La sanità digitale non può prescindere dalla sicurezza informatica perché l’enorme mole di dati che riguardano la salute dei cittadini va messa in protezione. Ma è proprio l’elevata sensibilità delle informazioni a rendere oggi il settore sanitario un target ambito, con le risorse estorte che finiscono nel Dark Web come alimento per le organizzazioni criminali e con il comparto che appare il più colpito sul fronte cyber, in un trend che non rallenta. Di questi temi che ruotano attorno alla sicurezza del dato si discute nella giornata conclusiva del Digital Health Summit 2023, condividendo le strategie più efficaci per rendere l’ecosistema sanitario più sicuro facendo leva su protezione, valorizzazione e interoperabilità del dato stesso.
Cybersecurity, lo scenario italiano
E’ Rossella Macinante, BU leader di NetConsulting cube ad inquadrare il contesto della cybersecurity nel quale si colloca oggi la sanità. Nel 2022, il settore è stato il più colpito dagli attacchi con un trend ulteriormente rafforzatosi nel primo trimestre del 2023 (17% degli attacchi contro il 12% dell’anno precedente). Così come nella PA, crescono gli attacchi di tipo ransomware e DDos che determinano la totale interruzione del servizio online o l’impossibilità di accesso ai dati, criptati e sottoposti a ricatto.
Tra i principali punti di ingresso spiccano le vulnerabilità (16% dei casi), segno che il parco installato delle aziende è obsoleto o mal gestito. Le principali carenze riguardano la mancanza di una struttura dedicata alla cybersecurity (46% dei casi), ancora più marcata nelle regioni del Centro e Sud Italia (60%). Solo il 26% delle aziende ha una figura dedicata a proteggere l’organizzazione ed il tutto è acuito dalla mancanza di personale specializzato. I Cio segnalano in particolare la carenza di skill in cyber-sicurezza (45%), di esperti di cloud governance o cloud architect (38%) e di responsabili della gestione dei progetti del Pnrr (38%). Permangono forti carenze anche sul piano tecnologico, dove non si registrano progressi tra il 2021 e il 2022 ed emerge un forte ritardo nell’adozione di linee guida per lo sviluppo sicuro del software. In generale, le aziende non si considerano adeguate a valutare né tantomeno a correggere le proprie vulnerabilità.
Un dato positivo riguarda i budget destinati alla cybersecurity, che tendono a crescere in termini di valore, con investimenti che si avvicinano al 20% nel 2023 e superano il 20% nel 2024. Si parla di 143 milioni di euro nel 2023 la cui incidenza sulla spesa Ict si attesta tuttavia al 7% circa nel 2023, lontana dall’obiettivo ottimale e lontanissima, sia in termini di budget che di preparazione e organizzazione, da quella di altri settori parimenti attaccati, come il finance.
Come priorità di investimento in ambito cybersecurity è forte l’impegno delle regioni e delle aziende ospedaliere, soprattutto per quanto riguarda l’adeguamento delle risorse tramite formazione ed esercitazioni per rendere i dipendenti più consapevoli delle minacce e più preparati ad adottare comportamenti adeguati in caso di attacco. E se da un lato si cerca di recuperare terreno sui temi della data protection (53% aziende ospedaliere e 70% regioni) preoccupa che ci siano tematiche ancora poco presenti nelle agende dei Cio o Ciso, a partire dalla cloud security, ma anche IoT e OT security, gestione delle vulnerabilità, security analytics, identity governance e identity & access management, che si attestano tutte tra il 25 e il 28%, inferiori rispetto alle esigenze di adeguamento dei sistemi.
“Il percorso virtuoso verso la digitalizzazione della sanità non può essere portato a termine in maniera consapevole e sostenibile se non si affrontano in modo chiaro alcuni aspetti chiave – commenta Macinante -; a partire dalla necessità di adottare approcci di security by design o di data protection by design nello sviluppo degli applicativi così come di gestione dei rapporti con le terze parti per la migrazione verso il cloud perché la gestione della supply chain è uno degli elementi critici, non soltanto per le aziende sanitarie ma anche per le imprese private. Sul tema delle vulnerabilità, che rappresentano il tallone d’achille, serve adeguare il parco tecnologico, adottare una grande capacità di analisi e dotarsi di competenze interne per prioritizzare le azioni necessarie, perché gli interventi a pioggia sono inefficaci. Accrescere la struttura interna e la cultura cyber acquisendo maggiore consapevolezza attraverso piani di cyber-resilience ancora poco presenti nel mondo sanitario sono ulteriori strategie necessarie, così come basilare è la condivisione delle informazioni, anche al servizio della ricerca, per combattere in maniera efficace un male comune”, conclude Macinante.
Focus sulla data driven health
Sulla fruizione del dato nelle attività di ricerca e sperimentazione, interviene Giuseppe Parrinello, head of Digital Factory Healthcare di Exprivia: “In tema di cybersecurity, il Fascicolo Sanitario Elettronico 2.0 rappresenta un’opportunità poiché si tratta della prima volta che un sistema nazionale supera il tema della separazione regionale, uno degli ostacoli del passato. E’ un passo importante verso quella che sarà la modalità europea e l’occasione per non rifare gli errori del passato – afferma Parrinello –. Sappiamo tutti che il Fse è stato fino ad oggi poco più che un sistema di consegna dei referti, un raccoglitore di informazioni che rischia di essere fine a se stesso; con il Fse 2.0 vogliamo ripensare completamente questa logica per partire non dal posizionare i dati in grande numero ma dall’uso che vogliamo farne per generare valore; creare conoscenza a partire dalla raccolta dei dati“.
Degli aspetti trascurati della ricerca parla Marco Venditti, Cio di Fondazione Policlinico Universitario Campus Bio-Medico: “Spesso della mole di dati che raccogliamo internamente non ne facciamo un granché e dobbiamo quindi porci anche un problema di responsabilità – esordisce -. Responsabilità di come si predispongono i sistemi a poter sfruttare tutta la ricchezza dei dati già in possesso e quella ancora più grande che arriverà quando il Fascicolo Sanitario Elettronico verrà alimentato correttamente. Il problema che già oggi ci troviamo ad affrontare è che alcuni dati che sarebbero utili per condurre delle ricerche non sono consultabili. Con il Fse 2.0 e con l’introduzione della European Health Data Space avremo la possibilità di accedere a tutto un insieme di dati tramite i soggetti intermediari che avranno l’onere di rendere il più possibile anonimi i dati per consentirne un uso secondario, a livello epidemiologico, non solo clinico ma anche ai fini della ricerca scientifica”.
Ilaria Lana, Legal & Privacy partner di Roche, porta il caso di un’azienda che da molti anni investe non solo nella ricerca scientifica ma anche nel creare consapevolezza e cultura sul tema dell’utilizzo secondario dei dati: “Nelle attività di diagnostica e ricerca scientifica l’utilizzo secondario dei dati riveste un’importanza enorme – esordisce -. Tuttavia, molto spesso nel condurre la ricerca si trova una barriera rappresentata dalla privacy, dalla tutela e dalla protezione dei dati personali. Una conferma arriva anche dal nostro Progetto Open privacy, da cui emerge la difficoltà delle imprese di utilizzare i dati secondari per la ricerca o per altre attività legate al mondo della ricerca scientifica e al mondo comunitario, così come il tema della scarsa adozione delle soluzioni digitali da parte delle strutture sanitarie pubbliche e private per ragioni legate al trattamento e alla protezione dei dati personali”.
C’è il rischio di trattare il fenomeno dei dati senza averne la corretta percezione, ritiene Greta Nasi, professore associato del Dipartimento di Scienze e Politiche Sociali presso l’Università Bocconi, che dichiara: “Stiamo facendo un framing del problema non corretto se ragioniamo in termini di prospettiva unica della computer security senza un approccio olistico. Essendo indietro nella definizione dei propri modelli, la sanità può avvantaggiarsi del fatto che oggi sappiamo quali sono gli effetti a cascata degli attacchi da trattare in un’ottica diversa, con il supporto di tutti gli attori coinvolti a più livelli, non solo del mondo sanitario. Oggi il focus di attenzione è però esclusivamente sugli output organizzativi, e si evidenziano dei gap degli attuali modelli decisionali in cybersecurity, ovvero: la protezione delle infrastrutture anziché del valore a rischio per il servizio; un focus totalmente organizzativo e non di presa in carico; strategie basate su modelli a silos. Il valore a rischio va invece ben oltre e riguarda l’intero ecosistema delle aziende, gli individui e la società e nel nostro caso riguarda la vita delle persone”.
Leggi tutti i contributi dello speciale Digital Health Summit
© RIPRODUZIONE RISERVATA
