Home » News » Attualità

Sicurezza e Sanità

Sicurezza e Sanità

La rubrica de I VENERDÌ DI S NEWS approfondisce oggi il tema della Sicurezza nell’ambito Sanità.
Si tratta di un approfondimento scritto a quattro mani da Stefano Cremonesi e Claudio Telmon, Focus On dell’edizione 2013 del Rapporto Clusit.

Buona lettura!

la Redazione

Sicurezza in Sanità


Il contesto della Sanità presenta delle peculiarità che devono essere ben comprese per poter trattare in modo efficace il tema della sicurezza delle informazioni. Nel contesto della Sanità infatti, ed in particolare in quello ospedaliero che lo rappresenta in misura maggiore, il “core-business” aziendale consiste principalmente nel trattamento diagnostico-terapeutico delle persone. Questa attività ha due aspetti importanti, che condizionano l’intera organizzazione:
● errori e fallimenti possono comportare danni a persone che possono arrivare fino alla morte dei pazienti (safety);
● in molti contesti, l’emergenza è tutt’altro che un’eccezione: rallentamenti delle attività, dovuti magari a processi autorizzativi nell’accesso alle informazioni, non sono accettabili;
● il tema della sicurezza e quello della tutela dei dati personali hanno forti sovrapposizioni, dato che la gran parte dei dati più critici trattati rientra fra quelli definiti sensibili dalla normativa;
● esiste comunque una cultura di attenzione all’integrità e alla riservatezza delle informazioni che non si è sviluppata solo in seguito all’introduzione della normativa stessa, ma che, seppure con le sue particolarità, risale a molto tempo prima.

Per comprendere il tema della sicurezza IT nella Sanità è utile approfondire meglio i punti sopra elencati. L’obiettivo principale della Sanità è la tutela della salute delle persone e, nel caso di un ospedale, principalmente curare pazienti affetti da malattie allo stadio acuto. Questa attività pone dei vincoli di efficienza e temporali molto importanti a tutte le attività svolte. L’esigenza di evitare errori è massima: per questo, concetti come processo e protocollo sono molto più acquisiti e connaturati che nella maggior parte di altri contesti, e questo  non solo nel trattamento delle informazioni. Si pensi ad esempio alla necessità di associare in modo certo le diagnosi e le terapie ai pazienti o alle conseguenze drammatiche che errori in quest’area hanno avuto in alcuni casi anche riportati dalla stampa. A questo si sovrappone il tema delle urgenze e delle emergenze. Per questo, l’attenzione è prima di tutto lla disponibilità e integrità delle informazioni.
Il tema della riservatezza ha anch’esso una sua particolarità. Da un punto di vista culturale, il medico tenderebbe a condividere con relativa facilità le informazioni con i colleghi, quando questo sia utile dal punto di vista dell’efficacia ed efficienza delle proprie attività, fidando anche nella deontologia dei colleghi. I dati sensibili tenderebbero quindi a circolare con relativa facilità fra i professionisti coinvolti nelle attività di cura. Viceversa, esiste una barriera molto più forte fra la struttura e il mondo esterno, nei confronti del quale i dati verrebbero maggiormente tutelati. Da molto prima che venissero emanate norme per la tutela dei dati personali infatti, la malattia è considerata una faccenda “privata”. La rilevanza di questa riservatezza del resto è testimoniata anche dall’abbondanza di normativa specifica per il trattamento di dati sanitari.

Questa cultura, che si riflette anche in parte nell’organizzazione tradizionale dei processi delle strutture ospedaliere, contrasta però per certi versi con i requisiti posti dalla conformità alla normativa sul trattamento dei dati personali, su alcuni punti critici:
● la normativa impone un controllo in generale molto più granulare riguardo all’accesso ai dati; questo comporta una maggiore complessità, se non delle difficoltà, nel gestire l’aggiunta o rimozione di soggetti autorizzati, ad esempio in contesti come il pronto soccorso;
● la normativa attribuisce al paziente il controllo su chi può accedere ai dati: seppure questo non contrasti con le pratiche dell’ambiente sanitario, tenerne conto impone nei fatti una maggiore complessità nel controllo degli accessi.
Tutto questo suggerisce l’importanza di un approccio complessivo alle problematiche della sicurezza informatica in sanità che cerchiamo di approfondire nei paragrafi seguenti. Sicurezza e Privacy, intendendo con quest’ultimo termine il trattamento dei dati personali conforme ai principi che sottendono alla relativa normativa, rappresentano qui due aspetti, solo apparentemente antitetici, che devono essere governati “ex ante” in quanto la loro pianificazione può determinare impatti considerevoli nel disegno e nella gestione del sistema informativo aziendale. La criticità che oggi si evidenzia in misura sempre maggiore consiste nell’equilibrare un utilizzo esteso e pervasivo delle tecnologie informatiche in azienda con i necessari requisiti di privacy e sicurezza che sono richiesti sia dagli utilizzatori del sistema informativo aziendale sia, e in particolare, dai clienti. Per questi motivi una governance complessiva di tali aspetti richiede un approccio di tipo globale e sistemico, sinteticamente rappresentato nella figura seguente. Globale in quanto appare necessario presidiare contemporaneamente e congiuntamente diverse variabili tra loro interdipendenti, Sistemico in quanto diverse di queste variabili possono determinare impatti sul business aziendale in generale e richiedono interventi tecnologici, organizzativi, di formazione e change management.

Il sistema di Identity and Access Management (IAM) nel contesto della gestione della sicurezza in ambito sanitario ha un ruolo particolarmente importante. Soluzioni ICT nell’area clinica che utilizzino un Clinical Data Repository, che consente una ricomposizione longitudinale nel tempo di tutte le informazioni clinico-assistenziali di un cittadino, richiedono che tali informazioni siano fruibili solo al cittadino (o alle persone da lui autorizzate) e ai team medico- infermieristici che sono coinvolti nel processo di cura dello stesso. Ne consegue che l’utilizzo di ICT in sanità richiede specifiche attenzioni alle problematiche legate all’accesso al sistema, in considerazione del fatto che il Sistema Informativo di un’azienda sanitaria è costituito da un vasto insieme di risorse (funzionalità applicative, dati, documenti) che devonopoter essere accedute solo da soggetti riconosciuti ed autorizzati.

Ciò implica adottare soluzioni di IAM per l’intero sistema informativo composte da:
● un sistema di autenticazione ovvero un sistema centralizzato volto ad accertare l’identità degli utenti che accedono al sistema;
● un sistema di autorizzazione ovvero un sistema centralizzato in grado di garantire che solo gli utenti aventi le abilitazioni necessarie possano utilizzare una specifica funzione o dati disponibili nel sistema.
È inoltre opportuno sottolineare che l’operatività del personale comporta spesso accessi da postazioni diverse ed a più applicazioni, generalmente con tempi molto stretti. In questo contesto, sono particolarmente interessanti sia tecnologie di Single Sign On (SSO), sia l’utilizzo di autenticazione basata su “qualcosa che si ha” (ad esempio, una Carta Nazonale dei Servizi, CNS) o “qualcosa che si è”, in modo da rendere più semplice e veloce l’accesso. È utile anche considerare le problematiche associate al Fascicolo Sanitario Elettronico (FSE). Il FSE raccoglie idealmente tutte le informazioni e i documenti relativi allo stato di salute di un cittadino. Nella pratica, il FSE può essere un punto di accesso ad informazioni contenute in realtà in più CCE gestite autonomamente da diverse strutture sanitarie. Si pone quindi naturalmente il tema di sistemi di controllo accessi federati o, eventualmente, controllati centralmente a livello regionale. Anche qui, sia le soluzioni che il relativo livello di maturità non sono uniformi. Nella stessa logica, data la relativa facilità di circolazione o quantomeno di accesso alle informazioni fra le diverse strutture, si pone il problema di garantire livelli uniformi di sicurezza fra le diverse strutture. Il tema è complesso, e può trovare anche in questo caso una soluzione almeno parziale in sistemi federati. Il valore legale dei documenti prodotti e delle informazioni gestite in generale rappresenta un aspetto di notevole rilevanza in ambito sanitario. Oltre alle numerose indicazioni di legge, è utile sottolineare come, proprio per la natura dell’attività svolta, sia utile e spesso necessario poter garantire l’integrità e l’origine dei dati, per tutelare le diverse parti in causa: aziende, personale e pazienti.In tale contesto l’adozione della firma elettronica, nelle sue declinazioni avanzata, qualificata e digitale) e del processo di conservazione digitale integrano il tema dell’integrità affermando i principi di autenticità vale a dire la certezza dell’origine del documento oggetto di firma digitale, di non ripudio inteso come la prevenzione del disconoscimento di un documento da parte dell’autore dello stesso, di opponibilità a terzi attraverso l’apposizione della marcatura temporale che certifica la validità verso terzi di un documento firmato digitalmente.

Quello della sanità è in effetti il contesto in cui per prime si sono sperimentate e poi introdotte in modo anche diffuso varie forme di firma elettronica (l’unico altro contesto di utilizzo diffuso è in effetti la smart card legata ai rapporti fra aziende e Camere di Commercio). Sempre nel contesto della sanità hanno trovato il loro utilizzo principale le Carte Nazionali dei Servizi, anche per l’accesso da parte dei cittadini a servizi online, compreso l’accesso ai referti.

Il tema della disponibilità ha conseguenze importanti dal punto di vista delle architetture e dei sistemi utilizzati nell’area clinica2. Si possono evidenziare alcuni casi importanti dal punto di vista del rischio:
1) disponibilità dei dati in presenza di guasti informatici; l’utilizzo di ICT in sanità richiede un’oggettiva attenzione a misure di business continuity sia nelle componenti della server farm sia nella infrastruttura di rete locale e geografica;
2) disponibilità dei dati a lungo termine; tematica fortemente interconnessa alla conservazione sostitutiva dei documenti.
3) disponibilità dei dati in occasione di eventi catastrofici, in una logica di business continuity: non solo l’ospedale deve essere in grado di mantenere la propria operatività, per la quale questi dati sono essenziali, ma deve essere anche in grado di fornirli rapidamente ad altre strutture/organismi coinvolti nello stesso contesto di emergenza. In effetti, le strutture sanitarie non solo sono classificate fra le infrastrutture critiche, ma sono certamente fra quelle che, in caso di calamità, possono essere impegnate oltre il normale. Le strutture sanitarie pubbliche, come le altre pubbliche amministrazioni, sono sottoposte alle indicazioni dell’articolo 50 bis del Codice dell’Amministrazione Digitale. Devono quindi defi-nire un piano di continuità operativa e, come parte di questo, un piano di disaster recovery. Seppure la definizione del piano sia relativamente diffusa fra le strutture pubbliche, ma comunque in modo variabile sul territorio, l’implementazione di questi piani è molto meno diffusa. Nell’area della continuità operativa si percepisce anzi una sottostima del problema evidenziando che malgrado alcune aree di processo prevedano una attività 24×7, i sistemi di disaster recovery siano sostanzialmente inesistenti. Con una certa frequenza anche gli investimenti nella realizzazione di adeguate server farm e nella ridondanza delle reti locali e geografiche sono limitati. La percezione di un rischio limitato, non solo in termini di continuità operativa ma anche di minacce più specificamente di sicurezza, è però un problema diffuso, che insieme all’elevata attenzione all’operatività, può in qualche caso ridurre più del dovuto l’attenzione al tema della sicurezza.

La Tabella 1 evidenzia l’impatto stimato delle variabili sinteticamente descritte sulle macro-aree dei processi aziendali.
Dalla lettura della tabella si evince che alcune variabili di sicurezza costituiscono criticità rilevante in alcune aree di processo: ad esempio, la continuità operativa è fondamentale per l’area clinica mentre costituisce una vminor criticità nell’area amministrativa. Al contrario alcune variabili, ad esempio l’integrità, rappresentano una criticità per tutte le aree operative. La valutazione degli impatti può consentire una pianificazione degli interventi di pianificazione o di remediation in materia di sicurezza.

Nella tabella 2 vengono invece sinteticamente elencati i rischi possibili derivanti dalla non attivazione di sistemi di sicurezza per tipologia di macro-area.
Alcuni rischi sono tali da compromettere in modo significativo le attività di alcune aree operative. Ad es. nell’area clinica il problema della disponibilità è talmente critico per cui vanno pianificate soluzioni che consentano che un eventuale downtime dei sistemi non possa portarsi oltre ad un’ora. Le soluzioni tecnologiche di sicurezza in senso lato non sembrano essere particolarmente diffuse nel contesto sanitario italiano. Probabilmente il budget destinato dalla Aziende Sanitarie all’ICT (che nel rapporto 2012 dell’Osservatorio ICT del Politecnico di Milano è stimato in 1,1% della spesa sanitaria) non consente investimenti nell’area della sicurezza nemmeno quando questa è dovuta in termini di conformità normativa.
Nell’area della gestione delle identità e della riservatezza, se da un lato si ritiene siano abbastanza diffuse soluzioni legate alla sicurezza perimetrale (firewall, antivirus, antispamming, antiphising, internet filtering…) dall’altro appaiono poco diffuse soluzioni di IDM e SSO. Nell’area dell’integrità l’adozione in diverse regioni della firma digitale sulla documentazione clinica inizia a rappresentare una concreta soluzione del problema anche se rimane sostanzialmente irrisolta la problematica inerente la separazione dei dati anagrafici da quelli sensibili o la cifratura dei db che li contengono entrambi.

Da ultimo si ritiene opportuno evidenziare due ulteriori criticità in materia i sicurezza in sanità. La prima è quella delle apparecchiature biomedicali, che condividono con contesti più tradizionalmente SCADA molte problematiche di sicurezza. Si tratta di apparecchiature concepite per operare in un ambiente isolato, non pensate per la sicurezza e spesso gestiti al di fuori della normale gestione IT (ad esempio, solo dal fornitore ed al solo scopo di manutenzione ordinaria e straordinaria). Questi apparati sono sempre più spesso connessi invece in rete, con problematiche analoghe a quelle dei sistemi SCADA industriali.

La seconda riguarda il tema della telemedicina, telediagnostica e teleassistenza. Si tratta ancora per lo più di attività pilota e/o sperimentali, che come tali tendono a considerare secondario il tema della sicurezza rispetto a quelli tipicamente centrali per queste sperimentazioni, come quello della disponibilità e continuità del servizio. Con la diffusione di questi servizi tuttavia, il tema della sicurezza dovrà essere affrontato in modo organico anche in questi ambiti. In tale contesto possono essere ricomprese anche le attività dei medici di base che in misura sempre maggiore richiedono una connessione con tali sistemi o con i sistemi informativi delle aziende ospedaliere. La sempre maggiore integrazione delle loro attività anche dal punto di vista informatico (si pensi ad esempio a certificati e ricette online, al download di documentazione clinica.), determina una sempre più rilevante attenzione alla sicurezza di queste postazioni di lavoro.

a cura di Stefano Cremonesi e Claudio Telmon

Stefano Cremonesi si è laureato nel 1994 in Ingegneria Elettronica, con specializzazione Informatica, presso il Politecnico di Milano. Da subito ha iniziato ad occuparsi di progettazione e sviluppo dei sistemi informativi in ambienti ospedalieri presso il Consorzio di Bioingegneria ed Informatica Medica. La dimensione delle aziende coinvolte (ospedale San Matteo di Pavia, ospedale di Circolo di Varese, Bambin Gesù di Roma, ospedali Riuniti di Bergamo) e la necessità di affrontare a 360 gradi tutte le fasi di un progetto di informatizzazione sono state la base fondamentale per l’identificazione delle problematiche che lo hanno a vario titolo coinvolto nella sicurezza informatica. Come Project Manager si è successivamente occupato di progettare sistemi informatici in ambito retail, acquisendo competenze nella gestione e sviluppo di progetti di business continuity. Come consulente si è occupato dello progettazione e realizzazione della server consolidation della server farm dell’ospedale di Legnano. Attualmente è Project Manager dell’area Tecnologica del gruppo ospedaliero Multimedica occupandosi della progettazione, realizzazione e gestione di tutta l’infrastruttura tecnologica del gruppo.

Claudio Telmon è consulente freelance nel campo della sicurezza da quasi quindici anni. Ha gestito il laboratorio di sicurezza del Dipartimento di Informatica dell’Università di Pisa, ed in seguito ha continuato a collaborare con il Dipartimento per attività di didattica e di ricerca, in particolare nel campo della gestione del rischio. Si è occupato come professionista dei diversi aspetti tecnologici eorganizzativi della sicurezza, lavorando per aziende del settore finanziario, delle telecomunicazioni e per pubbliche amministrazioni. È membro del comitato direttivo del Clusit, con delega per l’Agenda Digitale in ambito sanitario. Nell’ambito delle attività dell’associazione è anche responsabile: dei Progetti Europei, dei Progetti per le PMI, del Premio Tesi.
 

Condividi questo articolo su:

RIVISTA

Scarica l’ultimo numero in versione PDF.



Fiere ed eventi

S NewsLetter

Rimani sempre aggiornato sulle ultime novità della sicurezza.

Ho letto e compreso la vostra privacy policy.