Negli ultimi due anni per mancato rispetto della privacy sui dati sanitari il Garante ha comminato sanzioni per 3 milioni e passa di euro l’anno, che sono arrivati già ad 11 nei primi mesi del 2017, causa maxi-ammenda da 10 milioni comminata proprio a Google. Segno che in fatto di privacy e cyber sicurezza sanitaria c’è ancora molto da fare, come dimostrano dati e report presentati in un incontro a porte chiuse con gli esperti del settore promosso dalla Fiaso, la Federazione di Asl e ospedali.
Certo, da noi fino ad oggi c’è stato solo qualche piccolo blocco dei sistemi informatici in alcuni ospedali. Subito risolto. Niente a che vedere con “WannaCry”, l’ultimo grande attacco cybernetico che ha creato il panico in ospedali e aziende di 74 Paesi.
Ma anche la nostra sanità è più che mai esposta. Asl e ospedali, racconta un Report della Sapienza di Roma, sono più indietro di Comuni, Regioni e Pubblica amministrazione centrale, sia in termini di consapevolezza del problema, che di organizzazione e difesa dai cyber-attacchi.
Il 41% delle Asl e il 46% degli ospedali ha dichiarato di non aver mai subito un tentativo di cyber attacco. Il 15 e il 32% ne ha segnalati meno di 100, mentre rispettivamente solo il 6 e il 4% ha inoltrato oltre 10mila segnalazioni.
I furti di dati sanitari ci sono. E hanno un costo. Fiaso ricorda i dati di un rapporto Ibm: ben 134 euro per ciascun italiano. Una tassa occulta che serve per ripristinare anti-virus, reinserire dati, risarcire i danneggiati. Danni economici che sono ancora nulla rispetto al rischio che informazioni assolutamente riservate sulla nostra salute finiscano nel migliore dei casi ad assicurazioni e fondi sanitari integrativi, nel peggiore alle aziende dalle quali dipende il nostro lavoro.
Sicuramente a proteggere le informazioni riservate sulla salute degli italiani non aiuta l’uso a volte un po’ spregiudicato che i medici fanno della Rete. L’83% di loro condivide informazioni sui pazienti via sistemi di posta elettronica che non forniscono garanzie in merito alla corretta gestione delle informazioni scambiate (tramite ad esempio una adeguata gestione di diritti di accesso a informazioni sensibili – rights management -, di criptazione delle informazioni in transito, ecc.), il 70% con sms e il 53% nei gruppi di whatsapp, “senza sapere quel che rischiano”, ha spiegato
Graziano de’ Petris, responsabile ufficio privacy dell’Azienda ospedaliera dell’Università di Trieste e docente di ingegneria clinica.
Il nuovo Regolamento europeo sulla privacy, che entrerà in vigore nel maggio del prossimo anno, darà una mano prevedendo l’istituzione di una nuova figura di responsabile della protezione dei dati. Ma la nostra sanità è a rischio soprattutto perché gli allarmi lanciati periodicamente dalla Polizia postale a oggi non vengono raccolti dalle singole Aziende sanitarie ed ospedaliere. “Manca un centro territoriale di diramazione degli alert, quello che in termini tecnici si chiama Cert. Esiste per banche e settore finanziario in genere, non per la sanità, ma è un vuoto che la Fiaso si è impegnata a colmare insieme al Centro nazionale anticrimine informatico della polizia postale”, annuncia il Presidente della Federazione di Asl e ospedali,
Francesco Ripa di Meana. “Nel frattempo, Fiaso ha condiviso con le Aziende una roadmap per arrivare preparati all’appuntamento europeo del maggio 2018”.
“Oggi la condivisione dei dati clinici è comunque essenziale ai nuovi modelli di assistenza centrati su presa in carico globale del paziente cronico e medicina d’iniziativa”, ricorda
Luca Baldino, Responsabile Fiaso Ict. “Ma ogni qualvolta contattiamo un assistito, per ricordare ad esempio che è ora di effettuare un controllo legato alla sua patologia, rischiamo di travalicare i limiti del diritto alla privacy. Per questo –aggiunge- è più che mai necessario elaborare meccanismi di rilevazione del consenso informato meno burocratici e farraginosi possibile”.
Ma “
non esiste un concetto di sicurezza assoluta e che qualsiasi sistema è vulnerabile. Per questo ogni azienda deve individuare al suo interno quali sono i dati più sensibili da proteggere”, precisa
Carlo Mauceli, Chief Technology Officer di Microsoft Italia, che ha affiancato Fiaso nell’organizzazione del workshop. Uno dei primi passi da compiere per proteggersi, e idealmente il più semplice, è l’aggiornamento dei sistemi. Così come gli hacker sviluppano continuamente nuovi e sempre più sofisticati sistemi per impadronirsi di dati e informazioni, altrettanto fanno i produttori di software, con l’obiettivo di ridurre il rischio di compromissione. Ma è proprio qui che si apre un’altra falla.
“Nel mondo applicativo ci sono tantissimi software che non permettono l’aggiornamento del sistema operativo, pena ad esempio la perdita delle certificazioni che i software stessi hanno ottenuto nel tempo. La complessità che nel tempo s’è venuta a creare rischia di minare pesantemente la gestione sicura dei dati dei pazienti” denuncia. “L’unica strada possibile per garantire la continuità del servizio e nel contempo la sicurezza dei sistemi – ha detto - è quella di
fare sistema con tutti gli attori, dai produttori di software di base e verticale, ai produttori di dispositivi clinici, ai responsabili di Asl e Aziende ospedaliere, oltre alle organizzazioni che sono intervenute oggi. Penso che in questo Fiaso possa giocare un ruolo fondamentale, come promotore di tavoli di lavoro volti ad approcciare la sicurezza e la data privacy in modo olistico”.