Allarme “cyber risk” nella sanità,
700 mila attacchi al minuto
Dall’economia della moneta a quella delle informazioni. I dati sono il nuovo petrolio dell’era digitale, il bene più scambiato al mondo. E sono anche quelli sanitari a ‘far gola’ ai pirati informatici, come dimostra il nuovo maxi-attacco su scala internazionale.
A lanciare l’allarme erano stati un mese fa gli esperti riuniti a Milano a Palazzo Lombardia, per il primo convegno nazionale sul ‘Cyber risk in sanità’, promosso dal Gruppo ospedaliero San Donato con la collaborazione della Regione e il patrocinio di ministero della Salute, Assolombarda, Aiop-Associazione italiana ospedalità privata, università degli Studi di Pavia e Ordine degli ingegneri della provincia di Milano.
Secondo uno studio condotto da Fortinet, colosso americano della cyber security sui 450 principali fornitori al mondo di programmi di sicurezza informatica, riportano gli addetti ai lavori, “solo nell’ultimo trimestre del 2016 ci sono stati oltre 700 mila attacchi al minuto contro le organizzazioni sanitarie”. La falla più grande si apre nel cosiddetto Internet delle cose: i ricercatori del FortiGuard Labs hanno contato “circa 2 milioni di tentativi di hackerare un sistema operativo usato in sanità per far funzionare dispositivi medici, pompe di infusione, monitor e monitor personali”. Device salvavita pilotabili da remoto, in uno scenario dove la fantascienza diventa realtà. Una minaccia reale anche nelle corsie degli ospedali italiani.
Davide Rizzardi, responsabile del Servizio di prevenzione e protezione dell’Irccs Policlinico San Donato e promotore dell’evento, parte dai numeri dei report internazionali per ammonire gli attori del sistema: “Considerate le implicazioni etiche e morali che devono muovere ogni nostro operato, con il bene del malato sempre al centro, è obbligatorio muoversi e organizzarsi per invertire questa tendenza preoccupante”.
“Le scelte in tema di cyber security – avverte – vanno prese da tutto il management di una struttura sanitaria, con un lavoro di team nel più ampio senso del termine, in sede organizzativa e soprattutto progettuale”. Il pericolo esiste ed è tra noi, conferma Giuliano Tavaroli, ex responsabile sicurezza dei gruppi Pirelli e Telecom, oggi consulente per le aziende contro il rischio digitale. Così come ai cronisti del Watergate ‘Gola profonda’ suggeriva di “seguire il denaro”, l’esperto di intelligence invita a riflettere sul fatto che, “se oggi i dati hanno tanto valore e sono diventati la commodity più scambiata in assoluto, c’è anche qualcuno che immagina di ricavarci qualcosa”.
“I dati hanno superato gli scambi finanziari e di trading”, spiega Tavaroli che mette in guardia contro le insidie di una “dittatura dell’algoritmo”, di un’epoca in cui “la scienza prenderà sempre più il controllo di tutte le nostre attività quotidiane”. Una rivoluzione, “un’elemento di distruzione dello status quo” che ha travolto anche la sanità, dove il digitale è ormai ovunque. Dall’Internet of things all’Internet of body: “Le persone di stanno abituando a portare addosso dei sensori per correre, per dimagrire, per monitorare lo stato di salute e di benessere”.
Siamo vivendo e vivremo in modo sempre più massiccio la “digitalizzazione della biologia”, anzi “del mondo”. E anche guardando ai servizi si parla di “tele hospital, assistenza robotica, intelligenza artificiale”. Elementi con potenzialità dirompenti, di fronte ai quali “si configura l’esigenza di cambiare completamente la nostra filosofia infrastrutturale. Le organizzazioni stanno raccogliendo la sfida”, eppure “il digitale corre più veloce di noi. Nel 2020 – prosegue l’esperto – il traffico su Internet raggiungerà i 21 GigaByte pro capite” dai 7 GB pro capite del 2015. “Siamo entrati nell’era degli ZettaByte che significa 10 Byte elevati a 21. La connettività è ubiqua e massiva, cambia il profilo dei servizi e cambiano anche i rischi”.
Rizzardi cita l’Ad di Google: “La quantità di dati prodotti negli ultimi 3 anni nel mondo è superiore a quella accumulata da tutta l’umanità nella sua storia dal Paleolitico a oggi”. Ma la vulnerabilità dell’era digitale “non riguarda solo i dati: anche i dispositivi medici controllati da remoto vanno gestiti in sicurezza, perché una volta in Rete possono essere hackerati e controllati a distanza”. L’idea inquieta, soprattutto pensando che “nel mondo ci sono oggi 16 miliardi di device e fra 4 anni ce ne saranno 40 miliardi”. Insomma, “i dati prodotti sono il vero petrolio per la creazione di valore e quelli sanitari in particolare”.
“Il settore sanitario – ragiona l’esperto del San Donato – ha operato il passaggio dal dato cartaceo al dato digitale per ragioni di efficienza. Solo successivamente gli enti sanitari, gli ospedali e i medici hanno cominciato a preoccuparsi della sicurezza dei dati, sotto la propulsione di normative e di una nuova consapevolezza acquisita a causa del numero di violazioni avvenute. Se l’efficienza si è rivelata la più rilevante leva per l’adozione dell’IT in sanità, la sicurezza è stata solo una valutazione ex post”. </p>
<p>Ne risulta “l’incapacità della gran parte di noi – dice Tavaroli – di comprendere il reale impatto di tutto questo sulla vita di tutti i giorni”. Ora però “il tema della sicurezza dei dati sanitari, delle infrastrutture IT e dei device collegati non è più procrastinabile”, insiste Rizzardi, auspicando “una convergenza di interessi, competenze e professionalità”.
“Nelle imprese italiane – riconosce – la consapevolezza in tema di sicurezza informatica sta crescendo e lo dimostra l’aumento della spesa in soluzioni dedicate, che nel 2016 ha raggiunto i 972 milioni di euro con un’aumento del 5% rispetto al 2015. Questo però non basta. L’Osservatorio Information Security & Privacy, promosso dalla School of Management del Politecnico di Milano, ha rilevato che nel nostro Paese l’atteggiamento delle aziende è ancora inadeguato: solo il 39% delle grandi società vanta piani di investimento pluriennali, soltanto il 46% ha in organico un Chief information security officer”, un Ciso, “e appena il 15% ha attivato assicurazioni sul rischio di attacchi cybercriminali”.
E la sanità come si muove? “Purtroppo le differenze sono notevoli da regione a regione, da ospedale a ospedale o da gruppo a gruppo, e dal pubblico al privato. In un contesto che va verso l”ospedale diffuso’ è un atteggiamento non più accettabile. E’ necessario rendere sicuri i dispositivi di storage e le reti su cui viaggiano”, esorta Rizzardi che si augura al contempo “una riflessione sui profili informatici, legali, etici, deontologici della rilevazione e diffusione dei dati sanitari individuali”. Conclude Alessandro Venturi, docente di diritto regionale e degli enti locali all’università di Pavia: “Tra l’amministrazione e i cittadini” che “quotidianamente le cedono dati alla Pa” serve “un nuovo patto”, con la garanzia di “confidenzialità, inviolabilità, protezione” e “reciprocità”. Perché se le informazioni che diamo di noi sono una moneta, in cambio dobbiamo esigere “trasparenza, ottimale allocazione delle risorse e servizi personalizzati”.
(Fonte: Adnkronos)