Sicurezza digitale nella sanità: una survey spiega limiti, sfide e opportunità

pittogramma Zerouno

Prospettive

Sicurezza digitale nella sanità: una survey spiega limiti, sfide e opportunità

Organizzazioni sanitarie sempre più digitalizzate. La necessità di gestire dati in tempo reale per assicurare un’assistenza ai pazienti ottimale presuppone una gestione della sicurezza nativa. Secondo gli analisti il comparto, rispetto ad altri settori, è ancora indietro

05 Giu 2020

di Laura Zanotti

Sicurezza digitale per tutte le organizzazioni sanitarie significa in primo luogo tutelare la privacy dei pazienti. Ospedali, cliniche, laboratori e case di cura sono sempre più vittime di violazioni della sicurezza informatica. Quello che ancora si sottovaluta è che nel mercato dell’Information Security il valore di una cartella clinica rubata oggi è più alto di un numero di carta di credito o di un codice fiscale.

Per capire meglio in che modo le organizzazioni scelgono di gestire la sicurezza informatica Forbes Insights, in collaborazione con VMware e AD Consulting, ha intervistato 651 dirigenti e operatori che si occupano di sicurezza in Europa, Medio Oriente e Africa (EMEA). Estrapolando le risposte dei 130 intervistati che operano nel settore sanitario, i ricercatori hanno messo a confronto opinioni, timori e trend col resto dei colleghi operanti in altri settori.

migliorare-la-sicurezza-digitale

Sanità digitale: quali sono le tecnologie da presidiare

La progressiva informatizzazione di molte procedure atte a migliorare i processi di cura dei pazienti ha portato nella Sanità tutte le tematiche associate alla gestione dell’IT. Diagnosi, assistenza ai pazienti e attività amministrative sono sempre più digitalizzate per soddisfare la continua necessità di dati in tempo reale per assicurare un’assistenza ai pazienti ottimale. Il tutto rispettando i requisiti normativi e il bisogno di ottenere più efficienza da sistemi diversi.

Presidiare la sicurezza digitale significa avere pieno governo di una pluralità di flussi informativi associati a:

  • Dematerializzazione di molte procedure gestite prima in modalità cartacea a supporto della diagnostica, della refertazione e della contabilizzazione

  • Internet of Things e uso pervasivo di sensori e attuatori a supporto degli operatori: dai braccialetti intelligenti usati per identificare in maniera univoca i pazienti alla tracciabilità e rintracciabilità di tutti gli asset, dai ferri chirurgici alle apparecchiature di monitoraggio, dalle sacche chemioterapiche o del plasma alle crio-banche fino a includere dispositivi intelligenti impiantabili nei pazienti
  • Tecnologie mobile in dotazione a medici e operatori che utilizzano smartphone e tablet per consultare le cartelle cliniche
  • app per gestire la relazione con ogni singolo paziente che può prenotare una visita o un esame, ricevendo on line conferme ed esiti
  • Stampa 3D per la realizzazione di impianti e protesi
  • Robotica ovvero robot collaborativi a supporto della telemedicina. I cobot aiutano sia i chirurghi ad operare in loco o da remoto, sia i laboratori di analisi a movimentare in sicurezza campioni e provette
  • Intelligenza Artificiale per garantire ai processi decisionali l’efficacia di un’analisi rapida e altamente funzionale
  • Cloud computing per gestire in maniera agile e altamente scalabile tutte le risorse necessarie: dalle applicazioni alle infrastrutture

sicurezza-digitale

La protezione dei dati sensibili è prioritaria

In tutto questo, il focus prioritario di una buona gestione è la tutela della Privacy. Una cartella clinica, infatti, contiene informazioni altamente sensibili ed è questo che rende i sistemi sanitari dei target appetibili per i criminali informatici.

La criticità più grande è che il tema della sicurezza digitale nella sanità non è ancora percepita dai responsabili aziendali come una priorità urgente. Gli analisti sottolineano come poco più della metà degli intervistati in EMEA dichiara che i propri business leader sono intimamente coinvolti nei processi di sicurezza della loro organizzazione. I CSO intervistati ritengono che le principali parti interessate siano meno allineate alla strategia di sicurezza rispetto a quanto avviene in altri settori, dove più di due terzi delle aziende hanno raggiunto un allineamento.

minacce-sanità-digitale

Sicurezza digitale incentrata sulle 4P: progetti, processi, persone e privacy

La sicurezza digitale non può essere risolta in modo addizionale, aggiungendo progressivamente sistemi e soluzioni che spesso si sovrappongono tra loro e sono difficili da governare con un approccio razionalizzato. Anche nella Sanità è fondamentale adottare un approccio olistico, includendo la sicurezza già nelle fasi di progettazione, sviluppo e deployment tecnologici. La cybersecurity non è un fattore: è un asset aziendale interdisciplinare che ha effetti su ogni parte e ogni funzione dell’azienda. Per questo è importante che processi e abitudini di lavoro dell’intera organizzazione siano costantemente esaminati e adattati per rispondere alle esigenze di sicurezza.

Le organizzazioni del comparto, invece, risultano ancora indietro: solo 17% delle aziende in EMEA coinvolge nelle decisioni relative alla dotazione tecnologica sin dall’inizio il reparto sicurezza. Ciò significa quasi 9 aziende su 10 del settore sanitario non integrano nativamente la sicurezza nei loro processi basati sulla tecnologia.

Le normative in vigore impongono una stretta responsabilità e l’obbligo alla tutela della privacy (ad esempio, il GDPR per l’Unione europea), imponendo che i processi di sicurezza siano parte integrante di ogni applicazione, processo o archivio dati. Al tempo stesso diventa necessario gestire e formare diversi tipi di utenti finali, per ottenere un allineamento e incoraggiare l’adozione di best practice per la sicurezza.

Smart Health: quali sono le sfide principali

I ricercatori hanno rilevato come i dirigenti del settore sanitario dichiarano di avere meno fiducia rispetto ai loro omologhi di altri settori circa la loro prontezza a gestire le nuove sfide della sicurezza. Solo il 5% delle organizzazioni sanitarie riesce a risolvere un problema di sicurezza in meno di un’ora. Gli analisti evidenziano come il resto del campione impiega:

  • il 46% da diverse ore a un giorno
  • il 27% da diversi giorni a una settimana
  • il 22% oltre una settimana

Per potenziare la sicurezza digitale le organizzazioni sanitarie in EMEA (41%) stanno lavorando per aggiornare le capacità e le competenze dei team di sicurezza informatica. Purtroppo, il budget risulta il primo elemento di criticità: quasi la metà delle aziende intervistate (44%) avrebbe necessità di usufruire di maggiori investimenti a pari merito con la necessità di una strategia e un approccio più coerenti.

sicurezza-digitale-nella-sanità

L’importanza di una cybersecurity zero-trust

Sotto la lente degli analisti, il settore sanitario sul fronte della sicurezza digitale appare in ritardo rispetto agli altri settori analizzati in EMEA: 55% rispetto al 61% del campione complessivo. In merito fiducia nelle strategie di identificazione dei comportamenti delle applicazioni validi per un’applicazione efficace di una strategia zero-trust il settore si colloca agli ultimi posti.

Di fronte al peggioramento quasi esponenziale del panorama delle minacce è fondamentale saper affrontare anche tutte quelle minacce cosiddette laterali che si muovono attraverso le reti. Grazie a un approccio zero-trust si vanno ad abilitare politiche di affinità presidiando sistemi, applicazioni, dispositivi e interfacce. Il tutto sulla base di una conoscenza dettagliata di quello a cui l’infrastruttura delle applicazioni dovrebbe assomigliare, imponendo che sistemi, reti e applicazioni verifichino automaticamente tutte le richieste di connettività o di accesso, senza fidarsi di nulla in modo predefinito, dall’interno o dall’esterno.

sicurezza-nella-sanità

Cloud a supporto della sicurezza digitale

A fronte dei vantaggi operativi ed economici del modello cloud oltre la metà delle aziende sanitarie (54%) non è ancora confidente rispetto al 46% delle aziende operanti in altri settori. La motivazione principale è la paura di perdere il controllo dell’infrastruttura end-to-end. Eppure, una singola organizzazione sanitaria con un’infrastruttura on-premise non potrebbe mai ottenere livelli di sicurezza digitale equiparabili a quelli offerti da un provider specializzato.

Avere potenza di elaborazione e storage nel cloud comporta per l’azienda diversi vantaggi. Lungo la catena della custodia dei dati la difficoltà è allineare le aziende alle stringenti policy sanitarie, evitando di disperdere numerose risorse in fase di due diligence.

cloud-nella-sanità

Z

Laura Zanotti

Giornalista

Ha iniziato a lavorare come technical writer e giornalista negli anni '80, collaborando con tutte le nascenti riviste di informatica e Telco. In oltre 30 anni di attività ha intervistato centinaia di Cio, Ceo e manager, raccontando le innovazioni, i problemi e le strategie vincenti delle imprese nazionali e multinazionali alle prese con la progressiva convergenza tra mondo analogico e digitale. E ancora oggi continua a farlo...

Articolo 1 di 4