La sanità digitale si nutre di dati e, nel corso della tre giorni di Digital Health Summit 2022, i temi della valorizzazione, della protezione e della sicurezza di informazioni, servizi ed infrastrutture, insieme all’interoperabilità, legano gli interventi dei keynote (per esempio in day 2 quelli sulla telemedicina). Ma a che punto siamo, anche in relazione all’utilizzo sempre più intensivo del digitale e dei relativi abilitatori, come il cloud e quale l’impatto su privacy e cybersecurity?
Introduce con i numeri il tema così Rossella Macinante, BU leader, NetConsulting cube: “Parliamo di uno scenario in continua evoluzione, anche in relazione alla particolare situazione geopolitica attuale. Gli attacchi si sono intensificati ed inaspriti e sfruttano, anche per quanto riguarda la sanità, i percorsi di digitalizzazione delle aziende, maggiormente esposte”. Proprio il comparto sanitario è tra i principali obiettivi di attacco attraverso phishing (67%), malware (61%) e ransomware (42%, fonte: Barometro Cybersecurity 2022) e le stesse supply chain di organizzazioni e azienda sanitarie si rivelano a loro volta particolarmente vulnerabili.
“Nonostante questo – prosegue Macinante – i modelli di governance di Asl e aziende ospedaliere per incrementare il livello di protezione ed il livello di maturità non sono ancora ‘specialistici'”. Circa 70% delle aziende non dispone di un’unità specifica, dedicata alla cybersecurity, le attività fanno capo a team interfunzionali con funzioni di indirizzo nel 2% dei casi e solo il 9% dispone di un Cso. Per quanto riguarda l’adeguamento alla normativa al Gdpr, si è lontani dalla piena compliance, con le aziende più vicine al pieno adeguamento solo per quanto riguarda la creazione dei processi per la notifica dei data breach alle autorità ed il registro dei trattamenti. Lontane invece quando si tratta di implementare soluzioni di data protection ed encryption e l’applicazione della logica di privacy by design. E così, l’indice di maturità per la cybersecurity (Cybersecurity Maturity Index) vede la sanità all’ultimo posto come verticale, ben distante anche dalla PA nel suo complesso.
“A livello di governance – specifica Macinante – si pagano l’assenza di strutture organizzative dedicate alla cybersecurity e non adeguate in termini di risorse laddove esistenti e la scarsità di programmi di formazione ed awareness per i dipendenti, ma anche l’assenza di simulazioni/esercitazioni, la mancanza di misurazione del livello di “postura di sicurezza” e la mancanza di collaborazione lungo la filiera”. Dal punto di vista tecnologico è bassa la presenza di Soc (e quando sono operativi lo sono con funzionalità poco avanzate, per esempio quelle che fanno leva su AI e ML) “e il passaggio allo smart working non è stato accompagnato da adeguate misure per una gestione del lavoro remoto in sicurezza, così come sono ancora importanti i gap da colmare per quanto riguarda le attività di protezione dati (crittografia, protezione dei database, file integrity, etc.)”.
Cresce però la spesa per la cybersecurity, nella sanità in percentuale superiore alla media (si stima varrà 162 milioni di euro nel 2024), anche se l’incidenza sulla spesa IT complessiva resta però bassa (di circa il 7%, laddove per altre voci è del 10/15%). Data protection (78%), Soc e penetration test (61%), e formazione del personale (56%) sono gli ambiti in cui è previsto crescerà di più il budget, “mentre per quanto riguarda le sfide per i prossimi anni ecco che possono essere modellizzate su tre assi: competenze, tecnologie e organizzazione“.
Serve creare una cultura digitale diffusa per stimolare consapevolezza, promuovere la condivisione delle informazioni in tutta la filiera e con le istituzioni, “ma serve anche – a valle – adeguare effettivamente sistemi e applicazioni, acquisire modelli di gestione delle vulnerabilità basati sulla gestione del rischio e puntare alla security by design a partire dallo sviluppo degli applicativi”. Mentre a livello di sistema bisogna, infine, fare in modo che i piani per la cybersecurity e cyberesilienza rientrino in piani pluriennali di pianificazione e restino “piani vivi”, con specifici obiettivi ma senza l’idea del “punto di approdo”. Che poco si adatta all’idea di cybersecurity.
Il tema delle competenze e della formazione è subito ripreso con attenzione da Luca Nicoletti, a capo del Servizio Programmi Industriali, Tecnologici, di Ricerca e Formazione, Agenzia per la Cybersicurezza Nazionale, a partire dai risultati, in questo secondo caso, di una ricerca sul campo (foto qui di seguito).
“I risultati raccolti da una prima campagna di analisi passiva specifica per la sanità (su 257 soggetti), condotta in primavera, evidenziano il numero di indirizzi esposti rispetto ai soggetti considerati come elemento di rischio”. Debolezze intrinseche come la mancanza di adozione di sistemi di autenticazione multifattoriale, password deboli, pratiche amministrative gestite in modo non corretto – tipiche di organizzazioni non mature – nel sistema sanitario sono tra le criticità più diffuse. “Tanti, troppi sono i servizi esposti su Internet anche quando non necessario, ma soprattutto è limitata l’awareness, la consapevolezza del rischio, e manca un’effettiva governance”, specifica Nicoletti.
La Strategia Nazionale per la Cybersecurity contempla 82 azioni specifiche da qui al 2026, ma segnala anche le effettive possibilità di finanziamento, anche grazie ai fondi del Pnrr e ai programmi europei. “La strategia prevede azioni su quattro aree tematiche: protezione, risposta, sviluppo sulla scorta degli abilitatori e del paradigma della collaborazione tra istituzioni, operatori e fruitori dei servizi”.
La tattica prevede di “sostenere la migrazione verso il cloud, secondo il Psn o sul cloud pubblico”. Perché la maggior parte delle risorse oggi viene gestita su strutture obsolescenti, non aggiornate, non adeguate proprio dal punto di vista tecnologico. “Delegare la funzione IT infrastrutturale può rivelarsi vantaggioso, soprattutto per le piccole realtà”. Gli investimenti necessari saranno sostenuti dai bilanci delle organizzazioni ma anche dai progetti pubblici in corso come Horizon Europe Program e Digital Europe Programme (Dep, rivolto al supporto specifico della cybersecurity). “L’Italia non è campione nella messa a terra delle risorse, ma le call to action finanziate da queste iniziative rappresentano occasioni determinanti”. Un altro grande programma in corso è ovviamente quello legato a NextGen EU (Pnrr), con almeno tre macro-aree di investimenti possibili in Mission 1, e altri in Missione 6 (foto sotto).
Cybersecurity e privacy, un binomio strettamente correlato che non dovrebbe però essere di ostacolo agli sviluppi della ricerca ed alla digitalizzazione, lo spiega bene, Guido Scorza, componente del Collegio del Garante per la protezione dei dati personali, che sollecita e richiama proprio anche le possibilità di cooperazione tra gli attori coinvolti: “E’ comune sentire che la privacy possa essere ostacolo all’affermazione di altri diritti, come la ricerca scientifica e quella medica. In verità non ci sono “diritti tiranni”, nessuno dei due (privacy/ricerca) fagocita l’altro, non sono diritti antagonisti, ma complementari”.
Questo perché il Gdpr non è solo protezione dei dati, ma anche “regolamentazione delle loro libera circolazione in modo uniforme all’interno dell’UE e strumento per la buona valorizzazione del dato”. Per esempio, il Green Pass è stato possibile proprio per la disponibilità di regole uniformi sulla protezione del dato. “Ecco, vorrei invitare a considerare il tema, invece, secondo due indicazioni. l’Art. 110 del Codice Privacy, sottoutilizzato, ma via privilegiata per la scienza per formulare richieste in deroga al Garante. L’altra porta da spalancare è quella dei Codici di Condotta, strumenti utili a chi tutela il dato e a chi fa ricerca perché standardizzano bilanciamenti possibili tra la protezione e la ricerca. Bisogna incontrarsi su questi temi”, conclude Scorza.
E con Matteo Marzi, technologist presso l’Iit, la parola passa proprio ricerca, in particolare quella genomica in ambito oncologico: “Lo evidenzio su due macrotrend. – esordisce Marzi – le tecnologie di sequenziamento del Dna, in primis. Nel tempo si è abbattuto il costo del sequenziamento del singolo genoma umano, possibile oggi con poche centinaia di dollari ed in 5 ore. E un secondo macrotrend riguarda l’analisi approfondita dei tessuti ‘scomposta’ per singole componenti per individuare le mutazioni genetiche anche di una singola cellula per ricostruire l’eterogeneità del tessuto. A costituire un “atlante delle cellule del corpo””.
La scienza per questi obiettivi ha guardato al modello open access. L’attenzione è quindi proteggere entrambi i piani: l’informazione genomica che è ad alto rischio (il Dna è una carta di identità sempre aperta), ma allo stesso “la condivisione come bene indispensabile”. Una coniugazione “che al momento ha poche risposte ma è evidenziata proprio dalle criticità in gioco”.
E si inserisce proprio nel solco di questi binari il progetto Open Privacy, voluto da Roche che il garante ha abbracciato e patrocinato nell’evento inaugurale. Ne riprende le fila Daniele Di Ianni, Customer Innovation manager, Roche: “Importante è partire da quanto impatta sul paziente – anche relativamente al tema privacy e protezione dato – consapevoli che l’ecosistema di ricerca ancora fatica a scaricare a terra tutto il suo potenziale, perché la gestione della complessità ha, in primis, bisogno di buone fondamenta.
La componente diagnostica e terapeutica di Roche stessa può fare meglio solo grazie alle sinergie anche raccogliendo dall’ecosistema spunti e provocazioni per approdare a soluzioni, non chiuse, e trovare le migliori chiavi di interpretazioni. “Come diceva Scorza – chiude Di Ianni – sia Art.110, sia i Codici di Condotta per tutto l’ecosistema, rappresentano in questo senso un vero balzo in avanti rispetto al 2021 e il mondo della diagnostica ha un elevato bisogno dei dati per offrire servizi migliori a minore costo, con un’efficienza specifica migliore per il singolo caso clinico”.
Coniugare privacy e sicurezza trova comun denominatore nelle capacità organizzative. E’ il pensiero chiave di Marco Foracchia, consiglio direttivo Aisis, che spiega come, per entrambi gli ambiti, “serve fare tesoro del concetto ‘by design'”. Si parla di security e privacy by design “ma questo significa applicare il modello oltre che alla progettazione tecnica, anche a quella organizzativa, di strutturazione di processi e servizi”. Torna il tema: “privacy non è solo riservatezza del dato, ma anche pronta disponibilità, correttezza, adeguata conservazione, condivisione nei contesti in cui questo è possibile e tutto questo richiede organizzazione”. Un’iperbole: “Se ‘l’antincendio’ è by design per tutte le figure, allo stesso modo devono esserlo privacy e cybersicurezza. Non è solo l’IT ad essere attore coinvolto, ma l’intera ingegneria/amministrazione clinica, tra loro con confini sempre pù sfumati. Serve progettare, insieme, modelli organizzativi”.
La palla è raccolta, quindi, proprio da un “ingegnere clinico” come Maurizio Rizzetto, chief technology officer, Azienda Sanitaria Friuli occidentale, membro Aiic, che va dritto al punto sull’assist di Foracchia: “I sistemi da proteggere oggi sono complessi, richiedono alti livelli di competenze che sono difficili da individuare”. Non solo, il Pnrr ha spinto i concetti come quello della telemedicina ad un ulteriore livello. “Sì, è quello dell’Internet of Medical Things che chiama in gioco tanti nuovi fornitori e nuovi dispositivi, serve quindi allineare sicurezza e asset”.
C’è di fatto un equilibrio da trovare tra disponibilità dei servizi e il mantenerli aggiornati su reti di fatto sempre più integrate. “Non bisogna dimenticare che ospedali automatizzati e collegati in rete che elaborano anche i dati generati dai sistemi di domotica esposti sono un’altra importante criticità”. Si apre così il tema dell’“affidabilità cyber del sistema sanitario nel suo insieme”. Affidabilità che travalica di fatto di certo i confini regionali, ma anche quelli nazionali.
E’ l’aggancio per la professoressa Annita Larissa Sciacovelli, Università degli Studi di Bari, Componente Commissione Cybersecurity, Società italiana di Intelligence: “Le problematiche di affidabilità cyber nell’ambito sanitario, riguardano oggi tutti i Paesi UE. Abbiamo visto sotto attacco sistemi strategici di diversi Paesi ed il costo dei ripristini è spesso misurabile nell’ordine temporale di due anni per danni da centinaia di milioni di euro“. Si parla di malware in grado di modificare gli stessi referti medici, di veri e propri casi di morte a causa dei ransomware (negli Usa, per mancato soccorso a causa di indisponibilità dei sistemi). “In prospettiva – prosegue Sciacovelli – vediamo estendersi il problema di cyber/bio security, con attacchi a istituti di ricerca e all’industria farmaceutica. Si tratta di capire chi sono gli attaccanti (oggi prevalentemente Corea del Nord, Iran, Russia) che ambiscono ad attaccare le infrastrutture sanitarie fino a modificare il senso del concetto di sicurezza nazionale”.
L’awareness è il primo elemento su cui lavorare, insieme allo “human firewall”, pesa nell’85% dei casi di attacco, obbligatorio poi intensificare le attività dei red-team e dei blue-team. Chiude Sciacovelli: “European Health Data Space, in Europa, rappresenta infine un passo importante per una sanità digitale europea, sulla base di dati raccolti e distribuiti in modo interoperabile ed efficiente con standardizzazione anche nella raccolta dei dati. Ultimi spunti: il Dpo gioca un ruolo importantissimo e si deve lavorare alla figura del cybersecurity specialist, figura da valorizzare e formare non solo a livello universitario.
A chiusura della sessione e di un “cerchio ideale” di riflessione – tra cybersecurity, privacy e il cloud come abilitatore digitale – arriva l’intervento finale di Valentino Squilloni, partner, Spike Reply: “Il cloud è abilitatore e può rappresentare la soluzione ai problemi di cybersecurity. Parliamo di un ambiente già fortemente regolamentato quando si parla di ‘cybersec’ anche per quanto riguarda il trattamento dati, ma crescono gli attacchi (il 13% di quelli del 2022 ha visto come obiettivo la sanità con un incremento del 25% sul 2021, ed è cresciuta la percentuale dei successi) cresce anche il numero degli apparati IoMT attaccabili”. Settore sanitario è considerato infrastruttura critica soggetta direttiva Nis del 2018, ed i dispositivi medici rientreranno tra gli “oggetti attenzionati” da Nis 2 in dirittura d’arrivo. Bisogna guardare agli adempimenti in modo trasversale unendo l’adozione di nuove tecnologie all’attenzione per processi e compliance.
“Adempimenti chiave sono security by design, e lavorare sul mindset – oggi ancora prevalentemente tecnologico e meno organizzativo o di processo – mentre serve un approccio votato alla “pervasive security” su tutto stack architetturale, dal front-end al cloud”. Punti cardine inoltre la gestione sicura delle identità, dei big data, e delle supply chain. “Serve inoltre migliorare la gestione degli incidenti informatici anche in relazione all’info-sharing con le autorità nazionali per la cyber-interactive intelligence”. La migrazione sul cloud deve seguire la strategia definita da Agid e Pnrr.
Ci sono tre anni di tempo per la migrazione su cloud di dati e servizi secondo la strategia cloud first. Ma per la cybersecurity il cloud è la soluzione? Risponde e chiude Squilloni: “Prima di tutto il cloud è opportunità di semplificazione, aggregando tecnologie, modelli e framework oggi in silos distribuiti e meno governati. Le tecnologie di security direttamente fornite dai Csp sono di sicuro più protette di quelle on-prem. Ma il cloud introduce anche nuovi rischi, pur aprendo a possibilità tecnologiche di difesa più avanzate. L’approccio vincente è sfruttare il momento di digital cloud transformation per migliorare la postura di security anche a livello applicativo ed il messaggio è implementare strategia di security insieme a quella cloud e di DT”. In Italia oggi non manca la disponibilità di budget ma serve superare la “frammentazione” di progetti e iniziative.
Leggi tutti i contributi dello speciale Digital Health Summit
© RIPRODUZIONE RISERVATA
