Serve un monitoraggio costante e la formazione sia del personale sanitario che dei cittadini sul corretto utilizzo dei sistemi ICT per una maggiore e costante tutela dei dati sulla salute sia personali che degli enti ospedalieri e dei centri di ricerca.
All’interno della Pubblica Amministrazione, la Sanità il settore che ha registrato il maggior numero di attacchi in Italia, è quanto è emerso a Milano, a Palazzo Pirelli, ad un importante convegno organizzato da Motore Sanità in Regione Lombardia e intitolato “Security & Privacy del dato sanitario il trade off tra cybersecurity tutela e sviluppo del mercato”.
Tra i presenti Alessandro Colucci, Pres. I Commissione Programmazione Bilancio Regione Lombardia, Angelo Capelli, Vicepres. III Commissione Sanità e politiche sociali, Carlo Borghetti, componente III Commissione Sanità e Politiche Sociali, Regione Lombardia, Roberto Soj, Direttore Generale Lombardia Informatica, e tra i relatori anche molti esperti italiani ed internazionali di aziende ICT e di aziende socio-sanitarie oltre che rappresentanti di associazioni di pazienti. In merito al recepimento del regolamento EIDAS e delle normative europee, Regione Lombardia, con la legge 23 di evoluzione del sistema sociosanitario lombardo, ha recepito le sfide della sanità digitale con la realizzazione del fascicolo sanitario elettronico ed è fortemente impegnata a garantire affidabilità, integrità, disponibilità e sicurezza dei dati stessi e delle infrastrutture.
Secondo il Rapporto ICT in Italia di ClusitAssociazione italiana per la Sicurezza Informatica, di cui ha relazionato al convegno il Presidente Gabriele Faggioli, esistono tre differenti macro-tipologie di attacco cyber-sanitario: perdita o sottrazione di dati (44%), uso improprio di dati (31%) ed errori di utilizzo dell’ICT (25%).
ll Rapporto Clusit 2017 è frutto del lavoro di un centinaio di esperti e della collaborazione di un gran numero di soggetti pubblici e privati. Il dato sanitario deve essere protetto sia nell’accesso, che nell’autorizzazione e nel trattamento in diversi momenti e quindi al giorno d’oggi in diversi luoghi (fisici o virtuali che siano). Siamo di fronte ad una sostanziale modifica dell’architettura dell’informazione ed occorre rivedere il modello di security e protection sia in Italia che a livello europeo ed internazionale. Tutti i player coinvolti nella filiera del dato sanitario devono essere sensibili alla loro pertinenza di protezione. È quanto è stato evidenziato grazie al confronto tra stakeholders, politici ed esperti ICT e rappresentanti del mondo sanitario italiani ed internazionali presenti a Milano. Il dato deve essere protetto quando viene creato, quando viene salvato, quando viene usato e/o modificato. Purtroppo queste fasi, che un giorno erano relegate a specifici momenti della catena di trattamento del dato ed a specifici luoghi/usi/operatori, ora sono ricorrenti in qualsiasi momento e qualsiasi posizione del processo. La pubblica amministrazione deve quindi sempre di più garantire la modalità di formulazione della normativa (raccomandazioni ed obblighi) sulla base delle normative europee ed in quanto tale utile per indicazioni di principio e di tutela. Il Rapporto Clusit 2017 sulla sicurezza ICT in Italia ha evidenziato oltre 5.700 incidenti noti avvenuti tra il 2011 e il dicembre 2016, di cui mille nel 2016. Il 2016 è stato l’anno peggiore in termini di evoluzione delle minacce cyber. La crescita degli attacchi nel settore della salute è +102 per cento, stando ai dati Clusit. La principale causa di violazione è comunque l’errore umano quindi sono urgenti interventi di formazione e di empowerment dei lavoratori del settore socio-sanitario, ma anche dei cittadini stessi per un corretto utilizzo del sistemi ICT ad oggi tutti correlati ed interconnessi e la consapevolezza del valore sensibile dei dati sanitari personali, con la tutela del fascicolo sanitario e della cartella clinica digitale. Gli esperti hanno ricordato la direttiva NIS (Network and Information Security), che definisce un primo insieme univoco di norme in materia di cybersecurity a livello europeo; il documento di giugno “The Digital Economy and Society Index (DESI) 2017”, tool che consente, attraverso cinque aree politiche principali (connettività, capitale umano, uso di internet, integrazione delle tecnologie digitali e servizi pubblici digitali) e più di 30 indicatori, di misurare lo stato di avanzamento dei Paesi membri dell’EU nell’ambito della digitalizzazione dell’economia, del sistema pubblico e della società. Nel 2020 il traffico su Internet raggiungerà i 21 GigaByte pro capite dai 7 GB pro capite del 2015. Siamo entrati nell’era degli ZettaByte che significa 10 Byte elevati a 21. La connettività è ubiqua e massiva, cambia il profilo dei servizi e cambiano anche i rischi. Il settore sanitario in Italia, in Europa e nel mondo ha operato il passaggio dal dato cartaceo al dato digitale per ragioni di efficienza e la sicurezza dei dati è una priorità anche a causa del numero di violazioni avvenute. Lo sviluppo dei servizi, soprattutto quelli destinati ai cittadini, passa necessariamente attraverso l’analisi dei dati che vengono raccolti in varie forme e da innumerevoli fonti durante la vita di ognuno di noi. È quindi importante affrontare i temi di cybersecurity e di privacy in parallelo, in quanto vicendevolmente funzionali uno all’altro. Il sistema informatico italiano, secondo il rapporto Clusit 2017, è tra i primi 10 per gli attacchi informatici ricevuti. Questo dato, per quanto preoccupante, indica soprattutto quanto i “dati” in possesso dalla PP.AA. a tutti i livelli, siano una fonte di attenzione e di ricchezza da valorizzare e proteggere. Proteggere perché così stabilisce la Carta Costituzionale e valorizzare perché permetterebbe un maggiore sviluppo del Paese, inducendo un’economia di scala e attraendo importanti investimenti, anche e soprattutto stranieri.
Una recente indagine dell’Osservatorio Information Security&Privacy del Politecnico di Milano ha evidenziato che il mercato delle soluzioni di information security ha raggiunto in Italia nel 2016 un giro d’affari di 972 milioni: +5% rispetto al 2015. Peccato che a spendere siano per il 74% le grandi imprese. Il che però vuol dire che alle PMI resta solo un 26%: poco più di 250 milioni. In un Paese che, stando all’indice sintetico creato da Accenture, vede l’Italia nelle retrovie con aziende con buone performance nel 29% degli ambiti analizzati (10 su 33): meglio di Germania e Spagna, ma molto peggio rispetto a UK e Francia. Secondo un’indagine di Banca d’Italia citata durante il convegno, solo l’1,5% delle aziende ha sviluppato misure di sicurezza contro gli attacchi informatici, nonostante il 30,3% abbia riportato un danno da questa minaccia tra settembre 2015 e settembre 2016.