Healthcare security

Cyber Security in Sanità: cosa emerge dal Rapporto Clusit 2023

La Sanità è il secondo settore più colpito dagli attacchi informatici: grazie alla ricchezza dei dati personali e sensibili, è uno dei target più attraenti per gli hacker. Le ragioni degli attacchi sono cambiate e oltre il 70% di essi ha avuto impatti gravi o molto gravi sulle strutture sanitarie colpite. Ecco a cosa occorre prestare attenzione per mettere in sicurezza i sistemi

Pubblicato il 20 Set 2023

Francesco Curtarelli

Legale, Associate Partner P4I

Rebecca Rigon

Avvocato e Privacy Consultant di P4I

Cyber-Security-in-Sanità

Il Rapporto Clusit 2023 presenta un interessante focus sulla Sanità evidenziando come tale ambito, nel 2022, sia stato il secondo settore più colpito dagli attacchi informatici (peraltro, di stampo per lo più criminale), pur restando il 45% delle violazioni ignote quanto alle cause, con conseguente riconduzione ad ipotesi di data breach.

La violazione dati rimane, pertanto, un’ipotesi altamente probabile per il titolare di dati sanitari che deve, quindi, prepararsi ad affrontarla sia sotto il profilo della gestione materiale dell’incidente, sia sotto quello delle decisioni circa la necessità o meno di notifica all’Autorità Garante e/o di comunicazione all’interessato (su cui tornano a fornire chiarimenti le ultime Linee guida EDPB 9/2022).

Cyber Security in Sanità: il Rapporto Clusit 2023

Il Focus Sanità del Rapporto Clusit 2023 esordisce con due dati di particolare interesse per comprendere meglio la situazione relativa alla Cyber Security in Sanità:

  • quello della Sanità è, nel 2022, il secondo settore più colpito dagli attacchi informatici dopo “multiple targets”, con una percentuale sul totale del 12,2%.
  • sono cambiate le ragioni dell’attacco, tutte spostate adesso sulla criminalità informatica, spesso finalizzata a monetizzare invece che fare azioni dimostrative o di spionaggio.

L’impatto degli attacchi sulle strutture sanitarie

L’elemento che interessa nell’ambito della protezione dati è che “oltre il 70% degli attacchi ha avuto impatti gravi (46%) o molto gravi (25%) sulle strutture sanitarie colpite”.
E, analizzando i dati degli ultimi 4 anni, risultano “aumentati proprio gli attacchi critici (3,1% nel 2022 rispetto al 2,5% del 2021)”.

Quanto alle tecniche utilizzate, analizzando i dati si ricava che – nel 45% dei casi – non risultano note e vengono quindi ricondotte genericamente ad ipotesi di data breach.

Mentre, con riguardo ai veri e propri attacchi, si può distinguere tra:

  • malware (33%);
  • sfruttamento di vulnerabilità (11%);
  • compromissione di account (7%);
  • phishing o social engineering (4%).

Cyber Security in Sanità: la situazione in Italia

Considerando la situazione del nostro Paese, si evidenzia che “i cyber attacchi negli ultimi 4 anni sono praticamente triplicati”: “dai 3 del 2018 ai 9 del 2021 e 2022, con una severity che, nell’ultimo anno, è critica nel 78% dei casi e alta nel restante 22%”.

Dalle verifiche svolte, i Malware costituiscono la tecnica più utilizzata per svolgere attacchi contro le strutture sanitarie italiane, per cui si consiglia ai titolari di procedere ad un costante monitoraggio dei propri sistemi onde prevenire ed evitare sia ipotesi di attacchi sia, generalmente, data breach.

Organizzazioni sanitarie: la formazione del personale elemento cruciale per la Cyber Security in Sanità 

Dunque, “i dati mostrano che la Sanità è uno dei target più attraenti per gli hacker, grazie alla ricchezza dei dati personali e sensibili, particolarmente preziosi da rivendere nel dark web”.

Per mettere in sicurezza i sistemi, la formazione è uno dei punti chiave della strategia, considerando che, spesso, “l’utente poco consapevole può invalidare le contromisure messe in atto all’interno dell’organizzazione con comportamenti imprudenti o sbagliati”.
Si pensi, in questo senso, al fatto che la maggioranza degli incidenti riportati nel 2022 sono riconducibili a data breach.

Secondo il Rapporto Clusit 2023, occorre prestare attenzione non solo agli utenti delle posizioni intermedie all’interno di un’azienda ma, anche e soprattutto, alle figure manageriali che, per il ruolo ricoperto e le funzioni svolte, dispongono di accessi privilegiati a funzioni di rilievo e possono disporre operazioni di alto valore sia strategico che economico per l’azienda.

In conclusione, dal punto di vista della Cyber Security in Sanità, diviene “importante che le organizzazioni sanitarie investano in programmi di formazione e sensibilizzazione per il personale e che adottino politiche e procedure di sicurezza appropriate per proteggere i dati sanitari e prevenire gli attacchi cyber”.

Data breach: le indicazioni derivanti dalle Linee guida EDPB 9/2022

Il titolare, quindi, deve prestare particolare attenzione alle ipotesi di data breach (che costituiscono il 45% delle violazioni nell’ambito sanitario).

In particolare, considerato anche il peculiare ambito del trattamento dei dati relativi alla salute – ossia dati che di fatto, strutturalmente, riguardano soggetti vulnerabili quali possono essere considerati i pazienti – le linee guida EDPB 9/2022 evidenziano che, a seguito di una violazione di dati, il titolare deve attivarsi rapidamente in due direzioni: non solo il contenimento dell’incidente ma, anche, la valutazione del rischio.

Ciò in quanto, da un lato, conoscere la probabilità e la potenziale gravità dell’impatto della violazione sugli interessati potrà supportare il titolare nell’assumere azioni concrete ed efficaci per contenere e gestire la violazione di dati e, dall’altro, la valutazione del rischio aiuterà nel determinare se è dovuta o meno la notifica all’Autorità Garante e se è necessaria la comunicazione agli interessati per informarli dei rischi cui potrebbero essere sottoposti e metterli in grado di azionare personali forme di tutela o limitazione dei danni.

I fattori di rischio per valutare l’obbligo di notifica all’Autorità Garante e la comunicazione agli interessati

Analizzando i fattori di rischio che le linee guida indicano quali elementi di valutazione per decidere se procedere o meno con la notifica all’Autorità, ovvero con la comunicazione agli interessati, si rintracciano caratteristiche per lo più sempre presenti in caso di trattamento di dati relativi alla salute che, quindi, sono per lo più oggetto, quantomeno, di notifica all’Autorità.

La maggior parte dei fattori di rischio indicati dalle linee guida EDPB n. 9/2022 quali criteri per valutare l’obbligo di notifica all’Autorità, infatti, risultano collegati ad elementi intrinseci al trattamento di dati sanitari, come ad esempio:

  • il tipo di violazione
  • la natura e la quantità dei dati
  • gravità delle conseguenze per gli interessati, che possono essere esposti a ritorsioni o ricatti in conseguenza della illecita diffusione dei loro dati personali, soprattutto laddove il data breach riguarda dati personali di persone vulnerabili
  • caratteristiche particolari dell’interessato che possono comportare un aumento dei rischi derivanti dalla violazione dati (come nel caso di minori o soggetti vulnerabili).

Tra gli esempi relativi alla necessità di procedere alla notifica all’Autorità e alla comunicazione agli interessati, le linee guida richiamano l’ipotesi di indisponibilità di dati da parte di un ospedale per un tempo superiore a 30 ore, atteso che ciò può comportare l’impossibilità di procedere con operazioni chirurgiche o prestazioni sanitarie con conseguente rischio per la vita stessa degli interessati.

Data breach: le indicazioni derivanti dai provvedimenti sanzionatori dell’Autorità

Nei provvedimenti emessi nel corso del tempo dal Garante italiano in tema di data breach sanitario, l’Autorità ha più volte ribadito che il trattamento di dati sanitari impone al titolare una particolare attenzione nella predisposizione di procedure e misure tecniche e organizzative che consentano di dare applicazione ai principi di:

  • liceità
  • minimizzazione
  • proporzionalità
  • trasparenza
  • sicurezza dei dati.

In alcuni casi di attacchi hacker subiti da Aziende Sanitarie – come quello del 2023 di cui al doc. web n. 9888360l’Autorità ha posto in essere forme di tutela dei diritti e delle libertà degli interessati attraverso comunicati stampa per contenere i rischi di utilizzo malevolo dei dati sanitari illecitamente diffusi.
In particolare, con il citato comunicato, il Garante ha avvertito la popolazione, in ottica di prevenzione e deterrenza, delle conseguenze penali derivanti dall’atto di scaricare dal dark web e condividere con terzi gli archivi potenzialmente riconducibili all’Asl in questione, chiarendo che tali condotte possono costituire reato con ogni conseguenza per chi le agisce.

In altre ipotesi di attacchi hacker a strutture sanitarie, ad esempio del gruppo hacker “LulzSecita” (doc. web nn. 9739609, 9734934) il Garante ha emesso sanzioni nei confronti dei titolari evidenziando che le misure tecniche e organizzative adottate dagli stessi non sono idonee a garantire un livello di sicurezza adeguato ai rischi dello specifico trattamento.
L’Autorità ha oltretutto sottolineato che, in molti casi, tali inadeguatezze e non conformità hanno contribuito a creare le premesse per il verificarsi dell’attacco hacker.

Cybersecurity in Sanità: data breach per cause non note

La seconda causa di violazioni, come sopra analizzato, è riconducibile al data breach per cause non note che, perlopiù, risultano relative al cosiddetto errore umano e coinvolge molto spesso la compilazione, conservazione della cartella clinica del paziente o consegna della copia della cartella al paziente (si vedano, ad esempio, i provvedimenti: doc. web. nn. 9718851, 9861289, 9828208, 9870788, 9809520).

In effetti, soprattutto nel periodo dell’emergenza sanitaria dovuta alla pandemia da Sars-Cov2, molti sistemi sono stati costretti, per via dell’obbligo del distanziamento, ad implementare rapidamente – e in assenza di adeguati tempi di formazione – nuove modalità di gestione e consegna a mezzo email e/o pec della copia della cartella clinica. Ciò con un connaturato aumento del rischio di errori e di diffusioni illecite di dati.

In tali casi, il Garante ha sottolineato, in primo luogo, la responsabilità del titolare, al di là della condotta del singolo personale che ha determinato concretamente la violazione.
L’Autorità, infatti, attraverso il provvedimento sanzionatorio, ha verificato, in ossequio al principio di accountability, la possibilità di realizzare da parte del titolare, alla luce del contesto di riferimento e dello stato dell’arte, tutte le misure tecniche e organizzative idonee a prevenire simili violazioni e, quindi, a porre il personale in condizioni di evitare o diminuire l’errore umano.

In altre ipotesi, le violazioni risultano determinate da scelte organizzative del titolare, ossia da errori nella predisposizione del sistema informativo di gestione dei dati sanitari o nella modifica dello stesso in situazioni di emergenza.

Un esempio di violazione alla normativa di protezione dati

Un caso recente è stato quello relativo ad una Usl (provvedimento n. 371 del 10 novembre 2022) il cui sistema informativo non possedeva, sul piano tecnico e di impostazione generale delle funzionalità – salvo modifiche tecniche implementate successivamente alla sanzione comminata – la necessaria granularità nella gestione degli accessi al dossier sanitario.
In questo senso, la scelta della Direzione Sanitaria di disabilitare i c.d. filtri privacy, consentendo a tutto il personale, anche della medicina di territorio, l’accesso ai dossier sanitari di tutti i pazienti (compresi quelli che avevano negato il consenso alla costituzione dello stesso), ha rappresentato per il Garante un’evidente e grave violazione alla normativa di protezione dati ed inadeguatezza del titolare.

Ad opinione del Garante, il titolare avrebbe potuto e dovuto individuare, secondo il principio di accountability, la misura tecnica ed organizzativa adeguata a tutela dei diritti e delle libertà degli interessati a fronte della necessità di semplificare per alcuni sanitari l’accesso comune ai dati dei pazienti gestiti cumulativamente nei reparti Covid.

Del resto, proprio con riferimento al profilo dell’accesso al dossier sanitario, il Garante aveva ampiamente precisato, nelle relative Linee guida, che il titolare deve porre particolare attenzione nella creazione dei profili di autorizzazione e nella formazione dei soggetti abilitati, poiché l’accesso al dossier deve essere operato solo ed esclusivamente dal personale che interviene nel percorso di cura del paziente. Principio che, nel caso della suddetta Usl, è stato disatteso in assenza di adeguati bilanciamenti per i diritti e le libertà degli interessati.

Inoltre, il Garante ha sottolineato più volte l’opportunità che il titolare provveda a dotare i sistemi informativi di controlli adeguati che consentano il rilevamento di eventuali anomalie che possano configurare trattamenti illeciti.
Peraltro, l’utilizzo di indicatori di anomalie (c.d. alert) costituisce strumento indispensabile anche per orientare successivi interventi di audit.
Tali misure tecniche costituiscono piena applicazione del principio di accountability del titolare nella gestione dei dati degli interessati, ancor più nel peculiare ambito sanitario.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

Articoli correlati

  • Sanità Digitale

    Sanità digitale, cos'è: quali strumenti aumentano velocità e multi-canalità delle prestazioni sanitarie

    21 Ago 2023

    Condividi

  • Telemedicina

    Monitoraggio remoto dei pazienti: esempi, tecnologie e applicazioni

    18 Mag 2023

    Condividi
  • Massimo Mattone

    L' analisi

    Digital Health: investimenti record anche nel 2021

    21 Ott 2021

    di Massimo Mattone

    Condividi
  • Massimo Mattone

    Think Tank

    Sanità: le promesse dei politici

    31 Ago 2022

    Condividi

Prossimo

Sanità digitale, cos'è: quali strumenti aumentano velocità e multi-canalità delle prestazioni sanitarie

Articolo 1 di 5