Cybercrime Sanitario. Una storia NON a lieto fine.
“Ci risiamo”. Occorrerebbe dir questo. “Ci risiamo”. E’ notizia odierna l’attacco hacker all’ospedale Vanvitelli di Napoli. Preso di mira il LIS secondo le prime ricostruzioni. Ma perchè il Sistema Sanitario Nazionale (non solo Italiano, ma soprattutto quello Italiano) è ormai la preda preferita dalle organizzazioni Criminali e dalle Cybergang? Occorre fare un pò di chiarezza ed evidenziare quali siano le “vere” cause di tale debolezza.
Esegesi di una storia NON a lieto fine
Era il 16 marzo 1978, quando venne rapito Aldo Moro, il Segretario del più importante partito politico dell’epoca, la Democrazia Cristiana. La sua uccisione, ad opera del gruppo terroristico delle Brigate Rosse, indurrà la formazione di un Governo di Unità Nazionale che prenderà misure urgenti e varerà con una rapidità inconcepibile per la politica italiana in tempi ordinari tre leggi sanitarie che cambieranno la vita di milioni di persone. La prima, n. 180, per la riforma dell’assistenza psichiatrica, la seconda, n. 194, per la tutela sociale della maternità e sull’interruzione volontaria della gravidanza, la terza, n. 833, per la istituzione del Servizio Sanitario Nazionale (SSN). Da quel momento l’Italia si proiettava tra le nazioni più avanzate del Pianeta per i livelli di assistenza erogati alla propria popolazione. L’introduzione di un sistema sanitario universalistico ha catapultato l’Italia, in breve tempo, ai vertici delle classifiche degli indicatori sanitari mondiali, con la maggiore aspettativa di vita dopo il Giappone, la forte riduzione della mortalità materna e, in alcune regioni, la più bassa mortalità infantile del mondo.
Quel 16 marzo 1978 ha cambiato radicalmente la storia evolutiva ed il rinnovamento tecnologico del nostro SSN aprendo le porte, negli ultimi 40 anni, ad enormi passi avanti grazie ad i continui progessi compiuti dall’Information Technology.
A questo punto la domanda sorge spontanea: Perchè allora il Settore Sanitario è così esposto al rischio Cyber?
Il problema dell’Interoperabilità
L’interoperabilità in sanità è la capacità di due o più sistemi – applicazioni software o dispositivi sanitari – di scambiarsi informazioni in modo sicuro affinché tutti siano in grado di comprenderne in maniera precisa il significato. Una metafora semplice ma efficace per comprendere l’importanza dell’interoperabilità e perché non la possiamo dare per scontata è il racconto biblico della Torre di Babele. Nella Genesi si può leggere che ci fu un tempo in cui gli uomini decisero di costruire una torre alta fino al cielo e il Signore, cista la presunzione umana, si risentì della cosa e fece in modo che le persone impegnate nella costruzione iniziassero a parlare lingue diverse e non si capissero più. La confusione che ne nacque non permise ovviamente di completare la costruzione.
Dobbiamo quindi pensare al servizio sanitario come ad una grande e complessa costruzione, composta da componenti digitali molto diverse tra di loro, che oggi parlano nella maggior parte dei casi lingue diverse e lo stesso concetto viene scritto e descritto in modo differente con codifiche e valori numerici che due o più sistemi diversi non sono in grado di scambiarsi in maniera reciprocamente comprensibile, al fine di costruire un unico e coerente insieme di informazioni.
Dobbiamo operare al contrario della storia della Torre di Babele. Partiamo oggi da un insieme di sistemi che non dialogano perché parlano lingue diverse e per ottenere un unico insieme di componenti in grado di dialogare dobbiamo agire su quattro livelli:
Interoperabilità tecnologica: è quella più semplice da capire ed è la capacità dei sistemi di collegarsi tra di loro e scambiarsi informazioni. Questo in realtà è stato un problema fino a qualche anno fa, ma lo è sempre meno con l’affermarsi di applicazioni nate e progettate per il web e capaci di comunicare tramite opportuni servizi.
Interoperabilità sintattica: riguarda la struttura con cui sono state compilate le informazioni. Si tratta di un aspetto molto importante: un sistema potrebbe memorizzare l’indirizzo in un unico testo:
Indirizzo: “Via Tal dei Tali, 1, 92024 Canicattì (AG)”
mentre un altro dividerà le informazioni in modo più strutturato: Indirizzo: “Via Tal dei Tali” - Numero civico: 1 - CAP: 88900 - Comune: Crotone - Provincia: KR
È importante osservare che i due sistemi, pur contenendo le stesse informazioni, non sono interoperabili
Interoperabilità semantica: l’interoperabilità sintattica è fondamentale ma non è sufficiente quando si vogliono esprimere dei concetti precisi. Nell’esempio precedente il concetto di CAP è legato alla tabella dei codici di avviamento postale associati ai Comuni e due sistemi diversi sono in grado di comprenderne il significato perché questa è una codifica standard riconosciuta, ma se in una diagnosi viene descritta la patologia come “Cancro al midollo” oppure come “Neoplasia maligna al midollo osseo” un medico sarà in grado di capirne l’equivalenza ma un sistema digitale – che non è un essere umano – considererà questi due concetti diversi. Per ovviare a questo problema è possibile, come nel caso del CAP, ricorrere a dei sistemi di codifica unanimemente riconosciuti.
Interoperabilità organizzativa: questo tipo di interoperabilità spesso non viene citato ma è molto importante. Una volta definita la sintassi (forma) delle informazioni e il loro significato (classificazioni) è importante capire anche in che contesto le informazioni vengono prodotte. Le organizzazioni moderne devono sempre più organizzarsi in processi e definire delle procedure all’interno delle quali avvengono delle azioni o degli eventi che alimentano il sistema con delle informazioni. Se per esempio viene misurata più volte la pressione durante una prova da sforzo, ha poco senso che queste informazioni vengano inserite insieme ad altre misurazioni a riposo per stabilire quale sia la pressione media della persona, questo solo per fare un esempio pratico di come sia importante che le informazioni vadano contestualizzate all’interno del processo che le ha prodotte.
Nella timeline dell’adozione e dell’implementazione di tecnologie digitali nella Sanità ci sono state, e ci sono tutt’ora, differenze fra le diverse specializzazioni che hanno portato negli scorsi decenni ad avere Sistemi Informativi Sanitari “chiusi”, “ad isola”, “verticali”. Tutto questo ha determinato le 4 specie di interoperatibilità sopra elencate.
Perchè l’interoperatibilità è un problema per la Cybersecurity?
Come detto, la sanità è, per sua natura, un contesto di elevata eterogeneità di sistemi informativi e di dati. In un’azienda sanitaria possono essere presenti sino a cento differenti applicazioni o sistemi informativi. Ciascuno di essi è un’isola auto-consistente composta da uno o più database. Ogni sistema che gestisce o tratta informazioni sui pazienti possiede, ad esempio, una propria anagrafica, degli archivi sulle codifiche e i dati strutturati, nonché una serie di archivi con i dati che l’applicazione gestisce o a cui si riferisce.
A differenza di altri settori, in cui il concetto di ERP si è affermato nel tempo riducendo così il numero e l’eterogeneità dei sistemi informativi e delle basi dati, questo paradigma non ha avuto successo nella sanità per le seguenti ragioni:
Il numero, l’ampiezza funzionale e la varietà dei processi presenti in un’azienda sanitaria – amministrativi, gestionali, logistici, sanitari, clinici, diagnostici, assistenziali, etc..
La forte verticalizzazione e specializzazione dei diversi domini applicativi che richiedono competenze e soluzioni dedicate
I meccanismi di procurement in sanità che spesso privilegiano la sostituzione di singole aree applicative
La difficoltà di mettere in esercizio grandi sistemi informativi con logica “big bang” piuttosto che di sostituzione modulare di singole applicazioni
In un’azienda sanitaria sono dunque presenti sistemi di diversi fornitori, molto eterogenei per architettura, tecnologie, funzioni. La frammentazione e l‘eterogeneità sono presenti non soltanto nelle aziende sanitarie, ma negli stessi portafogli di soluzioni dei fornitori. I più grandi di essi, che coprono quasi tutte le aree applicative di un’azienda sanitaria, hanno un’offerta composta da una grande varietà di applicazioni.
Ecco perchè proprio l’interoperatibilità rappresenta una delle più grandi debolezze e vulnerabilità per la Healthcare Cybersecurity.
Questa mancanza di standardizzazione rende difficile l’interoperabilità tra i vari sistemi sanitari di strutture diverse. Ad esempio, potrebbe essere complicato per un ospedale condividere e accedere ai dati dei pazienti con un laboratorio che utilizza un sistema informativo diverso, ma è purtroppo frequente che due reparti di uno stesso ospedale abbiano difficoltà nello scambio di informazioni dovute proprio all’utilizzo di sistemi diversi e non interoperabili. Questa mancanza di interoperabilità espone vulnerabilità che possono essere sfruttati da Cybercriminali, che possono approfittare delle falle nella comunicazione e nell’integrazione tra i sistemi per accedere illegalmente ai dati o introdurre malware.
Le barriere all’aggiornamento evolutivo
“Perchè devo spendere € 5.000 di licenze windows per aggiornare i PC aziendali se funzionano benissimo con windows 7? E se poi il sistema di refertazione di radiologia o il registro operatorio digitale non funziona più?”
“Come faccio a dire al produttore dell’ecografo di aggiornare la versione di embedded di windows? Sai quanto ci costrerebbe? Poi ormai lo abbiamo da 15 anni e funziona bene, non è il caso ora di fare un upgrade della macchina”
Ecco, questa sono frasi “tipo” che purtroppo nel corso della mia vita e carriera professionale mi sono sentito ripetere troppe volte.
I sistemi informativi sanitari spesso includono software e hardware legacy, che possono non essere supportati dagli sviluppatori con aggiornamenti e patch di sicurezza regolari. Questo può derivare dalla mancanza di risorse finanziarie per l’aggiornamento dei sistemi o dalla dipendenza da sistemi legacy che non sono più supportati dai fornitori. La mancanza di aggiornamenti e patch rende i sistemi vulnerabili ad exploit noti e attacchi noti, in quanto gli attaccanti possono sfruttare le vulnerabilità precedentemente identificate e corrette.
Il senso di Onnisscenza/onnipotenza
E’ provocatorio, ma l’intento è proprio questo ovvero sensibilizzare, fare chiarezza ed aiutare l’adozione di un nuovo paradigma mentale da parte di tutti gli operatori sanitari.
Se i ransomware rappresentano il principale strumento impiegato da chi intende perpetrare un data breach, tuttavia uno dei principali nemici della sicurezza dei dati è un altro: l’errore umano.
Nell’ambito sanitario, è spesso necessario condividere informazioni tra diverse organizzazioni, come ospedali, cliniche, laboratori e assicuratori. Tuttavia, la mancanza di interoperabilità e standardizzazione tra i sistemi informativi può rendere difficile una condivisione sicura e controllata dei dati.
“Interoperatibilità? VPN? Mah guarda, io salvo tutto sulla mia pennetta, tanto al computer di reparto mi siedo solo io”
“Perchè devo effettuare il logout quando mi sposto? E se poi arriva un’urgenza? Mica posso perdere tempo a fare il login”
Anche queste sono “frasi Standard” sentite e ri-sentite.
La mancanza di consapevolezza e di formazione sui rischi e sulle best practice in materia di sicurezza informatica può portare a comportamenti potenzialmente disastrosi.
Nel 2021, la Regione Lazio ha registrato e mandato in onda una serie di “spot” per promuovere la campagna di vaccinazione. In uno di questi spot si vedeva in secondo piano uno schermo di un pc (quindi “un Hacker” poteva capire il software utilizzato) ed una lavagna su un muro con una serie di “bigliettini” contenenti frasi tipo “user…. / pdw….”. La Regione Lazio nel 2021 è stata vittima di un massiccio attacco che ha paralizzato per giorni il Sistema Sanitario Regionale.
La via dell’Healthcare Cybersecurity
Come detto l’intero comparto della sanità in Italia è vulnerabile ai cyber attacchi. Secondo il rapporto CLUSIT 2022 sulla sicurezza ICT, il settore sanitario è stato l’obiettivo del 13% degli attacchi informatici tentati lo scorso anno, in aumento del 24,8% rispetto al 2020.
È difficile comprendere le opportunità e capire i rischi se mancano competenze digitali e consapevolezza.
Prima di pensare alla struttura informatica, è fondamentale sapersi porre le giuste domande.
Oltre agli investimenti in nuove tecnologie, hardware/software, più performanti, alla qualità e capacità di analisi, è necessario che vi siano delle procedure di condotta sia in ambito clinico che nel trattamento dei dati personali. Tali procedure per essere efficaci ed effettive necessitano di una preliminare analisi dell’as is in cui si trova la struttura.
Adeguare, aggiornare, o spesso, creare da zero procedure significa aumentare le performance e garantire al meglio i vantaggi di cura e assistenza al paziente. Allo stesso modo si mitigano le potenziali vulnerabilità e debolezze e quindi le violazioni di sicurezza in grado di impattare su libertà e diritti delle persone fisiche nella gestione del dato personale, riportando al centro la tutela del paziente.
Fondamentale è comprendere che tutto il personale, partendo dall’alto della piramide (perchè se “il capo” non cambia approccio, “la truppa” non cambia approccio) deve essere aggiornato senza soluzione di continuità: sia in relazione agli aspetti operativi della propria mansione o arte medico-chirurgica, sia in merito al rispetto delle norme in materia privacy e quindi alla gestione del dato personale.
Altro passo fondamentale è investire in ricerca e sviluppo, in nuove tecnologie Hardware/Software per superare la frammentazione ed i limiti della NON interoperatibilità che sono anche il risultato di una mancanza di competenza, esperienza e cultura della tecnologia. La sanità, non solo italiana, è indietro rispetto ad altri ambiti perché la tecnologia non è considerata nel suo fondamentale valore strategico e di servizio all’utenza. La strada è applicare uno standard interoperabile superando lo sviluppo a macchia di leopardo di una miriade di sistemi non comunicanti.
Infine, confermando il fatto che se il rischio non è conosciuto, ovvero identificato e misurato, tanto meno si è in grado di gestirlo.
Pertanto anche il set informativo relativo al tema della gestione del rischio cyber, si presenta come un’area da migliorare.
Oggi, la storia NON ha un lieto fine, la speranza, frutto di impegno e lavoro continuo da parte di tutti (Amministrazioni centrali, Produttori di Soluzioni tecnologiche, Utilizzaroti, Pazienti) è che si possa un giorno dire “ci sbagliavamo. Il lieto fine è qui, è ora”.
Commenti (0)
Nessun commento ancora. Sii il primo a commentare!