La prevenzione dai rischi di cyber in ambito sanitario

La Sanità è uno dei settori più a rischio dal punto di vista della data protection, in quanto ogni struttura ospedaliera effettua una raccolta di dati di elevatissima sensibilità a cui le normative, sia a tema privacy che a tema cyber security, prestano particolare attenzione. Enisa, Agenzia dell’Unione europea per la cibersicurezza, è un centro di competenze in materia di sicurezza informatica in Europa. 

Aiuta l’UE e i paesi membri dell’UE a essere meglio attrezzati e preparati a prevenire, rilevare e reagire ai problemi di sicurezza dell’informazione.

Ha individuato delle soluzioni per evitare rischi e a febbraio 2020 è stato pubblicato il documento “Procurement guidelines for cyber security in hospitals”, ossia un rapporto che contiene le linee guida sulla sicurezza informatica per gli ospedali nelle varie fasi di approvvigionamento dei servizi, prodotti e infrastrutture. 

Le buone pratiche sono collegate ai tipi di approvvigionamento e alle minacce che possono mitigare, fornendo un insieme di pratiche facili da filtrare per gli ospedali che vogliono concentrarsi su aspetti particolari.

1) Le normative europee applicabili

Vediamo le principali normative europee che contengono indicazioni e principi declinati sulle strutture ospedaliere

NISD (Direttiva 2016/1148/EU, o Network and Information Security Directive)

La direttiva, recepita in Italia con il D.lgs. 18 maggio 2018, n. 65, stabilisce le misure volte a conseguire un livello comune elevato di sicurezza della rete e dei sistemi informativi nell'Unione così da migliorare il funzionamento del mercato interno.

Essa obbliga gli Stati membri ad adottare una strategia nazionale in materia di sicurezza della rete e dei sistemi informativi e, a tale proposito, istituisce un gruppo di cooperazione al fine di sostenere e agevolare la cooperazione strategica e lo scambio di informazioni tra gli Stati membri. La direttiva richiede, inoltre, che le misure di sicurezza adottate, sia a livello tecnico che organizzativo, siano proporzionate al rischio oltre che adeguate a prevenire e ridurre l’impatto che ogni incidente informatico potrebbe avere sulle reti e sui sistemi informatici in uso, garantendo la continuità del servizio offerto. 

Si prevede altresì un obbligo di notifica a carico degli OSE al Computer Security Incident Response team (CSIRT) italiano e all’autorità pubblica NIS di riferimento (il Ministero della Salute nel caso delle strutture ospedaliere) a carico degli OSE, qualora l’incidente abbia un impatto rilevante sulla continuità del servizio;

MDR (Medical Device Regulation)

Trattasi del Regolamento (Ue) 2017/745 del Parlamento Europeo e del Consiglio del 5 aprile 2017 sui dispositivi medici, che modifica la direttiva 2001/83 / CE, il regolamento (CE) n. 178/2002 e il regolamento (CE) n. 1223/2009 e che abroga Direttive del Consiglio 90/385 / CEE e 93/42 / CEE.  Questo regolamento, in vigore dal 25 maggio 2017, mira a garantire il buon funzionamento del mercato interno per quanto riguarda i dispositivi medici, prendendo come base un livello elevato di protezione della salute per i pazienti e gli utenti e tenendo conto delle piccole e medie imprese che sono attive in questo settore. Allo stesso tempo, il presente regolamento stabilisce standard elevati di qualità e sicurezza per i dispositivi medici al fine di rispondere alle preoccupazioni comuni in materia di sicurezza di tali prodotti. Entrambi gli obiettivi vengono perseguiti simultaneamente e sono inscindibilmente legati mentre l'uno non è secondario rispetto all'altro. Per quanto riguarda l'articolo 114 del trattato sul funzionamento dell'Unione europea (TFUE), il presente regolamento armonizza le norme per l'immissione sul mercato e la messa in servizio dei dispositivi medici e dei loro accessori sul mercato dell'Unione, consentendo loro di beneficiare del principio della libera circolazione delle merci.

GDPR (Regolamento UE 679/2016, o General Data Protection Regulation)

Il regolamento presta particolare attenzione ai dati sanitari in quanto appartenenti ad una categoria naturalmente sensibile, richiedendo ai Titolari e ai Responsabili del trattamento di fornire misure di sicurezza maggiori. Non solo, il Regolamento si occupa anche di responsabilizzare il Titolare chiedendogli di condurre una valutazione del rischio analitica e approfondita per parametrare meglio le relative misure tecniche ed organizzative da adottare, ossia la DPIA (data protection impact assessment). Di particolare rilevanza anche i principi, della privacy by design e by default, fondamentali nella fase di progettazione di ogni prodotto e/o servizio che riguardi il trattamento di dati.

Tra i sistemi e/o dispositivi cui prestare maggior attenzione nel processo di ricerca e selezione, Enisa individua, in particolare:

Sistemi di Informazione Clinica (Clinical Information systems): ogni tipo di software utilizzato dall’ospedale per fornire cure mediche, dai sistemi di radiologia agli archivi dei farmaci; I sistemi di informazione clinica (CIS) hanno generato opportunità per miglioramenti significativi sia nella cura del paziente che nel flusso di lavoro, ma la strada verso la perfezione è ancora lunga. Gli operatori sanitari devono ancora affrontare le sfide dello scambio, della gestione e dell'integrazione dei dati a causa della mancanza di funzionalità tra questi sistemi.

Dispositivi medici (Medical devices): con tale espressione si vuole indicare ogni tipo di hardware destinato al trattamento, al controllo o alla diagnosi (tra cui figurano anche dispositivi impiantabili largamente utilizzati come il pacemaker o i defibrillatori); Il vigente   regolamento europeo  mira a garantire il buon funzionamento del mercato interno per quanto riguarda i dispositivi medici, prendendo come base un livello elevato di protezione della salute dei pazienti e degli utilizzatori e tenendo conto delle piccole e medie imprese attive in questo settore. Nel contempo, esso fissa standard elevati di qualità e sicurezza dei dispositivi medici al fine di rispondere alle esigenze comuni di sicurezza relative a tali prodotti. Entrambi gli obiettivi sono perseguiti contemporaneamente e sono indissolubilmente legati, senza che uno sia secondario rispetto all'altro. Per quanto riguarda l'articolo 114 del trattato sul funzionamento dell'Unione europea (TFUE), il presente regolamento armonizza le norme per l'immissione sul mercato e la messa in servizio sul mercato dell'Unione dei dispositivi medici e dei relativi accessori, consentendo loro di beneficiare del principio della libera circolazione delle merci. Per quanto riguarda l'articolo 168, paragrafo 4, lettera c), TFUE, il presente regolamento fissa parametri elevati di qualità e di sicurezza per i dispositivi medici garantendo, tra l'altro, che i dati ricavati dalle indagini cliniche siano affidabili e solidi e che la sicurezza dei soggetti che partecipano a tali indagini sia tutelata.

Sistemi di assistenza remota (Remote care systems): trattasi di dispositivi che consentono di accedere all’assistenza medica da remoto, come i dispositivi SOS utilizzati per gli anziani; si tratta di un servizio di telemedicina, che consente il monitoraggio costante delle condizioni del paziente e lo svolgimento dei controlli preventivi e di controllo al di fuori delle strutture mediche. Questa forma di cura è resa possibile dall'utilizzo di dispositivi mobili che misurano i segni vitali. I risultati vengono trasmessi al Remote Medical Care Center, dove vengono analizzati automaticamente. Se vengono rilevate anomalie, il personale medico contatta il paziente e chiama un'ambulanza in caso di emergenza.

2) Cosa devono fare le aziende sanitarie

Il recepimento di quanto succintamente esposto richiede un committment forte da parte del titolare del trattamento al fine di riuscire a creare un coordinamento aziendale tra le varie funzioni, riconducibili all’ambito legale per gli aspetti formali e normativi, all’ambito organizzativo-gestionale per la ri-progettazione dei flussi informativi interni e il coinvolgimento del personale, all’ambito IT per la cyber-security.

Ciascuna di esse, per quanto di competenza, dovrà contribuire ad individuare, pianificare realizzare e monitorare non solo misure tecniche di sicurezza attuate in modo specifico al perimetro dei dati personali, in ottemperanza al GDPR, ma anche misure di sicurezza organizzative, procedurali e tecniche, tutte insieme, capaci di ridurre il rischio di compromissione di tutte le informazioni “critiche” aziendali, all’interno di un sistema di governance della sicurezza aziendale centrata sui dati come fulcro della strategia e della tattica difensiva.