Cybersecurity, cosa va e non va nella sanità pubblica e privata

I risvolti negativi di una tecnologia avanzata, mancata formazione del personale delle aziende e password da aggiornare. Ecco le falle da cui entrano i pirati informatici per rubare le informazioni

Healthcare

L’attacco hacker che venerdì ha infettato i pc di mezzo mondo è solo l’ultimo in ordine di tempo, mettendo a nudo le troppe falle dei sistemi di sicurezza informatici. Nel caos che si è generato nei quasi cento Paesi colpiti, anche l’Italia trema, nonostante gli incidenti registrati siano stati di poco conto. Milano, Roma e Cagliari le città più bersagliate, ma niente di paragonabile a quanto accaduto nel Regno Unito dove l’intero sistema sanitario nazionale è andato in tilt.
Nei mesi scorsi il mensile di AboutPharma and medical devices si è occupato in maniera approfondita dell’argomento e ha delineato i fattori di rischio più comuni per quanto riguarda il comparto sanità.

Le due facce della tecnologia avanzata
Innanzi tutto alla base del problema c’è un paradosso. Più è alto il livello tecnologico delle strumentazioni, maggiore è il rischio di diffusione dei vari malware (ransomware). L’interconnessione dei vari dispositivi che ottimizza il lavoro dei professionisti e migliora l’aderenza terapeutica del paziente presenta però dei rischi, in quanto i vari device possono venire raggiunti da attacchi cibernetici in qualsiasi momento (AboutPharma and medical devices 136). Un esempio sono le app e-health che trasmettono da remoto i dati dei pazienti ai centri specializzati che forniscono riscontri diagnostici e terapeutici in tempo reale. Per evitare interferenze esterne, secondo Mirko Gatto, Ceo di Yarix, società italiana attiva nella sicurezza informatica (AboutPharma and medical devices 144) non è più rimandabile l’aggiornamento delle credenziali di accesso. Proprio come Google e Facebook servono almeno tre livelli di sicurezza: username, password e un terzo codice segreto creato in automatico dal sistema.

La formazione che manca
Si investe pochissimo in educazione informatica, sia nelle aziende private che in quelle pubbliche. Il personale di ospedali o società farmaceutiche hanno bisogno di un aggiornamento continuo affinché sia preparato a rispondere alle minacce esterne. Spesso però l’insidia si nasconde dove meno la si aspetta. Il rapporto “Global fraud risk 2016” dell’agenzia investigativa Kroll, come riportato da AboutPharma and medical devices 147 da un’indicazione precisa: è emerso che nel settore farmaceutico i più comuni esecutori di crimini cibernetici sono gli ex dipendenti (il 20%) e che l’ampio turnover dei vertici aziendali è uno dei maggiori fattori di rischio di frodi. “Non sempre bisogna aspettarsi un attacco da fuori. Vero è che spiegare – aveva dichiarato Marianna Vintiadis, responsabile dell’agenzia investigativa Kroll per il sud Europa nonché esperta di cybersecurity – al personale l’importanza dei dati può accrescere la consapevolezza del valore dei dati stessi, ma spingere verso una valorizzazione di queste informazioni a livello aziendale, crea una cultura più protettiva. I benefici sono maggiori dei danni”.

Il Cloud
Oltre all’aggiornamento degli accessi e all’implementazione della formazione, va considerato anche il cloud. L’utilizzo di sistemi cloud-based rappresenta il futuro per i big data. Maggiore governabilità delle informazioni dei pazienti, ma soprattutto maggiore sicurezza. Come ha detto Paolo Colli Franzone dell’osservatorio Netics “la quantità di attacchi cibernetici è destinata a crescere del 25% a partire dal 2026”.