La trasformazione digitale sta portando il settore sanitario a vivere una vera e propria rivoluzione. Un cambiamento epocale ricco di opportunità, ma sulle quali è fondamentale avviare una riflessione coerente e profonda per comprendere il loro potenziale ed evitare i rischi che possono celarsi.
Indice degli argomenti
Sanità digitale: molti vantaggi, ma non privi di rischi
Un invito a riflettere che è arrivato anche dall’OMS attraverso le parole del Direttore dell’Ufficio europeo Hans Henri Kluge, che in occasione di un recente simposio ha affermato:
“Mentre corriamo verso questo futuro digitale, dobbiamo porci alcune domande importanti: i suoi benefici saranno inclusivi? I nostri dati saranno sicuri e protetti?”.
La pandemia di Covid-19 ha rappresentato uno spartiacque per la sanità mondiale anche dal punto di vista della digitalizzazione, accelerando l’adozione di strumenti informatici in grado di supportare il personale sanitario, già da tempo in affanno a causa della carenza di personale, a far fronte a scenari nuovi, come l’assistenza da remoto. Una sfida che, in molti casi, è stata affrontata come una semplice risposta all’emergenza senza comprenderne il reale valore strategico, lasciando poco spazio a investimenti e, soprattutto, alla formazione degli operatori sanitari per comprendere i rischi nascosti della digitalizzazione dal punto di vista della cybersecurity.
Cybersecurity: 2023 anno nero per la Sanità
La Sanità, negli ultimi anni, è stata tra i settori più colpiti dalle minacce informatiche a livello globale.
Secondo il Rapporto Clusit 2024, l’Healthcare è stato il secondo settore più colpito da attacchi nel 2023 con una quota del 14%, in crescita del 30% rispetto all’anno precedente.
A far riflettere, è soprattutto la severità di questi incidenti, critici nel 40% dei casi (era il 20% nel 2022).
In Italia, come evidenziano i dati del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche, il 6% degli attacchi informatici gravi verso target multipli è stato rivolto proprio alle strutture sanitarie, come ospedali e aziende sanitarie regionali e locali, con un impatto dirompente su uno dei settori vitali della società civile.
Il cuore del problema è rappresentato dalla complessa rete di sistemi informativi e la diffusa presenza di dispositivi connessi a Internet, noti come IoT (Internet of Things). Oltre ai tradizionali sistemi informativi centralizzati, le strutture sanitarie ospitano una vasta gamma di dispositivi elettronici spesso utilizzati in ambienti critici, come terapie intensive e sale operatorie, caratterizzati da protocolli di comunicazione estremamente eterogenei che necessitano particolari livelli di protezione.
Occorre investire nella formazione degli operatori
La formazione, la sensibilizzazione e la consapevolezza degli operatori della filiera è cruciale per una sanità efficiente e soprattutto sicura.
La moltitudine e la frammentarietà dei sistemi IT interconnessi lungo i quali “viaggiano” i dati dei pazienti espongono il sistema a possibili attacchi o violazioni in ogni suo step: dalla presa in carico e durante l’iter di cura fino al monitoraggio da remoto. È fondamentale, quindi, concepire la sicurezza come un lavoro di squadra tra produttori di dispositivi medici, fornitori, strutture sanitarie, pazienti, servizi Ict, operatori sanitari ed enti regolatori secondo regole e linee guida rigorose.
Le minacce, infatti, non derivano solamente da scenari esterni, come quelli che vedono i criminali informatici in azione per accedere a dati sensibili o interrompere le operazioni ospedaliere, ma anche da quelli interni, legati a errori umani come l’uso negligente di dispositivi, l’introduzione di malware attraverso dispositivi USB non sicuri o perfino post-it lasciati sulla scrivania con le password attraverso cui accedere ai sistemi.
Una strategia di difesa ben congegnata deve essere costruita non solo sulla capacità di fronteggiare gli attacchi malware, ma anche di prevenire e risolvere le vulnerabilità e restringere gli accessi, individuando movimenti anomali nelle reti.
Per questo, è fondamentale l’impegno di tutti gli attori per raggiungere tre obiettivi essenziali:
la confidenzialità, che assicura il pieno controllo dell’accesso ai dati;
l’integrità, che consente di tracciare le modifiche che vengono fatte sui dati;
la disponibilità, che permette che le informazioni restino accessibili quando e dove è necessario.
L’approccio olistico di Philips alla cybersecurity in sanità
Nell’Health Technology, Philips ha instaurato un dialogo con gli attori del settore Healthcare per aumentare la consapevolezza sull’importanza della sicurezza in sanità. È fondamentale, infatti, coinvolgere non solo i responsabili di sistemi IT, certamente più sensibili sui rischi derivanti dalle minacce informatiche, ma anche il personale clinico che utilizza quotidianamente le apparecchiature sanitarie connesse alla rete, per venire incontro alle loro esigenze operative nella garanzia della massima sicurezza.
Per questo, Philips adotta un approccio olistico che comprende sia la sicurezza dei dispositivi, sia la formazione del personale sanitario, a partire dall’implementazione di linee guida e protocolli di sicurezza in tutti gli ospedali e lo sviluppo di soluzioni tecnologiche avanzate che consentono un monitoraggio proattivo dei dispositivi e una risposta rapida alle minacce.
Il modello di sicurezza “Zero Trust Domain” e “Security by design”
Philips propone un modello di sicurezza caratterizzato da un approccio “Zero Trust Domain”, che abbraccia i sistemi di monitoraggio dei pazienti, i dispositivi medici di terze parti, server e dispositivi mobili ma anche le reti Lan, e che consente di identificare tutti i componenti in modo univoco e di criptare il flusso di dati che si snoda tra questi.
L’approccio alla sicurezza di Philips comprende protocolli avanzati, valutazioni dettagliate dei rischi e una difesa a più livelli, che include firewall, rafforzamento delle difese del sistema operativo e delle applicazioni, autenticazione a più fattori, registrazione delle attività e protocolli di crittografia.
In questo modo, si garantisce l’adozione di sistemi sempre aggiornati e testati e l’integrazione agevole nelle reti ospedaliere.
Philips, inoltre, adotta un approccio “Security by Design”, ossia una sicurezza end to end, che caratterizza l’intero portafoglio delle soluzioni Philips. Si tratta di una piattaforma di monitoraggio dei pazienti in continua evoluzione sia dal punto di vista della tecnologia hardware sia software e che comprende monitor per la terapia intensiva, wearable, centraline che consentono di aggregare tutte le informazioni che arrivano dai dispositivi e con un sistema di governo da postazioni di lavoro fisse e in movimento. Il framework implementato da Philips mira a mettere in sicurezza l’intero processo, dalla progettazione e test del prodotto all’implementazione delle policy, al monitoraggio e agli aggiornamenti, fino alla gestione della risposta.
La sicurezza “by design” è applicata a tutto il portafoglio Philips, comprese le soluzioni che integrano l’Intelligenza Artificiale, considerata da Philips un supporto all’esperienza umana e un’opportunità per trasformare i dati sanitari in insight e informazioni fruibili per clinici e pazienti. Un ambito chiave in cui l’AI può fare la differenza, per esempio, è la refertazione diagnostica: attraverso l’analisi automatica di dati diagnosticati e l’integrazione con informazioni anamnestiche dei pazienti, l’AI può evidenziare i casi che richiedono maggiore attenzione, consentendo ai medici di prioritizzare i referti e garantire una diagnosi più accurata e tempestiva.
