L’ultima giornata del Dhs si focalizza sulla protezione dei dati in sanità, un tema che attraversa trasversalmente il dibattito in tutte le stanze virtuali nelle quattro giornate dell’evento. Si studiano nuovi modelli organizzativi, policy, soluzioni e approcci possibili per mettere in sicurezza le tecnologie medicali e proteggere l’intero ecosistema. E lo si fa interpellando le varie voci coinvolte nei processi.
Voce alla legge
“Si tratta di un tema estremamente scottante e delicato”, esordisce Ginevra Cerrina Feroni, vice presidente del Garante per la Protezione dei Dati Personali, facendo una panoramica sullo stato dell’arte nel nostro Paese. “Il tema della sicurezza è l’anello di congiunzione tra il diritto e la tecnologia. Il legislatore si trova cioè nella necessità di restringere i diritti del cittadino all’uso della tecnologia quale forma di libertà personale in considerazione del diritto alla salute e alla vita, facendo un bilanciamento anche doloroso.
L’emergenza legata alla pandemia ha introdotto nel sistema nuovi strumenti tecnologici e potenziato quelli già in uso e tutto questo ha generato la più grande circolazione di dati della nostra storia. La difficile gestione del loro trattamento ha indotto il governo a potenziare gli strumenti di sanità digitale in un percorso che sta andando veloce, ma nel quale serve equilibrio tra diritto e tecnica”.
Gli strumenti esistenti – fascicolo sanitario elettronico, refertazione online, ricetta medica dematerializzata, cartella clinica elettronica -, già regolati dal Garante, hanno ormai acquisito una grossa centralità nel sistema sanitario. Tutto evolve ed è orientato a costruire “la storia del paziente” mettendo insieme eventi clinici presenti e trascorsi, la condivisione delle informazioni per il coordinamento delle cure, per la ricerca, per il governo. Si allargano le categorie, che si alimentano con nuovi dati e devono dialogare tra loro. “Vi è dunque la necessità non rivedibile di definire criteri univoci e ufficiali – prosegue Feroni -. Non è pensabile avere atti che differiscono tra ospedali. C’è bisogno di uno sforzo comune di standardizzazione con un approccio anche paneuropeo nel rispetto delle prerogative degli stati membri, non solo per proteggere ma anche per regolare la circolazione dei dati. Gli strumenti ci sono, la teleassistenza e la telemedicina rappresentano un patrimonio enorme per la ricerca. La sicurezza by design e by default è già parte integrante del processo. C’è solo bisogno della massima attenzione e di colmare la mancanza di competenze pratiche, anche da parte del cittadino, nell’interfacciarsi con il fascicolo elettronico sanitario”.
“Oggi in sanità si parla soprattutto di riservatezza e protezione dei dati, ma la indisponibilità di un dato corretto può incidere sull’altrettanto importante valore del diritto alla salute – interviene Silvia Stefanelli, avvocato dello Studio Legale Stefanelli & Stefanelli -. Il 2020 è stato un anno un importante per l’incremento nell’uso della tecnologia ma rimarrà nella storia anche perché ha visto per la prima volta (in un ospedale di Düsseldorf) la morte di un paziente a causa di un attacco informatico. Oggi c’è la percezione della crescente esposizione alle minacce ma anche di una grande scollatura con il mondo giuridico. Il quadro giuridico è oggi molto ricco; il Gdpr regola la protezione e l’uso dei dati anche per fare ricerca, c’è un modello per la gestione dei dispositivi medici nei vari settori, e quello per l’utilizzo di artificial intelligence. Il tutto è forse arrivato un po’ in ritardo rispetto alla crescita della digitalizzazione della sanità ed è sicuramente complicato da gestire per la mole di conoscenza richiesta, ma le regole ci sono – concorda con il Garante -, vanno semplicemente capite e applicate”.
Alberto Ronchi, Presidente Aisis porta la voce dei Cio italiani sul tema: “Nell’analisi del rischio cyber che discende dal Gdpr, un peso importante ce l’ha sicuramente la indisponibilità del dato in caso di furto o rivendita, per il suo impatto economico, ma ancora di più il blocco delle cure può avere conseguenze disastrose, come la minaccia alla vita del paziente. Le aziende della sanità devono darsi delle priorità per colmare le carenze digitali. Noi come informatici dobbiamo aiutare i direttori generali nelle loro scelte facendo analisi dei rischi corrette, individuando le minacce di maggiore impatto sulla vita del paziente e supportarli nel gestirle al meglio dentro i limiti delle spesa della sanità. L’auspicio è che iniziative come il Pnrr possano portare ad un aumento generale della sicurezza informatica in sanità e che i fondi in arrivo costringano a liberare budget in questa direzione”.
Voce ai player del digitale
“Tutto il processo di digitalizzazione accelerato in sanità dalla pandemia ha esteso il perimetro di attacco e allargato le interazioni delle aziende ospedaliere con la supply chain, incrementando il livello di rischio. Un tema che va posto al centro dell’attenzione dei vertici delle imprese del settore e delle istituzioni, ma che richiede anche una serie di strumenti oggi carenti”. E’ quanto dichiara Rossella Macinante, practice leader ed esperta di cybersecurity di NetConsulting cube, rifacendosi agli ultimi risultati del Barometro Cybersecurity, studio che annualmente misura il grado di maturità del mercato della sicurezza in Italia focalizzandosi oggi sull’impatto dell’emergenza sanitaria e sulle priorità di investimento.
“C’è ancora nel mondo sanitario un livello di aggiornamento non adeguato dei sistemi applicativi e dei codici di sviluppo che può creare dei varchi per attacchi anche a grosse entità sanitarie all’interno della catena estesa, anche perché i dati non risiedono solo all’interno ma vengono raccolti da diversi punti di accesso. Per questo – sottolinea Macinante -, sussiste la necessità di aggiornamento degli asset informatici e degli apparati di rete e contestualmente di adeguamento alle normative. La crittografia dei dati, la sicurezza by design e lo sviluppo di nuovi modelli sono tasselli fondamentali per mettere in sicurezza il perimetro esteso, ma affrontati oggi in maniera parziale da parte delle aziende ospedaliere. Come dimostrano le nostre rilevazioni che vedono un’adesione a questi principi che riguarda solo il 20% delle aziende che intervistiamo, una quota estremamente bassa”.
Gianluca Giaconia, membro del Consiglio Direttivo e del Gruppo di Lavoro Ict dell’Associazione Italiana Ingegneri Clinici (AIIC) affronta il tema dell’integrazione dei dati generati dai pazienti attraverso i dispositivi personali, i sensori e il mondo IoT, sempre più diffusi in sanità. “Noi come ingegneri clinici siamo entrati un po’ bruscamente nel mondo della cybersecurity, essendo in passato più legati al concetto di safety. Anche nel mondo del medical device abbiamo il doppio problema della protezione del dato: da un lato, le moltissime apparecchiature e l’IoT rappresentano un serbatoio di informazioni sensibili e dall’altro la possibile interruzione del servizio e anche alla protezione fisica del paziente attaccato alla macchina. Confidavamo forse troppo nelle soluzioni by design, apparecchiature che al momento della commercializzazione fossero preparate ad essere collocate all’interno delle strutture in modo sicuro. Oggi siamo ancora legati al concetto che l’attacco arrivi dall’esterno mentre nella maggior parte dei casi avviene dall’interno; le soluzioni perimetrali non sono più sufficienti. Abbiamo già soluzioni da mettere in campo che tendono a separare le apparecchiature critiche e la rete e stanno uscendo finalmente delle soluzioni corporate che analizzino le vulnerabilità a livello globale e intercettino quello che succede sulla rete anche al livello medicale, con un know-how specifico. Gli investimenti sono però scarsi, soprattutto in risorse umane, e serve una collaborazione strettissima tra il mondo IT e il mondo AIIC per sensibilizzare la collaborazione”.
La mancanza di formazione e competenze per indirizzare le soluzioni ottimali, è confermata da Carlo Falciola, membro Gdl Digital Transformation in Sanità di Anitec-Assinform, che dichiara: “La cybersecurity è oggi forse il contesto più dinamico nel già dinamico contesto dell’IT; è quindi difficile avere un livello di aggiornamento adeguato. Uno dei principali sforzi che le aziende devono intraprendere in questo momento è aiutare in termini di sviluppo di formazione e competenze per arrivare a delle soluzioni ottimali. Sicuramente bisogna puntare sulla progettazione iniziale perché la protezione dei dati parte anche da un’attenta analisi di chi deve usufruire dei dati e per quali finalità. Un’analisi corretta può infatti portare maggiore efficacia anche a valle in termini di velocità, fruibilità e sicurezza. Serve inoltre una protezione continuativa degli apparati medicali perché i dati sanitari si muovono ovunque, nella rete interna o esterna all’ospedale, sono nei sistemi di gestione, nei sistemi statistici e analitici ed è dunque opportuna un’estrema attenzione nell’indentificare le soluzioni che permettano ad esempio di isolare in maniera logica i vari oggetti e inibire a priori determinati livelli di comunicazione”.
Leggi tutti gli approfondimenti dello Speciale Digital Health Summit 2021
© RIPRODUZIONE RISERVATA
