54288279 - business corporate protection safety security concept

Cyber Risk: una nuova minaccia alla sicurezza del paziente.

Il Sole 24 Ore Sanità del 20 settembre u.s. punta l’attenzione su un’indagine dei Lloyd’s, società leader nel settore assicurativo a livello internazionale, incentrata sulla sicurezza informatica e in particolare sui modi con cui le aziende europee, comprese quelle medico-sanitarie, stanno affrontando la problematica, crescente, della protezione dei dati sensibili dai rischi informatici.

La normativa europea, declinata nel Regolamento Generale per la Protezione dei Dati (Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali), esprime chiaramente una responsabilità dei vertici aziendali in merito alla sicurezza dei dati informatici. Le sanzioni arrivano fino a € 20 milioni per le organizzazioni che non si adoperino per attivare sistemi di protezione dei dati. 

Il quadro che emerge dalla citata indagine dei Lloyd’s “Facing the Cyber Risk Challenge” appare piuttosto preoccupante: su un campione di circa 350 fra le più grandi aziende europee, il 92% ha dichiarato di aver subito una violazione della sicurezza dati; in Italia, circa l’80% delle aziende è stato vittima di una violazione informatica negli ultimi cinque anni.

L’indagine rivela inoltre che la percezione del cyber risk nel settore medico-sanitario è inferiore a quella del settore bancario e finanziario (32% contro 46%), a dispetto dell’elevata frequenza di episodi di violazione informatica subiti proprio dalle aziende sanitarie (96% del campione di strutture analizzato): solo un terzo di queste aziende ritiene che la violazione possa ripetersi mentre il 12%, sottovalutandone fortemente l’impatto economico, pensa che un attacco informatico possa determinare semplicemente una perdita di clientela; si aggiunga che il 53% delle aziende ha dichiarato di conoscere poco o nulla il Regolamento Generale per la Protezione dei Dati dell’UE (che entrerà in vigore in Europa entro i prossimi due anni) e che solo il 3% ne ha una conoscenza approfondita.

Troppe aziende operanti nel settore salute sottovalutano dunque il rischio di violazioni informatiche e le conseguenze, sociali e finanziarie, del loro verificarsi.

Le possibili cause di violazione dei dati sensibili sono in effetti molteplici, da quelle ‘interne’ come la perdita, il furto o lo scarto (incauto) di un’apparecchiatura (46%) e la violazione intenzionale di dati da parte di personale interno all’azienda (40%); a quelle ‘esterne’ correlate all’attività di hackers che agiscano a scopo di lucro (49%), per ragioni politiche (48%), per conto di competitors (42%). Il rischio informatico è peraltro crescente se consideriamo che l’informatizzazione della medicina evolve rapidamente, e che potremmo presto trovarci di fronte ad un Servizio Sanitario Nazionale, come quello inglese, laddove “si deve abbracciare l’era dello smartphone” come dichiarato dal Ministro britannico della salute J. Hunt pochi giorni fa: dalla going paperless alla diagnosi a distanza fino a MYHSN, la piattaforma web unica del servizio sanitario che renderà possibile ad ogni utente di prenotare appuntamenti, farsi prescrivere ricette e ritirare referti ed esiti di esami che confluiranno in una cartella clinica personale virtuale.

Le situazioni a rischio (informatico) aumentano quindi nella sanità più rapidamente di quanto percepito mentre la consapevolezza della problematica e del suo impatto da parte delle aziende sanitarie è ancora minima.

Negli USA, ad esempio, la violazione delle regole delll’Health Insurance Portability e Accountability Act (HIPAA) risultante dalla mancanza di controlli di sicurezza per evitare le violazioni informatiche, ha già comportato l’attribuzione di grosse sanzioni pecuniarie alle aziende sanitarie: Wellpoint è stato multato per $ 1,7 milioni, CVS Pharmacy ha pagato $ 2,25 milioni, Massachusetts Eye and Ear Infirmary e Massachusetts Eye e Ear Associates hanno raggiunto $ 1.5 milioni, Blue Cross e Blue Shield del Tennessee hanno accettato di pagare $ 1.5 milioni di dollari come risultato di questo tipo di violazioni.

Anche in Italia saranno previste sanzioni amministrative molto severe nei confronti dei responsabili del trattamento dei dati che violino le norme sulla protezione dei dati (fino a € 20 milioni o fino al 4% del loro fatturato globale annuo) stabilite nel recepimento del Regolamento europeo.

Bisogna lavorare quindi sulla sicurezza adottando pratiche che migliorino sia la sicurezza interna che quella esterna. 

La rivista Journal of Healthcare Risk Management ha appena pubblicato una checklist per aiutare le aziende sanitarie a migliorare la sicurezza informatica interna. La lista “Insider Best Practices” suggerisce in particolare di osservare i seguenti punti:

1. eseguire controlli approfonditi su tutto il personale dell’azienda (impiegati full-time, part-time e a contratto);

2. limitare l’accesso completo alle informazioni sanitarie elettroniche ai soli addetti autorizzati;

3. limitare l’accesso dell’utente alle banche dati e alle reti utilizzando password di file, di campo e di cartelle;

4. implementare le regole del firewall e gestire le restrizioni di accesso degli utenti in base ai ruoli e alle responsabilità di lavoro;

5. separare i compiti tra il personale, inclusi gli appaltatori dei sistemi informatici;

6. utilizzare l’autenticazione a 2 o 3 livelli per l’accesso ai sistemi;

7. sottoporre ad audit e revisione questa attività come una qualunque responsabilità di lavoro;

8. provvedere alla gestione dei log e degli audit trail di tutti i sistemi di accesso dei dipendenti;

9. revisionare i log di telecamere, parcheggi, accessi al sistema, accessi alla struttura di cura e tutte le altre fonti elettroniche per convalidare l’accesso e l’uso individuali;

10. effettuare la formazione dei dipendenti su base annua;

11. interrompere l’accesso al sistema dei soggetti che lasciano l’organizzazione immediatamente dopo le dimissioni o il licenziamento e ritirare immediatamente anche tutti i dispositivi elettronici lasciati in suo all’operatore.

Inoltre, gli appaltatori che hanno accesso alle informazioni sanitarie dovrebbero essere controllati in maniera regolare e i contratti dovrebbero includere clausole sulla responsabilità, anche per violazione dei dati sanitari dei pazienti.

In conclusione, è indubbio che le strutture sanitarie abbiano oggi l’opportunità di migliorare l’efficienza dei propri servizi implementando l’informatizzazione ma dovranno parallelamente essere pronte anche a fronteggiare i risvolti negativi di questa evoluzione, tra cui l’incremento del rischio di violazione dei propri sistemi e le conseguenze negative da esso derivanti.

Poi, forse, non bisognerebbe neanche dimenticare il fatto osservato dal Centro Studi Fimmg, magari tutto nostrano, secondo cui il paziente italiano è ancora legato alla necessità di un rapporto diretto, umano e personale con il medico curante; rapporto che, probabilmente meno efficiente per la realizzazione delle attività aziendali, potrebbe essere d’altra parte più efficace nel raggiungere l’obiettivo principe dell’attività medica, anche con minori rischi medico-legali, legali ed economici per le strutture di cura.

Articolo a cura di: Fidelia Cascini, Valentina Valentini    

[1] Landen R, Conn J. Wellpoint to pay $1.7 million HIPAA penalty. Modern Healthcare. http://www .modernhealthcare.com/article/20130711/NEWS/307 119954#ixzz2bCrDh92l?trk=tynt

[2] Sandra J. Blanke and Elizabeth McGrady “When it comes to securing patient health information from breaches, your best medicine is a dose of prevention: A cybersecurity risk assessment checklist”. Journal of Healthcare Risk Management.  Volume 36, Issue 1, 2016, Pages: 14–24.