(Privacy) Come attivare la cybersecurity per i dati sanitari

 

Nel linguaggio moderno si parla di "cybersecurity" come sinonimo di sicurezza informatica o sicurezza ICT. Nello specifico, tale settore mira ad attuare tutte le misure necessarie per la protezione dei sistemi e dei dati da accessi non autorizzati, siano essi intenzionali o meno. Negli ultimi anni le intrusioni e le minacce informatiche hanno interessato maggiormente il settore sanitario, basti pensare al ransomware denominato Wannacry che nel 2017 ha infettato migliaia di computer, soprattutto all'interno di ospedali e strutture sanitarie. L'aumentare degli attacchi informatici nel mondo sanitario, specialmente ransomware, è determinato da più fattori: da un lato, i dati sanitari sono dati sensibili intimamente connessi alla persona umana e pertanto estremamente redditizi, basti pensare che sul mercato nero una cartella sanitaria assume un valore di 50 dollari; d'altro lato, proprio per la delicatezza dei dati trattati, gli ospedali risultano molto propensi a pagare cifre elevate in caso di attacchi malware. Quali sono i rimedi da adottare per ovviare a queste problematiche che mettono a repentaglio la privacy e quindi i diritti dei pazienti coinvolti? A parere di chi scrive bisognerebbe agire su due fronti: occorrerebbe investire molto nella tecnologia e non bisognerebbe sottovalutare il c.d. fattore umano.

In primis, i sistemi informatici ospedalieri risultano essere i meno protetti e i più vetusti, spesso aventi sistemi operativi non aggiornati. A volte si rimanda, a volte invece si sottovaluta proprio il rischio e così gli aggiornamenti del sistema operativo e dei software, che dovrebbero essere automatici e periodicamente sottoposti a controllo, lasciano un ampio spazio per eventuali intrusioni perpetrate da hacker senza scrupoli. Ora viene anche in soccorso il Regolamento UE 2016/679, il cui art. 25, comma 1, introduce il principio denominato "Privacy by design" che incoraggia gli sviluppatori di prodotti, servizi e applicazioni a tenere conto del diritto alla protezione dei dati sin dalla fase di progettazione.

Infine,last but not least, assume rilevanza l'importanza della formazione specifica del personale interno, che spesso rappresenta, specialmente nell'ambito sanitario, l'anello più debole della sicurezza informatica. Infatti, secondo una recente ricerca svolta dal Data Breach Investigations 2018 di Verizon, il settore sanitario è l'unico settore in cui le minacce interne, quelle cioè perpetrate da dipendenti e personale addetto, sono maggiori delle minacce provenienti dall'esterno: ben il 56% degli incidenti è causato da attori interni e solo il 43% da esterni. Soprattutto attraverso il phishing via email il personale non adeguatamente informato viene tratto in inganno, permettendo agli hacker di bucare i sistemi informatici e di prelevare i dati sensibili; inoltre ci sono altre condotte poste in essere al fine di velocizzare le procedure telematiche a servizio degli utenti, ma che spesso cozzano con una politica di sicurezza informatica che sarebbe il caso di adottare sempre, anche a discapito talvolta della velocità delle operazioni, ad esempio il fatto di costellare i monitor di post-it con le password di accesso, ovvero l'utilizzo di pendrive su qualsivoglia dispositivo elettronico senza adottare alcuna cautela e omettendo qualsiasi controllo, il lasciare i computer sempre accesi, specialmente senza anti-malware e firewall aggiornati, vulnerizza i sistemi esponendoli maggiormente a rischi.

È chiaro infine come il personale sanitario vada responsabilizzato e vada informato dei rischi connessi ad una "mala gestio" dei dati sanitari- dati che per la loro delicatezza impongono degli accorgimenti più elevati- non solo in relazione alle precauzioni da adottare nell'ambito della sicurezza informatica, come appena visto, bensì ancor prima nei rapporti umani, intanto non divulgando notizie in vari modi apprese e aventi ad oggetto dati sensibili dei pazienti. Difatti, l'art. 83 del d.lgs. 196/2003 espressamente prevede, quale misura idonea per garantire il rispetto dei diritti degli interessati, "la sottoposizione degli incaricati che non sono tenuti per legge al segreto professionale a regole di condotta analoghe al segreto professionale". Articolo che troverà nuova vita grazie al decreto legislativo di adeguamento del Regolamento Privacy Europeo di imminente introduzione.

 

FONTE: Doctor33.it

in collaborazione con