Da tempo, ormai, ricordiamo ed evidenziamo che Non c’è cura del paziente senza tutela della sua privacy. Lo stesso principio si può certamente trasferire anche alla cybersecurity, in cui è analogamente forte la necessità di adottare misure tecniche e organizzative per proteggere le infrastrutture su cui poggiano i servizi di cura e con cui si gestiscono i dati di pazienti. La Direttiva NIS2, che sarà recepita in norma entro ottobre 2024, risponde appunto al bisogno di regole condivise di sicurezza informatica nei più importanti settori dell’economia europea. Con quale ratio, e in che modo la nuova direttiva andrà applicata al mondo della sanità?
Indice
Applicazione della NIS2 in sanità
Il primo passo per prepararsi all’arrivo della NIS2 sta nel riconoscere se e in che misura si sarà interessati dalla sua entrata in vigore. L’applicabilità della NIS2 dovrebbe dipendere, complessivamente: a) dal settore economico e b) dalle dimensioni dell’organizzazione.
[Per ulteriori approfondimenti ved. Centre for Cybersecurity Belgium]
Settore economico
Un incidente informatico all’interno di un servizio sanitario è in grado di esporre le persone a conseguenze molto serie, talvolta fatali, nella vita reale. Gli attacchi ransomware all’AULS di Modena nel dicembre 2023, e il blocco dei servizi di SYNLAB, Il settore economico della sanità rientra non a caso tra quelli essenziali nell’economia europea, ed è senza dubbio soggetto ai requisiti e agli obblighi derivanti dalla direttiva. Fino a qui, niente di nuovo.
Può essere tuttavia importante sottolineare che, rispetto al passato (la prima NIS), l’ambito di applicazione della NIS2 in sanità è stato ampliato per coprire una gamma più completa di soggetti, tra cui compaiono ora anche i produttori di dispositivi medici, dispositivi medico-diagnostici in vitro, dispositivi medici critici nelle emergenze sanitarie pubbliche, dispositivi indossabili, soluzioni di telemedicina e software classificati come dispositivi medici.
Dimensioni dell’organizzazione
Fugato ogni dubbio collegato al settore economico, resta da valutare il criterio di dimensione dell’organizzazione. I requisiti della NIS2 si applicheranno infatti nei soli casi di:
- Organizzazione con almeno 50 dipendenti; oppure
- Fatturato superiore a 10 milioni di euro.
Restano quindi escluse solo le piccole organizzazioni del settore sanitario. Attenzione, però, perché la nuova direttiva aggiunge e contempla il rischio degli attacchi alla supply chain, imponendo un maggior controllo sulla sicurezza delle catene di approvvigionamento. Ciò significa che tutte le aziende – anche piccole – che fornissero servizi a soggetti tenuti all’applicazione dei requisiti della NIS2, potrebbero essere in qualche misura coinvolte o, in ogni caso, interessate a mantenere un elevato standard di sicurezza delle informazioni per soddisfare i crescenti standard imposti dai clienti.
Cybersecurity: le sfide del settore sanitario
La NIS2 stabilisce misure giuridiche trasversali finalizzate all’applicazione in tutta l’UE di strategie di sicurezza delle informazioni. Per chi opera nel settore sanitario, si può facilmente percepire l’esigenza di tutelare la continuità dei servizi allo scopo di proteggere la collettività. La sfida, d’altronde, non è banale. Le organizzazioni sanitarie e le rispettive infrastrutture presentano infatti una serie di caratteristiche, vulnerabilità, o comunque importanti ostacoli alla sicurezza delle informazioni.
Frammentazione e interconnessione
I flussi di informazioni gestiti dai servizi del settore sanitario sono caratterizzati da un’elevata frammentazione. Complici anche il progresso tecnologico (che sta portando la medicina sempre più “fuori dagli ospedali”) e le molteplici specializzazioni su diverse branche, il mondo dell’health-care è popolato da molteplici soggetti che utilizzano sistemi, strumenti, tecnologie anche molto diverse tra loro. In un contesto così variegato, può essere molto difficile stabilire e/o adeguarsi a misure di sicurezza coerenti. Al contempo, per questi numerosi servizi è sempre più forte la spinta all’interconnettività e all’interoperabilità. Che tuttavia, a loro volta, possono contribuire ad aumentare i rischi di incidenti informatici, in particolare per le conseguenze a catena derivanti magari anche da un singolo attacco, che potrebbe diffondersi ove non siano state adottate efficaci misure contro la propagazione delle minacce.
Gestione di informazioni sensibili
Strutture e organizzazioni sanitarie, nonché produttori di dispositivi o fornitori che partecipano alla filiera dei servizi di cura, gestiscono, ovviamente, molti dati sensibili, dati di salute, dati biometrici, talvolta dati genetici. Queste classi di informazioni sono contraddistinte da un elevato valore – banalmente, economico – nell’ambiente della criminalità organizzata. Per un criminale informatico, esfiltrare dati di salute può essere, insomma, molto remunerativo. Rivendendo quelle informazioni nel dark web. O nella consapevolezza che sono un’importante merce su cui fare leva in occasione di una richiesta di riscatto.
Tecnologia obsoleta, scarsità di risorse e consapevolezza
I dispositivi e la strumentazione utilizzati all’interno di servizi sanitari possono essere estremamente costosi, e difficilmente un’organizzazione potrà utilizzare tutta e solo tecnologia di ultima generazione. Nell’insieme degli asset, potranno facilmente figurare sistemi e tecnologie obsolete, più vulnerabili ai cyberattacchi. La competenza di professionisti della sicurezza informatica potrebbe in qualche modo compensare i limiti tecnologici. Tuttavia, un’ancora troppo poco diffusa cultura generale in materia di cybersecurity e un ridotto impegno del management, si traducono spesso in budget minimi dedicati alla cybersecurity, a personale IT sottorappresentato, e complessivamente a un elevato rischio di errore umano e di vulnerabilità agli attacchi.
[Per un quadro più ampio sulle minacce al settore della salute, ved. ENISA threat landscape: Health sector]
Requisiti principali e misure di sicurezza
Per prepararsi alla NIS2 (ed eventualmente, più in generale, per migliorare il proprio approccio alla sicurezza delle informazioni), ogni organizzazione sanitaria dovrebbe procedere con una valutazione e un aggiornamento delle proprie politiche di risk management. In questo frangente, andranno necessariamente considerate alcune specifiche misure di sicurezza minime. Sul tema, un’importante analisi dedicata al settore della salute è stata diffusa a giugno 2023 tra le pubblicazioni del Gruppo di cooperazione sulla NIS: ved. Threats and risk management in the health sector Under the NIS Directive.
Diventa poi esplicita l’importanza del coinvolgimento e della responsabilità dei vertici. La NIS2 impone infatti a ciascuna direzione aziendale di svolgere una strutturata attività di monitoraggio e approvazione delle politiche di sicurezza e di formazione cyber.
Ancora, le procedure organizzative dovranno essere adeguate a nuovi obblighi di segnalazione degli incidenti, contemplando la presenza di scadenze anche molto stringenti (a partire da un’allerta al CSIRT entro 24h dalla rilevazione di un incidente significativo).
Infine, l’adozione di piani per la continuità operativa (business continuity), a sottolineare l’importanza di definire e considerare i criteri minimi per far fronte agli eventi avversi ed essere in grado di ripristinare i propri sistemi, gestire le situazioni di emergenza e preventivare la possibilità di istituire team dedicati per l’intervento di risposta alle crisi.
[ved. anche Direttiva NIS2 sulla cybersecurity: contesto, obblighi e sanzioni]
Implicazioni generali della NIS2 in sanità
Si discutono e si sperimentano, ormai, sistemi di intelligenza artificiale a supporto dei servizi di diagnosi e cura, soluzioni che sfruttano la realtà aumentata per supportare l’attività dei professionisti, sistemi di telemedicina, tracker sanitari per l’acquisizione di dati di salute in tempo reale, sempre più sofisticati metodi e strumenti di imaging, robotica, nanotecnologie, ecc. Il mondo della salute è, ragionevolmente, tra quelli più toccati dal progresso tecnologico e tra quelli per cui la digitalizzazione avanza le proposte più affascinanti e promettenti.
Ma affidarsi alla tecnologia, specialmente in sanità, impone consapevolezza e responsabilità. Scegliendo un approccio moderno, data-driven, non si può ignorare che i dati raccontano anche una realtà di crescente, costante, guerra informatica. Dirigere un servizio sanitario, al giorno d’oggi, significa impegnarsi ad alzare le difese contro quegli attacchi a cui inevitabilmente ci si esporrà. Significa comprendere che la sola e “semplice” gestione di informazioni di salute, va svolta con lo stesso senso di responsabilità con cui si impugnerà il bisturi durante l’intervento. Che gli errori possono costare molto cari. Che non si può essere professionisti sanitari senza una corretta alfabetizzazione digitale e tecnologica.
Tutto il tema della compliance – dalla privacy alla security – è però spesso ancora percepito da molti come uno spreco di tempo e risorse, come un ostacolo alle reali priorità, che ha il solo effetto di costringere ad aumentare i costi dell’assistenza sanitaria. Se ci si allontana dall’idea di compliance come imposizione burocratica, e si tenta di adottare un approccio realistico e sostanziale, può essere però un’occasione di miglioramento. L’impatto della NIS2 andrebbe visto e accolto in questo senso. Forse servirà del tempo, ma la speranza è che possa stimolare a una migliore governance, a una maggiore sicurezza, a una più efficace protezione dei dati dei pazienti. E, sul lungo periodo, a infondere maggiore fiducia – innanzitutto, da parte dei pazienti – per i servizi sanitari digitali.