Un rapporto sugli attacchi informatici ai sistemi sanitari
Il rapporto recentemente pubblicato da CLUSIT, associazione sicurezza informatica, deve stimolare tutti i responsabili dei sistemi informativi sanitari ad attivarsi al più presto per migliorare le difese dei sistemi esistenti. Anche negli Stati Uniti è stato recentemente pubblicato un prezioso documento, che offre linee guida efficienti ed efficaci per raggiungere questi fini.
Nell'ambito sanitario, si ricorre sempre più spesso al supporto di sistemi informativi, il cui regolare funzionamento rappresenta un aspetto fondamentale per l'erogazione tempestiva ed efficace di cure ai pazienti.
In un recente documento, pubblicato dal General accounting Office, sono state evidenziate quali siano le principali conseguenze di attacchi informatici, che compromettono la normale funzionalità dei sistemi sanitari. Ad esempio, viene registrato l'annullamento di interventi chirurgici urgenti, oppure la cancellazione di appuntamenti per esami radiologici ed infine l'impossibilità, da parte delle strutture sanitarie, di fornire assistenza sanitaria di emergenza.
Approfondimento della normativa ISO 11064 e altre norme per la progettazione delle sale di controllo, a cura di di Adalberto Biasiotti. |
Ecco il motivo per cui le strutture sanitarie degli Stati Uniti sono state spinte ad attivare al più presto iniziative, che mirino a mitigare i rischi di ransomware, che rappresenta la tipologia di attacco più diffuso.
Purtroppo, come chi scrive ricorda benissimo, spesso i soggetti sanitari coinvolti non sono adeguatamente sensibilizzati sulle conseguenze legate alla indisponibilità di sistemi informativi, così come, in passato, gli stessi soggetti erano assai poco sensibili ai problemi di tutela dei dati personali dei pazienti.
È pertanto indispensabile che le strutture sanitarie coinvolte sviluppino una analisi dei rischi informatici, in modo da valutare il livello di rischio presente e di individuare le misure di messa sotto controllo.
Un'area particolare di rischio è legata all’utilizzo sempre più frequente di apparati sanitari di tipo Internet of Things, che possono funzionare correttamente solo se il dialogo tra l'apparato periferico ed il sistema centrale si sviluppa in modo corretto e tempestivo.
Dall'analisi, svolta dal GAO, risulta infatti che alcune strutture sanitarie, che pure avevano sviluppato un'analisi di rischio informatico, non avevano dato un peso sufficiente al rischio legato agli apparati IoT.
Un altro aspetto importante, afferente al regolare funzionamento dei sistemi informativi sanitari, riguarda la protezione dei dati personali, la cui violazione può comportare problemi di natura etica ed anche di natura economica, a seguito di possibili applicazioni di significative sanzioni, da parte delle autorità garanti dei vari paesi.
Al proposito, si ricorda anche che ACN - la agenzia nazionale per la sicurezza informatica, di recente pienamente operativa in Italia, può offrire assistenza e può pubblicare linee guida, cui dovrebbero attenersi tutti i responsabili dei sistemi informativi sanitari, in Italia.
Adalberto Biasiotti