Sicurezza digitale per tutte le organizzazioni sanitarie significa in primo luogo tutelare la privacy dei pazienti. Ospedali, cliniche, laboratori e case di cura sono sempre più vittime di violazioni della sicurezza informatica. Quello che ancora si sottovaluta è che nel mercato dell’Information Security il valore di una cartella clinica rubata oggi è più alto di un numero di carta di credito o di un codice fiscale.
Per capire meglio in che modo le organizzazioni scelgono di gestire la sicurezza informatica Forbes Insights, in collaborazione con VMware e AD Consulting, ha intervistato 651 dirigenti e operatori che si occupano di sicurezza in Europa, Medio Oriente e Africa (EMEA). Estrapolando le risposte dei 130 intervistati che operano nel settore sanitario, i ricercatori hanno messo a confronto opinioni, timori e trend col resto dei colleghi operanti in altri settori.
Sanità digitale: quali sono le tecnologie da presidiare
La progressiva informatizzazione di molte procedure atte a migliorare i processi di cura dei pazienti ha portato nella Sanità tutte le tematiche associate alla gestione dell’IT. Diagnosi, assistenza ai pazienti e attività amministrative sono sempre più digitalizzate per soddisfare la continua necessità di dati in tempo reale per assicurare un’assistenza ai pazienti ottimale. Il tutto rispettando i requisiti normativi e il bisogno di ottenere più efficienza da sistemi diversi.
Presidiare la sicurezza digitale significa avere pieno governo di una pluralità di flussi informativi associati a:
- Dematerializzazione di molte procedure gestite prima in modalità cartacea a supporto della diagnostica, della refertazione e della contabilizzazione
- Internet of Things e uso pervasivo di sensori e attuatori a supporto degli operatori: dai braccialetti intelligenti usati per identificare in maniera univoca i pazienti alla tracciabilità e rintracciabilità di tutti gli asset, dai ferri chirurgici alle apparecchiature di monitoraggio, dalle sacche chemioterapiche o del plasma alle crio-banche fino a includere dispositivi intelligenti impiantabili nei pazienti
- Tecnologie mobile in dotazione a medici e operatori che utilizzano smartphone e tablet per consultare le cartelle cliniche
- app per gestire la relazione con ogni singolo paziente che può prenotare una visita o un esame, ricevendo on line conferme ed esiti
- Stampa 3D per la realizzazione di impianti e protesi
- Robotica ovvero robot collaborativi a supporto della telemedicina. I cobot aiutano sia i chirurghi ad operare in loco o da remoto, sia i laboratori di analisi a movimentare in sicurezza campioni e provette
- Intelligenza Artificiale per garantire ai processi decisionali l’efficacia di un’analisi rapida e altamente funzionale
- Cloud computing per gestire in maniera agile e altamente scalabile tutte le risorse necessarie: dalle applicazioni alle infrastrutture
La protezione dei dati sensibili è prioritaria
In tutto questo, il focus prioritario di una buona gestione è la tutela della Privacy. Una cartella clinica, infatti, contiene informazioni altamente sensibili ed è questo che rende i sistemi sanitari dei target appetibili per i criminali informatici.
La criticità più grande è che il tema della sicurezza digitale nella sanità non è ancora percepita dai responsabili aziendali come una priorità urgente. Gli analisti sottolineano come poco più della metà degli intervistati in EMEA dichiara che i propri business leader sono intimamente coinvolti nei processi di sicurezza della loro organizzazione. I CSO intervistati ritengono che le principali parti interessate siano meno allineate alla strategia di sicurezza rispetto a quanto avviene in altri settori, dove più di due terzi delle aziende hanno raggiunto un allineamento.
Sicurezza digitale incentrata sulle 4P: progetti, processi, persone e privacy
La sicurezza digitale non può essere risolta in modo addizionale, aggiungendo progressivamente sistemi e soluzioni che spesso si sovrappongono tra loro e sono difficili da governare con un approccio razionalizzato. Anche nella Sanità è fondamentale adottare un approccio olistico, includendo la sicurezza già nelle fasi di progettazione, sviluppo e deployment tecnologici. La cybersecurity non è un fattore: è un asset aziendale interdisciplinare che ha effetti su ogni parte e ogni funzione dell’azienda. Per questo è importante che processi e abitudini di lavoro dell’intera organizzazione siano costantemente esaminati e adattati per rispondere alle esigenze di sicurezza.
Le organizzazioni del comparto, invece, risultano ancora indietro: solo 17% delle aziende in EMEA coinvolge nelle decisioni relative alla dotazione tecnologica sin dall’inizio il reparto sicurezza. Ciò significa quasi 9 aziende su 10 del settore sanitario non integrano nativamente la sicurezza nei loro processi basati sulla tecnologia.
Le normative in vigore impongono una stretta responsabilità e l’obbligo alla tutela della privacy (ad esempio, il GDPR per l’Unione europea), imponendo che i processi di sicurezza siano parte integrante di ogni applicazione, processo o archivio dati. Al tempo stesso diventa necessario gestire e formare diversi tipi di utenti finali, per ottenere un allineamento e incoraggiare l’adozione di best practice per la sicurezza.
Smart Health: quali sono le sfide principali
I ricercatori hanno rilevato come i dirigenti del settore sanitario dichiarano di avere meno fiducia rispetto ai loro omologhi di altri settori circa la loro prontezza a gestire le nuove sfide della sicurezza. Solo il 5% delle organizzazioni sanitarie riesce a risolvere un problema di sicurezza in meno di un’ora. Gli analisti evidenziano come il resto del campione impiega:
- il 46% da diverse ore a un giorno
- il 27% da diversi giorni a una settimana
- il 22% oltre una settimana
Per potenziare la sicurezza digitale le organizzazioni sanitarie in EMEA (41%) stanno lavorando per aggiornare le capacità e le competenze dei team di sicurezza informatica. Purtroppo, il budget risulta il primo elemento di criticità: quasi la metà delle aziende intervistate (44%) avrebbe necessità di usufruire di maggiori investimenti a pari merito con la necessità di una strategia e un approccio più coerenti.
L’importanza di una cybersecurity zero-trust
Sotto la lente degli analisti, il settore sanitario sul fronte della sicurezza digitale appare in ritardo rispetto agli altri settori analizzati in EMEA: 55% rispetto al 61% del campione complessivo. In merito fiducia nelle strategie di identificazione dei comportamenti delle applicazioni validi per un’applicazione efficace di una strategia zero-trust il settore si colloca agli ultimi posti.
Di fronte al peggioramento quasi esponenziale del panorama delle minacce è fondamentale saper affrontare anche tutte quelle minacce cosiddette laterali che si muovono attraverso le reti. Grazie a un approccio zero-trust si vanno ad abilitare politiche di affinità presidiando sistemi, applicazioni, dispositivi e interfacce. Il tutto sulla base di una conoscenza dettagliata di quello a cui l’infrastruttura delle applicazioni dovrebbe assomigliare, imponendo che sistemi, reti e applicazioni verifichino automaticamente tutte le richieste di connettività o di accesso, senza fidarsi di nulla in modo predefinito, dall’interno o dall’esterno.
Cloud a supporto della sicurezza digitale
A fronte dei vantaggi operativi ed economici del modello cloud oltre la metà delle aziende sanitarie (54%) non è ancora confidente rispetto al 46% delle aziende operanti in altri settori. La motivazione principale è la paura di perdere il controllo dell’infrastruttura end-to-end. Eppure, una singola organizzazione sanitaria con un’infrastruttura on-premise non potrebbe mai ottenere livelli di sicurezza digitale equiparabili a quelli offerti da un provider specializzato.
Avere potenza di elaborazione e storage nel cloud comporta per l’azienda diversi vantaggi. Lungo la catena della custodia dei dati la difficoltà è allineare le aziende alle stringenti policy sanitarie, evitando di disperdere numerose risorse in fase di due diligence.
