Tali applicazioni facilitano anche aspetti logistici dell’erogazione del servizio, come può essere la prenotazione di visite ed esami o l’attuazione di alcuni sondaggi condotti online. Soluzioni digitali possono supportare inoltre la promozione di uno stile di vita sano e prevenire le malattie anche attraverso il monitoraggio di parametri clinici in real-time.

Tuttavia, affinché tutte le parti interessate possano beneficiare e fidarsi pienamente dei servizi e prodotti elettronici, tali piattaforme digitali devono essere adeguatamente progettate, implementate in modo corretto e fornire un livello accettabile di sicurezza e privacy.

I sistemi informatici sanitari e i dispositivi medici collegati alla rete possono essere considerati come due componenti principali dell’ecosistema sanitario, che richiedono schemi di protezione certificati – a partire dai chip a semiconduttore utilizzati nei dispositivi, passando per piccoli dispositivi medici (misuratori, pacemaker, ecc.), apparecchiature di grandi dimensioni (radiografia, risonanza magnetica), a sistemi e servizi IT (device e servizi in cloud). L’Health Information Technology è l’applicazione dell’IT al settore sanitario con lo scopo generale della gestione dello scambio di informazioni tra tutte le parti interessate (agenzie sanitarie governative, medici, pazienti, amministratori di dati, compagnie assicurative e altri).

Il termine “Internet delle cose mediche” si riferisce alle tecnologie Internet delle cose (IoT) nel settore sanitario e consiste in un’infrastruttura che collega vari dispositivi medici nella rete. La particolarità del settore sanitario consiste nel fatto che è fortemente regolato da molteplici atti legislativi a livello europeo.

Esistono diverse categorie di minacce che possono influire sui sistemi IT sanitari che, di fatto, sono costituiti da vari elementi e tecnologie. I dispositivi sanitari sono altamente interconnessi, avendo anche la possibilità di connettersi automaticamente ad altri dispositivi. A causa della mancanza di omogeneità dei sistemi informatici sanitari, costituiti da molti parti funzionali e tecniche, le possibili minacce alla sicurezza possono essere raggruppate in diverse e distinte categorie.

La sicurezza informatica costituisce, infatti, un fattore di rischio particolarmente rilevante nella gestione dei dati sanitari. Solo nel 2019 e solo negli Stati Uniti sono stati pagati $ 12.274.000 all’Office for Civil Rights in multe e liquidazioni per 10 cause che hanno coinvolto violazioni dei dati sanitari¹; le persone coinvolte nel 2019 sono state circa 40 milioni¹.

Sfide per la sicurezza informatica nell’assistenza sanitaria

1. Stabilire una cultura della sicurezza: la formazione e l’educazione continuative alla sicurezza informatica sottolineano che ogni membro dell’organizzazione è responsabile della protezione dei dati dei pazienti, creando un sistema sicuro e verificabile
2. Protezione dei dispositivi mobili: un numero crescente di operatori sanitari utilizza dispositivi mobili di diverso tipo al lavoro. La crittografia e altre misure di protezione sono fondamentali per garantire che qualsiasi informazione su questi dispositivi sia sicura.
3. Mantenere buone abitudini informatiche: l’inserimento di nuovi dipendenti dovrebbe includere la formazione sulle migliori pratiche per l’uso del computer, inclusa la manutenzione del software e del sistema operativo.
4. Utilizzo di firewall e di altri sistemi di protezione e verifica dell’integrità: tutto ciò che è connesso a Internet dovrebbe avere un sistema adeguato di prevenzione e identificazione delle violazioni dei databases o corruzioni del sistema.
5. Installazione e gestione del software antivirus: non basta installare il software antivirus. Gli aggiornamenti continui sono essenziali per garantire che i sistemi di assistenza sanitaria ricevano la migliore protezione possibile nel tempo anche rispetto a malware di nuova generazione.
6. Pianificare gli imprevisti: è necessario eseguire regolarmente il backup dei file per un ripristino dei dati rapido, semplice ed efficiente. Le organizzazioni dovrebbero considerare la possibilità di archiviare queste informazioni di backup in più copie e lontano dal sistema principale, avvalendosi eventualmente anche di sistemi paralleli.
7. Proteggere il controllo dell’accesso alle informazioni sanitarie: l’accesso alle informazioni protette dovrebbe essere concesso in maniera piramidale solo a coloro che necessitano la visualizzazione o la modifica dei dati per l’espletamento delle proprie funzioni.
8. Utilizzare password complesse e modificarle regolarmente: il già citato rapporto della società Verizon² ha rilevato che il 63 percento delle violazioni dei dati confermate implicava l’utilizzo di password predefinite, deboli o rubate. Gli operatori sanitari non devono solo utilizzare password complesse, ma assicurarsi che vengano cambiate regolarmente.
9. Limitare l’accesso alla rete: eventuali software, applicazioni e altri programmi non devono essere installati nei sistemi informatici dal personale senza il previo consenso delle autorità organizzative competenti.
10. Controllo dell’accesso fisico: i dati possono essere violati anche in caso di furto di dispositivi fisici; computer e altri dispositivi elettronici che contengono informazioni protette devono essere tenuti sotto stretta sorveglianza e/o in aree sicure.

Oltre a queste raccomandazioni, i professionisti dei dati sanitari sviluppano continuamente nuove strategie e migliori pratiche per garantire la sicurezza dei dati sanitari sensibili, proteggendo sia il paziente che l’organizzazione da situazioni che, oltre a un danno finanziario, possano generare implicazioni di tipo legale e altre forme di danno.

Le istituzioni a supporto della sicurezza informatica

L’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA) contribuisce attivamente alla politica europea in materia di cybersicurezza, sostenendo gli Stati membri e le parti interessate dell’Unione europea a fornire una risposta agli incidenti informatici su vasta scala che si verificano a livello internazionale e transnazionale. Questo lavoro contribuisce anche al corretto funzionamento del mercato unico digitale. L’Agenzia lavora a stretto contatto con gli Stati membri e il settore privato per fornire consulenza e soluzioni e migliorare le loro capacità. Questo supporto include tra l’altro:

• gli esercizi paneuropei di cybersicurezza;
• lo sviluppo e la valutazione delle strategie nazionali in materia di cybersicurezza;
• cooperazione tra CSIRT (Computer Security Incident Response Team) e sviluppo delle capacità;
• studi su IoT e infrastrutture intelligenti, quali questioni di protezione dei dati, tecnologie per il miglioramento della privacy anche su tecnologie emergenti, eID e servizi fiduciari, identificando il panorama delle minacce informatiche e altro.

L’ENISA sostiene inoltre lo sviluppo e l’attuazione delle politiche e delle leggi dell’Unione Europea in materia di sicurezza delle reti e dell’informazione (NIS) e assiste gli Stati membri e le istituzioni, gli organismi e le agenzie dell’Unione europea nell’elaborazione e attuazione delle politiche di divulgazione delle vulnerabilità su base volontaria.

Dal 2019, in seguito all’entrata in vigore della legge sulla cybersicurezza (regolamento 2019/881), l’ENISA è stata incaricata di identificare gli schemi europei che fungono da base per la certificazione di prodotti, processi e servizi a supporto del mercato unico digitale.

L’importanza delle piattaforme digitali nella sanità è costituita non solo dal fondamentale contributo fornito al benessere sociale e finanziario, ma più specificamente alla possibilità di condividere informazioni critiche per i processi di cura. Tuttavia, particolare enfasi da parte di tutti gli stakeholder dovrebbe essere posta sulla sicurezza e sui rischi derivanti da attività fraudolente che creano una violazione o la corruzione di dati sanitari sensibili. Dato che i servizi sanitari sono stati riconosciuti come una funzione sociale fondamentale, è importante analizzare in che misura i vari sistemi e infrastrutture di sanità elettronica sono fondamentali per la erogazione sicura di servizi sanitari ed implementare sistemi di sicurezza che mitighino i rischi connessi al loro utilizzo.