La battuta che circola tra gli addetti ai lavori dice già tutto: “Gli ospedali si dividono in due categorie: quelli che sono già stati visitati dagli hacker, e quelli che ancora non lo sanno”. Con un tempo medio di 55 giorni per rilevare una minaccia informatica in corso, e mediamente ancor di più per porvi rimedio, l’ospedale rappresenta oggi l’anello più esposto della rete che raccoglie e conserva in forma digitale i nostri dati personali e informazioni sensibili sulla nostra salute. Nel 2018 i primi 10 eventi denunciati negli USA segnalano oltre 7 milioni di profili sanitari esposti o rubati, mentre in Italia è noto il caso dell’ospedale romano che nel luglio scorso ha subito il furto di 12.000 profili anagrafici di dipendenti e pazienti. Ma sappiamo che i casi “dormienti” sono certamente molti di più di quelli finora emersi.
I dati sanitari sono infatti un prodotto pregiato sul mercato nero: il profilo sanitario completo di una persona vale da 250 fino a un migliaio di dollari, molto di più dei codici di una carta di credito che vengono ormai offerti a pochi dollari. Ma mentre per la carta di credito basta una telefonata perché essa venga bloccata e sostituita, lo stesso non si può fare con la nostra storia clinica, che una volta rubata e diffusa rimane per sempre esposta a tutti.
Ma a chi interessano i nostri dati sanitari? Potenzialmente a tanti malintenzionati: si va da chi falsifica la ricetta per ottenere farmaci da rivendere, a chi si sostituisce ad altri per ricevere prestazioni non dovute o per truffare l’assicurazione, a chi vuole curiosare nella cartella clinica di una figura pubblica per ricattarla o per diffondere informazioni riservate, fino ad aziende interessate a conoscere – anche se per vie diciamo così “informali” – i risultati di un farmaco della concorrenza su una specifica categoria di pazienti.
Un’altra, e crescente, categoria di rischio per l’ospedale viene dai ransomware, che bloccano il funzionamento del sistema informatico crittografando i dati, i quali vengono resi di nuovo accessibili solo dopo che è stato pagato un riscatto, naturalmente in bitcoin. Un lavoretto anonimo e solitamente irrintracciabile, che fa leva sulla (colpevole) disattenzione dell’utente nel mantenere regolari copie di sicurezza dei propri dati.
Benché gli ospedali costituiscano appena l’1% degli obiettivi degli hacker (rispetto ad altri ambiti come i servizi finanziari che rappresentano il 16%) la rete sanitaria è purtroppo un obiettivo molto facile a causa del gran numero di apparati e dispositivi interconnessi, sia all’interno dell’ospedale che verso terze parti come i fornitori, i servizi in outsourcing, i professionisti sanitari e gli stessi pazienti. La base potenziale di accesso alla rete è dunque molto vasta e difficilmente controllabile, anche per ragioni culturali e di modello organizzativo, dove la sicurezza tende ad essere vista più come un impaccio al funzionamento spedito dell’ospedale che non un sistema che protegge asset materiali e immateriali essenziali per il suo funzionamento.
Per penetrare nella rete informatica dell’ospedale le vie di accesso possibili sono numerose e spesso poco presidiate: quelle classiche sono la mail civetta inviata a un dipendente (phishing) con malware nascosto, lo smartphone personale utilizzato per navigare sul web ma anche per collegarsi alla rete aziendale (BYOD), la chiavetta dati di incerta provenienza inserita nel proprio desktop, ecc. Oggi la via di accesso più frequente alla rete ospedaliera è tuttavia quella che passa per i dispositivi medici collegati alla rete: il braccialetto con i dati fitness collegati alla cartella del paziente, la strumentazione sanitaria connessa a un centro di manutenzione remoto, la pompa di infusione con controllo wireless, i dispositivi impiantabili monitorati dall’esterno. È noto ad esempio che per ragioni di sicurezza alle personalità istituzionali portatori di pacemaker (nel caso specifico il vicepresidente di un Paese amico) viene disattivato il controllo wireless del dispositivo nel timore che un hacker possa interferire con il suo funzionamento.
Sono dunque tre gli aspetti da salvaguardare, che corrispondono alle tre declinazioni in inglese del nome stesso di sicurezza: la “security”, che riguarda i dati sensibili sia personali che essenziali per il funzionamento della rete ospedaliera, la “safety”, che riguarda l’integrità del funzionamento delle apparecchiature dalle quali dipende la salute o la vita stessa del paziente e degli operatori, la “privacy”, che concerne la protezione di informazioni personali sensibili. Tempestività e reattività sono elementi essenziali delle contromisure da prendere, e sempre di più si affermano tecniche di intelligenza artificiale per rilevare le attività critiche ancor prima che esse costituiscano una minaccia concreta.
L’attuale normativa non è purtroppo idonea, se non in parte, a erigere un valido ostacolo a tali minacce. Infatti, il regolamento europeo per il trattamento dei dati (GDPR), operativo da maggio 2018, se, da un lato, ha imposto finalmente alle aziende un cambiamento culturale nel loro approccio al problema della tutela dei dati sensibili, dall’altro, non risponde pienamente alle esigenze specifiche del mondo della sanità, che richiede, ad esempio, più elaborati processi di regolamentazione e di certificazione degli standard tecnici dei devices.
Se la rete sanitaria è dunque nel mirino degli hacker, è tuttavia rassicurante che essa costituisca anche il terreno su cui si sono avviate importanti iniziative, sia a livello italiano che europeo come la costituzione, che verrà annunciata tra pochi giorni a Bruxelles, di una rete di centri di competenza multisettore per la cybersecurity, tra cui è previsto un segmento specifico dedicato proprio alla protezione delle strutture sanitarie.