laR+
L’EOC ha già respinto truffe e alza le difese. Uno studio medico hackerato può mettere a rischio il sistema sanitario. In arrivo nuove norme sulla privacy
Finire nel mirino degli hacker è l’incubo di ogni nosocomio. Significa sale operatorie paralizzate, ambulanze in tilt, pronto soccorso in difficoltà. Tutto è digitalizzato. Una semplice radiografia come le terapie di chi è ospedalizzato. Tutto è connesso in rete. Le cartelle cliniche di migliaia di cittadini finirebbero nel dark web, dove ‘criminal hacker’ per 50 dollari possono acquistarle, rubarti l’identità o ricattarti. Negli ultimi mesi gli attacchi sono aumentati. Diversi nosocomi sono stati paralizzati in Francia, Germania e nella vicina Lombardia. Sono target prediletti anche perché gestiscono dati sensibili. L’ospedale di Wetzikon nell’Oberland zurighese ha subito un attacco: solo grazie a backup esterni ha potuto ripristinare i dati sottratti.
È un’epidemia: «I cyberattacchi ci sono tutti i giorni, tuttalpiù la questione è quando e quanto farà male quando non si riuscirà a respingerlo. Facciamo il possibile per essere pronti e ridurre l’impatto, in particolare attraverso la formazione del personale. Abbiamo già respinto un tentativo di truffa phishing, volevano ottenere credenziali account», ci spiega Baroum Mrad, responsabile del servizio protezione dati e privacy dell’Ente Ospedaliero Cantonale (Eoc), dove lavorano 6mila persone. Basta un’unica disattenzione per aprire le porte ai cyber criminali. Nel 90% degli attacchi, il virus entra attraverso una e-mail. «Abbiamo paletti severi sulla privacy dei pazienti. Sono informazioni estremamente confidenziali e vanno gestite con grande senso di responsabilità. Chi accede alla cartella di un paziente deve dimostrare di avere un motivo professionale per farlo. Chi non ce l’ha, viene ammonito. Facciamo costanti verifiche», precisa.
L’obiettivo dei cyber criminali è quello di batter cassa, coi ‘ransomware’ ci riescono benissimo, con un minimo sforzo incassano milioni. Sono ‘malware’ informatici che rendono inaccessibili i file criptandoli, possono fermare un ospedale. Per ripristinarli, i criminali chiedono un riscatto, in genere in criptovaluta. Se l’azienda non ha un piano di risposta, se non è preparata per rimediare al danno, non potrà ripristinare servizi e dati criptati. Non potrà lavorare. Immaginiamoci un ospedale fermo per settimane! All’Eoc si sono alzate le difese, per anticipare, rilevare e respingere gli attacchi, adeguandosi così anche alla nuova legge sulla protezione dei dati, che entrerà in vigore a settembre. «Abbiamo protocolli di sicurezza informatica, misure organizzative e tecniche per garantire l’operatività e la sicurezza dei dati ed evitare per quanto possibile il loro uso abusivo. Formiamo costantemente tutto il personale». La migliore tecnologia, infatti, è inutile se non è affiancata a un lavoro di riduzione del rischio dell’errore umano. In generale c’è una mentalità da cambiare e un bisogno di consapevolezza.
Ti-PressBaroum Mrad, responsabile del servizio protezione dati e privacy dell’EOCUn anello debole della catena, che preoccupa l’Eoc sono gli esterni con cui collabora quotidianamente. «Piccole realtà come studi medici, farmacie e altri professionisti del settore potrebbero non avere lo stesso livello di misure e attenzione. Questo desta effettivamente preoccupazione». L’Eoc ha creato una piattaforma sicura per comunicare coi medici esterni. «Devono iscriversi e lo scambio di dati sensibili avviene solo in questo spazio protetto: ad esempio, una lettera di dimissioni di un paziente, non esce via e-mail. Alcuni professionisti faticano ad accettarlo, ma 150 studi medici sono 150 potenziali rischi». Se uno studio viene hackerato diventa un rischio per tutta la rete sanitaria con la quale collabora. «È già successo. Con l’avvento della cartella informatizzata dei pazienti, il più debole diventerà un rischio per gli altri. Tutti dovranno raggiungere i nostri standard, faremo sensibilizzazione anche tra i medici», spiega. Altrimenti come sarà possibile dialogare tra professionisti? Un tema all’ordine del giorno per l’Ordine dei medici come ci spiega il vicepresidente Broggini (vedi box).
Tra chi ha subito un attacco – prosegue – c’è chi non ha detto nulla, pensando di contenere il danno, evitare cattiva pubblicità e scongiurare le denunce dei pazienti: «Non va bene. Così si mettono a rischio altri colleghi e strutture sanitarie».
Da settembre la musica cambierà, in caso di violazioni della sicurezza dei dati sensibili sarà obbligatorio informare gli interessati. La nuova legge rafforza molto i diritti degli individui, la protezione dei loro dati, e prevede nuovi obblighi e sanzioni più pesanti. Chi viene hackerato e non aveva misure tecniche e organizzative adeguate (o le ha ignorate), rischia multe fino a 250mila franchi per non aver protetto i dati dei pazienti. «Tutto è tracciato, in caso di violazioni si cerca chi ha bypassato le regole: oltre alla multa potrebbe esserci un procedimento penale». Lo stesso principio vale per i titolari di studi medici, farmacie e altri professionisti del settore.
Verranno anche introdotti nuovi strumenti di controllo e l’incaricato della protezione dei dati avrà più poteri investigativi e amministrativi.
«Un attacco è fattibile, più o meno pesantemente. Anche ad un ospedale. Dipende solo dal tempo e dallo sforzo che un hacker deve metterci. C’è una notevole proliferazione degli attacchi», ci spiega l’ingegnere Paolo Lezzi, fondatore e Ceo dell’InTheCyber Group. In Svizzera, per l’esperto, la difesa di enti, aziende e istituzioni da cyber attacchi non è adeguata, andrebbe fatto di più. Soprattutto da chi gestisce dati sensibili come le cartelle cliniche: «Nel dark web può valere sui 50 dollari ma anche di più, perché è tra le più dettagliate e ricche d’informazioni utili. Possono essere usate per furti d’identità, per ricatti» precisa. La sua compagnia è una delle dieci aziende svizzere di riferimento per la cybersicurezza. Collabora a progetti di ricerca nel campo del monitoraggio nel Dark Web, del cyberterrorismo, del ransomware. Quei micidiali virus che possono bloccare l’attività di un ente, che per tornare operativo, deve pagare un riscatto. La monetizzazione di una truffa da ransomware è diventata industriale. Il punto è saper riconoscere tempestivamente la minaccia. «Non si fa mai abbastanza. Soltanto chi controlla regolarmente la propria rete aziendale può identificare i primi indizi d’irruzione da parte degli hacker, neutralizzarli e limitare i danni. Questo vale soprattutto per chi gestisce dati sensibili come gli ospedali e tutti gli attori connessi (studi medici, farmacie, fornitori di attrezzature)», spiega l’esperto.
Gli attacchi informatici diventano sempre più raffinati, li mettono a segno organizzazioni criminali attive 24 ore su 24: «Sono come multinazionali con reparti specializzati, come macchine da guerra collaudate. Analizzano costantemente la vulnerabilità di enti e aziende, quando trovano un potenziale target si inseriscono in modo silente, lo studiano anche per mesi, ne valutano la potenzialità economica e attaccano con l’obiettivo di fare il maggior danno possibile». Limitare i danni significa non dover arrivare a pagare un riscatto, perché si è pronti su tre livelli: tecnologia, persone e processi. «Serve la consapevolezza delle persone per evitare errori che permettono di bypassare le difese; le tecnologie vanno aggiornate di continuo e devono dialogare tra loro». In Ticino c’è un gruppo di lavoro trasversale a supporto di aziende, medici, enti che comprende aspetti tecnici, assicurativi, protezione dei dati. «Siamo un’alleanza e ci muoviamo come squadra».
I medici hanno una enorme responsabilità nel tutelare i dati dei pazienti. Chi non lo fa rischia sanzioni con le nuove norme sulla privacy che entrano in vigore a settembre. «Non c’è ancora una reale consapevolezza sulle conseguenze di un furto di dati. Alcuni pensano ancora ‘Non capiterà proprio a me!’. La nostra alleanza dà un supporto a 360 gradi». Il primo passo è conoscere i rischi. «Significa prepararsi con corsi ed esercitazioni periodiche a prevenire potenziali minacce (email o telefonate sospette)». Poi c’è la parte tecnologica: «Li aiutiamo a strutturare misure di difesa (la doppia autenticazione), a non lasciare incustoditi computer accesi in uno studio dove girano parecchie persone, ad attivare servizi esterni per monitorare la sicurezza della rete». Infine, c’è l’aspetto assicurativo per il rischio residuo. «Per chi dimostra di aver fatto tutto il possibile, la polizza può coprire eventuali danni e sanzioni. Altrimenti è come lasciare l’auto aperta con le chiavi inserite: nessuna assicurazione rimborsa».
Le informazioni sullo stato di salute di un paziente sono estremamente confidenziali e vanno gestite con grande responsabilità, dotandosi dell’adeguata tecnologia. Una ulteriore sfida per tanti professionisti. «I nuovi studi sono digitalizzati, ma c’è anche chi convive tra cartaceo e digitale. Dobbiamo confrontarci con questi attacchi dinamici e instaurare sistemi di protezione. Penseremo a momenti d’informazione», ci spiega Nello Broggini. Il vice presidente dell’Ordine dei medici tiene a sottolineare che la categoria è già sommersa da una valanga di lavoro amministrativo: «Tutto ciò complica ulteriormente l’attività di uno studio».
Al riguardo, l’incaricato federale per la protezione dei dati ha stilato una serie di consigli semplici, pratici e non costosi per gli studi medici, giudicati in generale ‘carenti’. Vediamone alcuni. L’accesso al server va protetto (password o chiave USB contenente dati biometrici) e i dati sensibili vanno cifrati. Se i dati vanno persi o distrutti, serve un piano B, ossia una procedura di ‘back up’.
Attenzione perché il diavolo può nascondersi nei dettagli. Se la stampante è incustodita, non vanno lasciati in bella vista documenti coi dati dei pazienti. In ricezione, gli schermi vanno posizionati in modo tale che terzi non possano vedere il video, ovviamente l’accesso va protetto con una password (non lasciarla su un post-it) o con una chiave USB biometrica e tutti gli accessi vanno registrati. Passiamo al pc del medico: quando è assente, va bloccato, protetto con password. Per chi si porta il lavoro a casa, la soluzione migliore è quella di salvare su un portatile i dati cifrati; il computer va protetto da occhi indiscreti (ad es. familiari). Prudenza con internet: oltre all’installazione di un firewall hardware, andrebbe previsto un PC appositamente per la navigazione in Internet. Non deve tuttavia essere collegato alla rete LAN dello studio medico. Non eseguire download da Internet utilizzando il server dello studio medico. Infine, le email: quelle private vanno spedite da indirizzi privati, quelle relative ai pazienti soltanto da e-mail cifrati; non utilizzare l’applicazione di posta elettronica per gestire documenti o, ancora peggio, per costituire un dossier elettronico del paziente. Seguendo queste semplici indicazioni è già un primo passo.