Roberto Setola: il problema della cybersecurity in ambito sanitario non è sempre adeguatamente considerato
Sono sempre di più i dati sanitari italiani cui sarebbe possibile accedere liberamente. Lo rivela Greenbone Networks la società tedesca che un paio di mesi aveva lanciato per prima l’allarme sulla presenza in rete di un database con quasi 730 milioni di immagini diagnostiche di pazienti tra cui, 5 milioni quelli italiani. Ora, a distanza di una sessantina di giorni, la stessa azienda ha verificato che il numero dei dati disponibili è addirittura aumentato del 60 per cento salendo a 1,19 miliardi di immagini.
“In primo luogo – ha spiegato Roberto Setola relatore al Big Data in Health 2019 e direttore del Master Homeland Security dell’Università Campus Biomedico – è opportuno dare una corretta informazione, nell’episodio evidenziato non vi è alcuna prova che dati sensibili o immagine medica siano stati trafugati o acceduti in modo non autorizzato. Lo studio compiuto dalla Greenbone Network è stata una ricerca su quali soggetti espongono on-line i servizi PACs (ovvero il sistema di memorizzazione delle immagini mediche), operazione che ognuno di noi può fare – probabilmente non con la stessa esaustività – utilizzando una piattaforma come Shodan.io che fornisce a chiunque le informazioni su quali servizi un server espone on-line. Sebbene avere servizi PACs direttamente esposti su Internet può essere considerata come una prassi non ottimale dal punto di vista della sicurezza, se si adottano politiche di sicurezza adeguate (e si aggiorna con regolarità il SW) questo non vuol dire che le immagini sono accessibili a chiunque”
“Certamente – ha aggiunto – l’indagine evidenzia, come del resto molti altri studi sul tema, come il problema della Cyber Security in ambito sanitario non è sempre adeguatamente considerato. Infatti l’utilizzo del dato digitale in medicina è cresciuto in modo esponenziale negli ultimi anni senza però una analoga crescita culturale da parte degli operatori sanitaria a tutti i livelli. Questo, unitamente al valore intrinseco (anche economico) del dato sanitario, è alla base della crescita di azioni dolose perpetrate nel comparto Salute cresciuti in Italia del 99% nell’ultimo anno (fonte CLusit)”.
“In questo quadro gli obblighi previsti dalla direttiva NIS per gli Operatori di Servizi Essenziali (OSE) potranno sicuramente contribuire ad innalzare il livello di sicurezza. Occorre evidenziare che questi obblighi sono, però, limitati solo ad un numero limitato di soggetti mentre occorre una strategia più estesa in grado di coinvolgere tutti i soggetti coinvolti nella filiera salute. In quest’ottica Confindustria Digitale ha di recente istituito un tavolo di lavoro per la definizione di un linea guida, tecnicamente una verticalizzazione del framework nazionale di cyber security, da offrire a tutti i soggetti operanti del settore salute quale strumento per comprendere cosa fare e cosa evitare partendo dalla constatazione che il problema della cyber security, più e prima che un problema tecnologico, è una problematica organizzativa e di cultura degli operatori” ha concluso Setola.