Il cyber-attacco al settore sanitario della Regione Lazio ha messo in evidenza i rischi di un sistema di un settore, quello sanitario, ancora fragile e vulnerabile. La mancanza di sicurezza delle strutture informatiche, infatti, è un tema sensibile in tutta Europa come dimostra l'attacco di tre mesi fa all'HSE (il Sistema Sanitario dell'Irlanda) i cui strascichi sono ancora presenti.
I sistemi informatici della sanità si sono costruiti per sovrapposizione ed a volte senza integrazione sicura e devono quotidianamente affrontare l’introduzione di nuovi sistemi collegati come apparecchiature medicali che si integrano a volte senza controllo in strutture già esistenti. Inoltre, con il Covid-19 la digitalizzazione ha giocato un ruolo sempre maggiore, si pensi ad esempio alle piattaforme di telemedicina attualmente in uso e la quantità di smart working effettuato dal personale sanitario amministrativo.
La Commissione Europea era a conoscenza di questo problema da anni e già dal 2016 ha istituito bandi di ricerca per rendere più digitalizzati e più sicuri gli ospedali europei. Sono ora in corso oltre 10 progetti di ricerca su come rendere più sicuri dal punto di vista informatico le realtà sanitarie. L’Italia è coinvolta in alcuni di questi progetti ed in particolare la Fondazione Policlinico Gemelli e l’Università Cattolica del Sacro Cuore attraverso il progetto Panacea.
«Il progetto – spiega la coordinatrice Sabina Magalini - ha identificato i punti a rischio dei sistemi informatici ospedalieri ed ha proposto delle soluzioni. Alcune di queste soluzioni sono tecniche, come una approfondita e dinamica valutazione dei rischi, un sistema per lo scambio sicuro di informazioni mediche, sistemi per garantire che le apparecchiature elettromedicali siano costruite in maniera compatibile per sicurezza con i sistemi con i quali si devono integrare, un metodo più sicuro e rapido per la identificazione dei sanitari basato sulla biometrica (riconoscimenti facciale), mentre altre sono di tipo non tecnico».
«Gran parte della vulnerabilità dei sistemi informatici in sanità – aggiunge Magalini - dipende dai comportamenti umani, infatti gli operatori sanitari si comportano nei confronti dei sistemi informatici ospedalieri come con i propri social. Questo è dovuto al fatto che la sanità non è stata finora considerata un sistema “critico” e quindi l’accortezza e la prudenza non fanno parte della mentalità, spesso il training non è sufficiente ed i sistemi di “rinforzo” ai comportamenti sicuri non vengono praticati, i sistemi di sicurezza richiesti a volte sono farraginosi e ripetitivi e medici ed infermieri saltano alcuni passaggi. L’influenza di questi comportamenti rappresenta il 50% dei sistemi di sicurezza. Il progetto Panacea propone sistemi di “nudging” (spintarelle dissuasive o persuasive subliminali e non impositive), filmati educativi, questionari per valutare il proprio grado di percezione della sicurezza».
Conoscendo la debolezza di questi sistemi e la loro criticità in particolare in questo particolare momento storico, gli hacker li insidiano costantemente anche con ripetute lettere di phishing sempre più sofisticate e accattivanti che poi consentono il ransomware e quindi la richiesta di soldi.
«Come visto – conclude Magalini - il perimetro di queste problematiche è complesso, ma la ricerca di nuove soluzioni è indispensabile e rappresenterà la base per la cybersecurity sanitaria del futuro. L’importante è adottare già da ora soluzioni come quelle sviluppate dal progetto Panacea ed investire maggiormente in questo settore e in tal senso siamo disponibili a collaborare con altri ospedali per presentare il progetto e sviluppare nuove soluzioni».