Le strutture sanitarie sono sempre più colpite da attacchi informatici da parte di hacker che cercano di rubare i dati sanitari dei pazienti. Come proteggersi? Ne abbiamo parlato con l’avvocato Ivan Rotunno
La maggior parte del nostro vivere è ormai traslocato sul web, è lì che ci informiamo, spesso è lì che lavoriamo, sempre lì comunichiamo e ci relazioniamo e, in un futuro nemmeno troppo prossimo, è lì che potremmo costruire nuove forme di società.
Le implicazioni di questo “trasloco” sono innumerevoli, molte a carattere etico e filosofico, alcune strettamente più pratiche. Tra queste rientra sicuramente il tema della sicurezza informatica, della privacy e dell’esigenza di sentirsi “protetti” anche nel mondo virtuale.
E qui entrano, per forza di cose, in gioco anche le strutture sanitarie, sia pubbliche che private, sempre più digitali e, di conseguenza, potenzialmente sempre più esposte ad attacchi informatici.
Di cosa parliamo quando parliamo di rischio informatico
Sui giornali e sui quotidiani online si moltiplicano le notizie che parlano di attacchi informatici in Italia e non solo, con particolare riferimento ad alcuni settori specifici come quello della sanità. Negli ultimi due mesi, ad esempio, solo in Lombardia, sono stati attaccati i sistemi informatici di quattro ospedali.
Ma cos’è un attacco informatico?
Un attacco informatico è un tentativo di sottrarre, esporre, alterare, disabilitare o eliminare informazioni e dati attraversi l’accesso non autorizzato ai sistemi informatici di una particolare struttura. Questi attacchi vengono spesso condotti tramite un “ransomware”, un software attraverso il quale vengono rubati i dati sensibili dei cittadini in cambio di un riscatto. Come? Attraverso il phishing: gli hacker utilizzano un indirizzo mail ingannevole per inviare una email alle persone che lavorano in una determinata azienda, con un link che se cliccato installa il software nel sistema, bloccandolo. Il ransomware è un attacco a somma zero: se il riscatto viene pagato i criminali raggiungono il loro l’obiettivo, altrimenti possono comunque rivendere i dati sottratti al miglior offerente. In questo scenario le strutture sanitarie, per la particolarità dei dati che raccolgono e per una intrinseca vulnerabilità informatica, sono tra i principali target degli hacker.
Dai dati del rapporto Clusit 2021, realizzato ogni anno dall’Associazione Italiana per la Sicurezza Informatica, emerge come gli hacker abbiano sfruttato il particolare momento storico legato alla pandemia per colpire settori come la produzione di dispositivi di protezione e vaccini. In Italia, il caso più noto ha interessato la Regione Lazio che, in seguito a un attacco informatico al proprio sistema sanitario regionale, ha dovuto fermare per oggi le prenotazioni e le somministrazioni dei vaccini.
Da qui, la sesta edizione di Cyber Europe, l’esercitazione di sicurezza informatica coordinata a livello comunitario dall’Enisa (Agenzia europea di cybersicurezza), si è concentrata proprio sulla sanità, consapevole dei rischi a cui è esposta a livello internazionale. L’esercitazione ha previsto la simulazione di un attacco informatico su vasca scala nel tentativo di sottrarre i dati dei pazienti. L’obiettivo era quello di valutare lo stato dell’arte e aumentare la percezione del fenomeno in un settore particolarmente sensibile. Nonostante un’elevata esposizione a questo genere di rischi, infatti, la sanità, soprattutto quella italiana, è ancora molto indietro.
Perché la sanità è così vulnerabile agli attacchi informatici?
Gli ospedali, i centri diagnostici e gli ambulatori sono tra i bersagli preferiti dagli hacker per diverse ragioni: sia perché sono vulnerabili a causa di una arretratezza tecnologica e strutturale, sia perché custodiscono molti dati sensibili di pazienti, ma anche perché non possono permettersi di bloccare i servizi per molto tempo.
Nel caso di un cyber attack contro un ospedale, ad esempio, con il relativo blocco del sistema informatico della struttura, medici e infermieri non possono registrare i pazienti con il computer ma devono usare i moduli cartacei per tutti i referti e le prescrizioni, con una perdita significativa di tempo ed efficienza. Non si possono eseguire analisi di laboratorio e di diagnostica per immagini, gli accessi al pronto soccorso diventano problematici, lo scambio di informazioni si rallenta e spesso si arresta completamente. Insomma, le strutture sanitarie non possono permettersi di “fermarsi”.
Nel corso di formazione di Cast Education “Guida pratica alle responsabilità in ambito sanitario – p2” questo argomento viene trattato in maniera approfondita con il contributo di diversi esperti, tra cui Ivan Rotunno avvocato Orrick, Herrington & Sutcliffe, Of Counsel European Corporate Group Practice Leader del Dipartimento di Data Protection & Cybersecurity delle sedi italiane. Attraverso lo strumento del podcast, l’Avvocato analizza i ruoli in capo agli operatori sanitari nel contesto del trattamento dei dati sanitari e gli strumenti da implementare per migliorare la gestione dei rischi informatici.
Vi lasciamo qui un piccolo estratto del podcast, per ascoltarlo tutto e approfondire queste tematiche iscrivetevi al nostro corso, vi aspettiamo!