Cyber-risk in sanità, ci stiamo proteggendo?

Sanità digitale, cybersecurity e informazione sanitaria: a chi affidiamo i dati che riguardano la nostra salute? Come ci stiamo attrezzando per proteggerli? Che strumenti legislativi abbiamo dalla nostra parte? Le informazioni a carattere sanitario possiedono un valore prezioso, anche rispetto alle altre categorie di dati personali. Contengono dati identificativi, come i numeri previdenziali, e indicazioni mediche che durano nel tempo e che riguardano la parte più sensibile della nostra vita: la vulnerabilità di queste informazioni sta diventando un tema cruciale per le diverse governance internazionali e, considerata la rapida espansione dei database sanitari, probabilmente si amplieranno anche la frequenza e l'obiettivo delle violazioni. Considerate le implicazioni etiche e l'impatto sulla comunità del lavoro degli operatori della sanità, è diventato fondamentale promuovere una riflessione di sistema sul cyber risk, che abbiamo tentato di avviare con del primo convegno nazionale “Cyber risk in sanità”, promosso dal Gruppo ospedaliero San Donato in collaborazione con Regione Lombardia, con il patrocinio del Ministero della Salute, di Assolombarda, AIOP – Associazione Italiana Ospedalità Privata, dell'Università degli Studi di Pavia e dell'Ordine degli Ingegneri della Provincia di Milano.
Negli ultimi anni il settore sanitario ha operato il passaggio dal dato cartaceo al dato digitale per ragioni di efficienza. Successivamente gli enti sanitari, gli ospedali e i medici hanno cominciato a preoccuparsi della sicurezza dei dati sotto la propulsione di normative e di una nuova consapevolezza acquisita a causa del numero di violazioni avvenute. Se l'efficienza si è rivelata la più rilevante leva per l'adozione dell'IT nel settore sanitario, la sicurezza è stata solo una valutazione ex post, ma diventa oggi un tema improrogabile, che necessità di investimenti e competenze. Al mondo ci sono oggi sedici miliardi di device, tra quattro anni ce ne saranno quaranta miliardi: i dati prodotti sono il vero petrolio per la creazione di valore. Tutto ciò fa sì che si pongano le basi per una convergenza di interessi e professionalità che potranno produrre benefici per la salute, per i sistemi sanitari, per il progresso della conoscenza e lo sviluppo economico. Mettere in rete i dati sanitari può consentire una gestione più efficiente dei servizi, grazie a una comprensione più accurata dei bisogni effettivi dei cittadini, delle loro esigenze, liberando risorse e concentrandole dove servono maggiormente. Ciò soltanto a condizione che si sviluppi una riflessione sui profili informatici, legali, etici, deontologici della rilevazione e diffusione dei dati sanitari individuali.
Nelle imprese italiane la consapevolezza in tema di sicurezza informatica sta crescendo e lo dimostra l'aumento della spesa in soluzioni dedicate, che nel 2016 ha raggiunto i 972 milioni di euro con un aumento del 5% rispetto al 2015. Questo però non basta. L'Osservatorio Information Security & Privacy, promosso dalla School of Management del Politecnico di Milano, ha rilevato che nel nostro Paese l'atteggiamento delle aziende è ancora inadeguato: solo il 39% delle grandi società vanta piani di investimento pluriennali, soltanto il 46% ha in organico un Chief information security officer” e appena il 15% ha attivato assicurazioni sul rischio di attacchi cybercriminali.
Le imprese in ambito sanitario presentano una situazione disomogenea, con differenze notevoli da regione a regione, da ospedale a ospedale o da gruppo a gruppo, e dal
pubblico al privato. In un contesto che va verso l''ospedale diffuso' – più strutture sul territorio di minori dimensioni e pochi grandi centri ad alta complessità – correlato allo sviluppo sempre più avanzato dei device è necessario rendere sicuri i dispositivi di storage e le reti su cui viaggiano.