La cybersecurity è un aspetto da non sottovalutare nel settore sanitario. I rischi informatici, diventati sempre più comuni, rappresentano una grave minaccia per gli operatori e i pazienti delle strutture sanitarie, e riguardano tutti i tipi di realtà, da quelle grandi e strutturate, alle più piccole.
Cybersecurity: che cos’è
Come in ogni ambito lavorativo, nelle strutture sanitarie la sicurezza è un aspetto fondamentale definito da procedure e protocolli di prevenzione del rischio. Nella sanità, i rischi da prevenire e saper gestire sono molti, dal rischio infettivo a quello clinico, a cui si aggiunge quello informatico. Oggigiorno viviamo in una società e in un mondo – compreso quello del lavoro – sempre più digitalizzati, dove non è più possibile ignorare l’importanza della cybersecurity e attuare delle pratiche di prevenzione dei cyber risk. La cybersecurity è quindi quell’insieme di processi, tecnologie e pratiche da mettere in atto per difendere i sistemi informatici dagli attacchi digitali.
Quali sono i principali cyber risk nella sanità
Ogni professionista sanitario ha già a che fare quotidianamente con degli strumenti digitali, soprattutto per quanto riguarda la raccolta di dati sensibili dei pazienti, la digitalizzazione sarà sempre più presente nella sanità del futuro, pensiamo ad esempio allo sviluppo della telemedicina, di cui avevamo parlato in questo articolo. Questo implica una crescita parallela dei cyber risk, i rischi informatici.
Quali sono i cyber risk nella sanità?
– Malware e ransomware: programmi parassitari esterni che si insediano nei PC o nei server rallentandone il funzionamento, sottraendo informazioni e danneggiando documenti.
Si parla di ransomware quando viene chiesto del denaro per eliminare il software parassitario.
– Phishing: tentativo di hackeraggio che avviene spesso tramite e-mail. Qualcuno ci scrive fingendosi un mittente autorevole (es. un’istituzione o un ente) o degno di fiducia (es. un superiore, un collega o una persona che conosciamo), chiedendoci di fornirgli informazioni sensibili o invitandoci a scaricare allegati o a cliccare su un link allo scopo di “infettare” il nostro computer con un malware.
– Perdita e/o furto di dati: i dati dei pazienti rappresentano un grande valore non solo nel percorso di cura e nel campo della ricerca, ma anche sul mercato nero. Dati sensibili e informazioni sanitarie personali vengono venduti per vari scopi, come procurarsi medicinali da rivendere o furto d’identità.
L’importanza della cybersecurity per i professionisti sanitari
Ogni professionista sanitario dovrebbe essere consapevole dei cyber risk in cui può incorrere e delle pratiche di cybersecurity da mettere in atto. Casi recenti ci hanno mostrato come nessuna struttura sanitaria sia esente dal rischio informatico. A livello internazionale, come riportato dall’anteprima del Rapporto Clusit 2023, nel 2022 il 12% degli attacchi informatici ha coinvolto il settore sanitario, con valori in crescita del 16% rispetto al 2021. Anche nella nostra cronaca nazionale si possono trovare alcuni esempi, come l’attacco hacker ai danni dei sistemi informatici dell’Asst Fatebenefratelli Sacco di Milano avvenuto nel 2022, che ha costretto un ritorno temporaneo alla modulistica cartacea generando non pochi disagi.
È evidente come qualsiasi professionista sanitario possa diventare bersaglio di un attacco informatico, a prescindere dal fatto che lavori in una grande struttura o abbia un’attività propria.
Questi attacchi informatici non solo mettono a rischio il paziente e la sua privacy, con potenziali conseguenze sulla sua salute e sicurezza, ma portano anche a considerevoli perdite a livello finanziario.
Come prevenire il cyber risk nella sanità
A livello comunitario, è la Direttiva (UE) 2016/1148 a mettere al centro il ruolo della sicurezza di reti, sistemi e servizi informativi nella società, evidenziando la necessità di promuovere una cultura della cybersecurity. Come affrontare allora il cyber risk nella sanità?
– Promozione di una cultura della cybersecurity: la cybersecurity non deve essere vista dai professionisti sanitari come qualcosa che riguarda solo gli addetti IT, ma deve diventare una parte integrante di tutte quelle pratiche di sicurezza e prevenzione presenti nel loro lavoro quotidiano, come il gesto di lavarsi le mani. Ciò è possibile attraverso la diffusione di una maggiore consapevolezza informatica, mirata a proteggere la salute dei pazienti.
– Sottoscrivere una polizza assicurativa contro i danni informatici: per contrastare i danni finanziari provocati dagli attacchi informatici ed eventualmente ricevere assistenza nel ripristinare le funzioni dei sistemi informatici danneggiati.
– Definire delle linee guida di prevenzione del cyber risk: oltre a promuovere una cultura della cybersecurity nella struttura sanitaria, è utile stabilire delle vere e proprie linee guida per la prevenzione del cyber risk da mettere in pratica.
– Preparare un piano di risposta agli attacchi informatici: se da un lato è importante lavorare sul contrasto agli attacchi informatici prima che si verifichino, dall’altro è necessario avere un piano di risposta pronto da attuare, in modo da mitigare il più possibile i danni.
– Formazione: la formazione è la base indispensabile da cui far partire una cultura della cybersecurity. Per questo è importante fornire una formazione continua in materia a tutti gli operatori che lavorano in una struttura sanitaria.
La prevenzione e la gestione del rischio informatico è una responsabilità condivisa da chiunque operi in una struttura sanitaria, garantire cure adeguate nel rispetto del paziente passa anche attraverso l’attenzione verso la cybersecurity.