Il cyber-attacco al settore sanitario della Regione Lazio ha messo in evidenza i rischi di un sistema di un settore, quello sanitario, ancora fragile e vulnerabile. La mancanza di sicurezza delle strutture informatiche, infatti, è un tema sensibile in tutta Europa come dimostra l’attacco di tre mesi fa all’HSE (il Sistema Sanitario dell’Irlanda) i cui strascichi sono ancora presenti.

I sistemi informatici della sanità si sono costruiti per sovrapposizione ed a volte senza integrazione sicura e devono quotidianamente affrontare l’introduzione di nuovi sistemi collegati come apparecchiature medicali che si integrano a volte senza controllo in strutture già esistenti. Inoltre, con il Covid-19 la digitalizzazione ha giocato un ruolo sempre maggiore, si pensi ad esempio alle piattaforme di telemedicina attualmente in uso e la quantità di smart working effettuato dal personale sanitario amministrativo.

La Commissione Europea era a conoscenza di questo problema da anni e già dal 2016 ha istituito bandi di ricerca per rendere più digitalizzati e più sicuri gli ospedali europei. Sono ora in corso oltre 10 progetti di ricerca su come rendere più sicuri dal punto di vista informatico le realtà sanitarie. L’Italia è coinvolta in alcuni di questi progetti ed in particolare la Fondazione Policlinico Universitario Agostino Gemelli IRCCS e l’Università Cattolica del Sacro Cuore attraverso il progetto Panacea.

«Il progetto – spiega la coordinatrice Sabina Magalini, UOC Chirurgia d’Urgenza e del Trauma della Fondazione Gemelli IRCCS, ricercatore di Clinica chirurgia all’Università Cattolica, campus di Roma – ha identificato i punti a rischio dei sistemi informatici ospedalieri ed ha proposto delle soluzioni. Alcune di queste soluzioni sono tecniche, come una approfondita e dinamica valutazione dei rischi, un sistema per lo scambio sicuro di informazioni mediche, sistemi per garantire che le apparecchiature elettromedicali siano costruite in maniera compatibile per sicurezza con i sistemi con i quali si devono integrare, un metodo più sicuro e rapido per la identificazione dei sanitari basato sulla biometrica (riconoscimenti facciale), mentre altre sono di tipo non tecnico».

«Gran parte della vulnerabilità dei sistemi informatici in sanità – aggiunge Magalini – dipende dai comportamenti umani, infatti gli operatori sanitari si comportano nei confronti dei sistemi informatici ospedalieri come con i propri social. Questo è dovuto al fatto che la sanità non è stata finora considerata un sistema “critico” e quindi l’accortezza e la prudenza non fanno parte della mentalità, spesso il training non è sufficiente ed i sistemi di “rinforzo” ai comportamenti sicuri non vengono praticati, i sistemi di sicurezza richiesti a volte sono farraginosi e ripetitivi e medici ed infermieri saltano alcuni passaggi. L’influenza di questi comportamenti rappresenta il 50% dei sistemi di sicurezza. Il progetto Panacea propone sistemi di “nudging” (spintarelle dissuasive o persuasive subliminali e non impositive), filmati educativi, questionari per valutare il proprio grado di percezione della sicurezza».

Conoscendo la debolezza di questi sistemi e la loro criticità in particolare in questo particolare momento storico, gli hacker li insidiano costantemente anche con ripetute lettere di phishing sempre più sofisticate e accattivanti che poi consentono il ransomware e quindi la richiesta di soldi.

«Come visto – conclude Magalini – il perimetro di queste problematiche è complesso, ma la ricerca di nuove soluzioni è indispensabile e rappresenterà la base per la cybersecurity sanitaria del futuro. L’importante è adottare già da ora soluzioni come quelle sviluppate dal progetto Panacea ed investire maggiormente in questo settore e in tal senso siamo disponibili a collaborare con altri ospedali per presentare il progetto e sviluppare nuove soluzioni». 

Il progetto Panacea

Panacea vede la collaborazione di 14 partner di diversi stati Europei, e le dimostrazioni sono state fatte nel Gruppo Ospedaliero dell’Irlanda del Sud (7 Ospedali), nella 7° Regione Sanitaria della Grecia a Creta, e in Italia, nel nostro Policlinico. Importanti strumenti sono un innovativo sistema per valutare i rischi del sistema informatico ospedaliero. Questo tool sviluppato da RHEA (Belgio), agenzia che lavora per la European Space Agency, prevede la ricostruzione dell’ambiente ospedaliero simulato che si vuole studiare. Con la collaborazione del professor Andrea Urbani,  il Laboratorio di Chimica Clinica e gli strumenti Point of Care per la Emogasanalisi ad esso collegati del quale abbiamo riscontrato le vulnerabilità presenti.

I tool per il controllo della sicurezza dei nuovi strumenti elettromedicali che verranno acquistati ed integrati nel sistema informatico ospedaliero sono stati disegnati da RINA Consulting (compagnia Italo-Inglese). Il riconoscimento biometrico attraverso la Workstation alla quale accede il personale sanitario, che in pratica consente di non effettuare la ripetitiva autenticazione con identificativo e password, ma che si basa sul riconoscimento facciale di utenti già registrati al sistema è stato messo a punto da IDEMIA (industria Francese leader in riconoscimenti biometrici).

Interessante notare come il riconoscimento biometrico è possibile anche per personale che utilizza la mascherina. I tool educativi filmati e kit di training sono anche essi prodotti da RINA Consulting. I sistemi di nudging, ideati dalla professoressa Lynne Conventry dell’Università della Northumbria si basano su una approfondita conoscenza degli orientamenti nei confronti della sicurezza informatica degli operatori ed in questo caso sono stati scelti come gruppo di studio gli specializzandi di chirurgia generale, operatori del futuro. Il nudging può essere fatto tramite sticker sulle Workstation e sulle porte USB, manifesti ambientali, e spille sui camici degli operatori. Inoltre il gruppo assicurativo AON ha disegnato un tool per la governance del difficile sistema della cybersecurity ospedaliera che può essere diffuso a tutte le strutture interessate.

Un articolo di: Secondo Tempo