni. I dati sono il nuovo petrolio dell’era digitale, il bene più scambiato al mondo. E sono quelli sanitari a fare più gola ai pirati informatici. Secondo uno studio condotto da Fortinet, colosso americano della cyber security, sui 450 principali fornitori al mondo di programmi di sicurezza informatica, “solo nell’ultimo trimestre del 2016 ci sono stati oltre 700 mila attacchi al minuto contro le organizzazioni sanitarie”. La falla più grande si apre nel cosiddetto Internet delle cose: i ricercatori del FortiGuard Labs hanno contato “circa due milioni di tentativi di hackerare un sistema operativo usato in sanità per far funzionare dispositivi medici, pompe di infusione, monitor e monitor personali”. Device salvavita pilotabili da remoto, in uno scenario dove la fantascienza diventa realtà. Una minaccia reale anche nelle corsie degli ospedali italiani.

A lanciare l’allarme sono gli esperti riuniti oggi a Milano a Palazzo Lombardia, per il primo convegno nazionale sul ‘Cyber risk in sanità’, promosso dal Gruppo ospedaliero San Donato con la collaborazione della Regione e il patrocinio di ministero della Salute, Assolombarda, Aiop-Associazione italiana ospedalità privata, università degli Studi di Pavia e Ordine degli ingegneri della provincia di Milano. “Le scelte in tema di cyber security – avverte Davide Rizzardi, responsabile del Servizio di prevenzione e protezione dell’Irccs Policlinico San Donato – vanno prese da tutto il management di una struttura sanitaria, con un lavoro di team nel più ampio senso del termine, in sede organizzativa e soprattutto progettuale”. Il pericolo esiste ed è tra noi, conferma Giuliano Tavaroli, ex responsabile sicurezza dei gruppi Pirelli e Telecom, oggi consulente per le aziende contro il rischio digitale. Così come ai cronisti del Watergate ‘Gola profonda’ suggeriva di “seguire il denaro”, l’esperto di intelligence invita a riflettere sul fatto che, “se oggi i dati hanno tanto valore e sono diventati la commodity più scambiata in assoluto, c’è anche qualcuno che immagina di ricavarci qualcosa”.

“I dati hanno superato gli scambi finanziari e di trading“, spiega Tavaroli che mette in guardia contro le insidie di una “dittatura dell’algoritmo”, di un’epoca in cui “la scienza prenderà sempre più il controllo di tutte le nostre attività quotidiane”. Una rivoluzione, “un’elemento di distruzione dello status quo” che ha travolto anche la sanità, dove il digitale è ormai ovunque. Dall’Internet of things all’Internet of body: “Le persone di stanno abituando a portare addosso dei sensori per correre, per dimagrire, per monitorare lo stato di salute e di benessere”. Siamo vivendo e vivremo in modo sempre più massiccio la digitalizzazione della biologia”, anzi “del mondo”. E anche guardando ai servizi si parla di “tele hospital, assistenza robotica, intelligenza artificiale”.
Elementi con potenzialità dirompenti, di fronte ai quali “si configura l’esigenza di cambiare completamente la nostra filosofia infrastrutturale. Le organizzazioni stanno raccogliendo la sfida”, eppure “il digitale corre più veloce di noi. Nel 2020 – prosegue l’esperto – il traffico su Internet raggiungerà i 21 GigaByte pro capite” dai 7 GB pro capite del 2015. “Siamo entrati nell’era degli
ZettaByte che significa 10 Byte elevati a 21. La connettività è ubiqua e massiva, cambia il profilo dei servizi e cambiano anche i rischi”.
Rizzardi cita l’Ad di Google: “La quantità di dati prodotti negli ultimi tre anni nel mondo è superiore a quella accumulata da tutta l’umanità nella sua storia dal Paleolitico a oggi”. Ma la vulnerabilità dell’era digitale “non riguarda solo i dati: anche i dispositivi medici controllati da remoto vanno gestiti in sicurezza, perché una volta in rete possono essere hackerati e controllati a distanza“. L’idea inquieta, soprattutto pensando che “nel mondo ci sono oggi 16 miliardi di device e fra 4 anni ce ne saranno 40 miliardi”. Insomma, “i dati prodotti sono il vero petrolio per la creazione di valore e quelli sanitari in particolare”.

“Il settore sanitario – ragiona l’esperto del San Donato – ha operato il passaggio dal dato cartaceo al dato digitale per ragioni di efficienza. Solo successivamente gli enti sanitari, gli ospedali e i medici hanno cominciato a preoccuparsi della sicurezza dei dati, sotto la propulsione di normative e di una nuova consapevolezza acquisita a causa del numero di violazioni avvenute. Se l’efficienza si è rivelata la più rilevante leva per l’adozione dell’IT in sanità, la sicurezza è stata solo una valutazione ex post”.
Ne risulta “l’incapacità della gran parte di noi – dice Tavaroli – di comprendere il reale impatto di tutto questo sulla vita di tutti i giorni”. Ora però “il tema della sicurezza dei dati sanitari, delle infrastrutture IT e dei device collegati non è più procrastinabile“, insiste Rizzardi, auspicando “una convergenza di interessi, competenze e professionalità. Nelle imprese italiane – riconosce – la consapevolezza in tema di sicurezza informatica sta crescendo e lo dimostra l’aumento della spesa in soluzioni dedicate, che nel 2016 ha raggiunto i 972 milioni di euro con un’aumento del 5% rispetto al 2015. Questo però non basta. L’Osservatorio Information Security & Privacy, promosso dalla School of Management del Politecnico di Milano, ha rilevato che nel nostro Paese l’atteggiamento delle aziende è ancora inadeguato: solo il 39% delle grandi società vanta piani di investimento pluriennali, soltanto il 46% ha in organico un Chief information security officer”, un Ciso, “e appena il 15% ha attivato assicurazioni sul rischio di attacchi cybercriminali”.
E la sanità come si muove? “Purtroppo le differenze sono notevoli da regione a regione, da ospedale a ospedale o da gruppo a gruppo, e dal pubblico al privato. In un contesto che va verso l”ospedale diffuso’ è un atteggiamento non più accettabile. E’ necessario rendere sicuri i dispositivi di storage e le reti su cui viaggiano”, esorta Rizzardi che si augura al contempo “una riflessione sui profili informatici, legali, etici, deontologici della rilevazione e diffusione dei dati sanitari individuali”. Conclude Alessandro Venturi, docente di diritto regionale e degli enti locali all’università di Pavia: “Tra l’amministrazione e i cittadini” che “quotidianamente le cedono dati alla Pa” serve “un nuovo patto”, con la garanzia di “confidenzialità, inviolabilità, protezione” e “reciprocità”. Perché se le informazioni che diamo di noi sono una moneta, in cambio dobbiamo esigere “trasparenza, ottimale allocazione delle risorse e servizi personalizzati”.

Intanto da Regione Lombardia, preparano il “contrattacco”.
“Visto che da Roma tardano ad arrivare proposte, ci faremo noi promotori di un’iniziativa sulla cyber security con un occhio particolare al tema della sanità”. Lo annuncia l’assessore all’Università, Ricerca e Innovazione della Regione Lombardia, Luca Del Gobbo. “La Lombardia – spiega – già oggi dispone di oltre 1 miliardo di dati ed è quindi quanto mai necessario non solo usarli bene affinché possano incidere concretamente e positivamente sulla vita dei cittadini, ma anche proteggerli e custodirli. Vogliamo essere
all’avanguardia rispetto alla loro valorizzazione, garantendo inviolabilità e protezione da una parte, e stabilendo dall’altra un nuovo patto tra l’amministrazione e il cittadino, che offra un’innovativa fruibilità dei dati e aumenti la qualità dei servizi e la loro sostenibilità nel tempo”.

In questo percorso – si ricorda da Palazzo Lombardia – già dal luglio scorso la Regione ha attivato un Tavolo sulla sicurezza informatica al quale partecipano i rappresentanti del mondo delle aziende, dell’università e della ricerca, insieme a professionisti che si occupano di security a livello internazionale, per esempio esponenti del Consolato Generale degli Stati Uniti. “Abbiamo quindi avviato un deciso e concreto intervento di governance in materia di cyber security – assicura Del Gobbo – attraverso politiche che assicurino l’inviolabilità delle informazioni e offrano forme protette di fruibilità dei dati. La strada sarà sempre la stessa: non caleremo dall’alto decisioni e scelte, ma le costruiremo insieme proprio come abbiamo fatto per la legge 29 attraverso la piattaforma ‘Open Innovation”.
Al convegno di oggi è intervenuto anche l’assessore al Welfare, Giulio Gallera. “I dati sanitari rappresentano una straordinaria fonte di informazioni ai fini di una maggiore appropriatezza nei percorsi di cura e prevenzione – osserva – La legge 23 di evoluzione del sistema sociosanitario lombardo ha recepito le sfide della sanità digitale con la realizzazione del fascicolo sanitario elettronico ed è fortemente impegnata a garantire affidabilità, integrità, disponibilità e sicurezza dei dati stessi e delle infrastrutture complesse che li gestiranno”.

“Se in generale i dati rappresentano il petrolio della digital economy e dell’economia del futuro – riflette l’assessore – i dati sanitari hanno una funzione ancora più strategica, perché ci permettono di intercettare i bisogni e costruire risposte più efficaci per migliorare la qualità della vita delle persone. Con la riforma sanitaria, grazie a un una banca dati davvero articolata, siamo riusciti per esempio a identificare il costo standard della cronicità che ci permetterà di definire in maniera più appropriata la presa in carico del malato cronico. I dati personali e sanitari rappresentano quindi un bene davvero prezioso – ribadisce Gallera – ma è necessario assicurarne la massima protezione e sicurezza, soprattutto alla luce di quanto stiamo realizzando con la riforma del sistema sociosanitario che prevede un’integrazione della rete d’offerta dei servizi fondata sullo scambio di dati e informazioni”.