Il difficile rapporto tra ospedali e (in)sicurezza fisica e logica
PALERMO: …Ancora furti all’ospedale Cervello. La scorsa notte sono stati presi di mira dai ladri quattro computer in uffici e laboratori, utili al funzionamento di importanti macchinari per la diagnosi e la ricerca contro le leucemie e i linfomi…
Avrei potuto affrontare tranquillamente l’argomento della sicurezza (safety e security) delle strutture ospedaliere, e socio-sanitarie in generale, scegliendo uno dei tanti articoli, tra le centinaia letti, apparsi in questo primo semestre 2018; ma tra i tanti, questo pezzo de il “Giornale di Sicilia” mi sembra quello che più di tutti ben focalizza la delicata problematica della sanità, circoscrivendo in se, peraltro, il cronico problema della famigerata Insicurezza fisica & logica in cui versano le nostre infrastrutture sanitarie.
Orbene, ogni istituzione deve sempre assicurare ai propri cittadini i servizi fondamentali che garantiscono il benessere della società: sicurezza alimentare, mobilità, servizi sanitari, telecomunicazioni, servizi bancari e finanziari, istituzioni politiche, pubblica sicurezza e sicurezza privata; qualsiasi interruzione, o perdita di prestazione, di uno dei sistemi chiave citati, può rappresentare un forte impatto negativo per la collettività, come per il singolo cittadino. Le interconnessioni infrastrutturali possono essere di vario tipo: fisico, ambientale e informatico (la cd dipendenza cibernetica); energia, trasporti, telecomunicazioni, sono reciprocamente dipendenti, a tal punto che il grado di interconnessione rappresenta una mutua conseguenza sulle singole funzioni operative. La crescita, la sicurezza e la qualità della vita nelle moderne società industrializzate sono i meccanismi garanti del funzionamento continuo e coordinato di un insieme di infrastrutture che, data la loro rilevanza strategica, vengono definite con il termine di Infrastrutture Critiche.
Con l’espressione di Infrastrutture Critiche (IC), usato per la prima volta negli USA alla fine degli anni ’90 in una Direttiva governativa dell’allora presidente statunitense (Direttiva Clinton), si definiscono tali tutte quelle risorse materiali (asset tangibili), o anche i servizi (asset intangibili), che, se danneggiati o distrutti, causerebbero gravi ripercussioni alle funzioni vitali della società, e includono: il sistema elettrico, le reti di comunicazione, le reti di trasporto intermodale, il sistema sanitario, i circuiti finanziari, le reti a supporto del Governo (centrale e territoriale) e quelle per la gestione delle emergenze (difesa civile e protezione civile), etc.
La Direttiva Europea 114/08 CE (recepita dal D.Lgs n° 61/2011) definisce Infrastruttura Critica (IC) un elemento, un sistema o parte di questo ubicato negli Stati membri ed essenziale al mantenimento delle funzioni vitali della società, della salute, della sicurezza e del benessere economico e sociale dei cittadini, il cui danneggiamento o la cui distruzione avrebbe un impatto significativo; nella stessa Direttiva si definisce Infrastruttura Critica Europea (ICE) un’infrastruttura critica ubicata negli Stati membri dell’UE la cui perturbazione o distruzione avrebbe un significativo impatto su almeno due Stati membri dell’UE.
Le strutture ospedaliere, ma gli ospedali in genere, sono considerate delle vere infrastrutture critiche, che anche sottoposte come tutte le infrastrutture di questo genere (aspetti di sicurezza fisica attiva e passiva, sicurezza logica delle informazioni sanitarie, etc), a continui attacchi criminogeni, tanto esterni, quanto interni, devono assicurare sempre inalterato l’obiettivo primario: garantire accoglienza e cure adeguate alle persone e, contemporaneamente, ridurre al minimo le vulnerabilità di questa istituzione.
Tra le altre cose, leggendo i risultati del sondaggio dello scorso anno dell’International Association for Hospital Security and Safety (IAHSS), sulle tendenze della criminalità e della sicurezza del settore sanitario, si nota (negativamente) come il numero di incidenti criminogeni negli ospedali continui a crescere: nel 98% delle strutture sanitarie si verificano casi di violenza criminale!
L’Organizzazione Mondiale della Sanità (OMS) afferma che almeno un paziente su dieci subisce danni derivanti dalla scarsa sicurezza infrastrutturale, mentre è in degenza, anche negli ospedali più moderni; mentre il National Center for Missing and Exploited Children (NCMEC) segnala che ben il 47% di tutti i rapimenti a danno di neonati si consumano addirittura nelle strutture sanitarie! Le risultanze di un recente sondaggio dell’Emergency Nurses Association (ENA), evidenziano come oltre il 50% degli operatori paramedici intervistati ha rivelato di aver subito violenze fisiche, mentre il 70% afferma di essere stato aggredito verbalmente, sempre all’interno del contesto ospedaliero.
Uno studio sul cyber risk negli ospedali, condotto dalla Fortinet (multinazionale specializzata in cyber security), rileva come il picco più alto, in fatto di attacchi informatici, sia stato registrato nel quarto trimestre del 2016: oltre settecentomila hacking attack al minuto! Ciò a evidenziare, laddove ve ne fosse ancora il bisogno, come i dati personali siano uno dei principali obiettivi del mondo hacker: i dati sanitari sono diventati la commodity più barattata in assoluto, superando financo gli scambi finanziari e di trading. Nel Dark web una cartella clinica possiede un valore di black market pari a circa 30€!
La velocità, il dinamismo e la frammentarietà con la quale si stanno estendendo le moderne tecnologie (IoT che ad oggi appare come la più grossa e vulnerabile falla di sistema) e i servizi orientati alle cure e al salutare benessere dei cittadini, deve far riflettere sulle oggettive opportunità e sui rischi che una evoluzione erroneamente progettata rappresenti. Proprio in questa ottica il sistema ospedaliero va considerato come uno dei settori strategici (specificità dei dati trattati e delicatezza dei servizi erogati) con le maggiori potenzialità, criticità, complessità, dimensioni e interdipendenze infrastrutturali, giacché coesiste con ogni altro genere di servizi, tanto pubblici quanto privati.
Appare evidente, del resto, come nell’attuale contesto socio-economico il modello sanitario nazionale si stia trasformato, grazie all’evoluzione industriale 4.0, da complesso tipicamente centralizzato a sistema fortemente distribuito, con notevoli ricadute per la qualità dei servizi; mutazione che, tra l’altro, ha fatto emergere tutte quelle problematiche progettuali, e di implementazioni tecnologiche, di forte impatto per la sicurezza dell’organizzazione sanità pubblica (trattamento, conservazione e protezione dei dati personali sanitari), e in questo caso solo in danno del paziente-cittadino: le informazioni cliniche, e anche genetiche (con il loro potenziale informativo predittivo), che l’organizzazione sanitaria raccoglie, se non adeguatamente trattate e protette, possono arrecare danni etici difficilmente quantificabili.
Il perimetro della sicurezza Logica
La moderna società digitale nata dalla quarta rivoluzione industriale, ha portato all’introduzione e all’uso massiccio di soluzioni di tele-monitoraggio, Electronic Health Records (EHR), informazioni genomiche e applicazioni di mHealth (mobile health) in combinazione con l’emergente concetto di assistenza coordinata, rendendo il settore medico particolarmente vulnerabile agli attacchi cyber. Un dato su tutti: l’annus horribilis (nel mondo) che ha pesato decisamente sulla sicurezza logica sanitaria è stato il 2015, con oltre 100 milioni di cartelle cliniche personali violate, perché oggetto di attacchi hacking.
La sicurezza (informatica) delle informazioni contenute nei dispositivi medici, la protezione delle reti di computer nelle aziende ospedaliere è, come dimostrato dai recentissimi casi accaduti nel mondo, un aspetto non più trascurabile. Nelle applicazioni biomediche poi, con l’avvento e l’utilizzo di materiali intelligenti, i cd smart materials, quale sensoristica indossabile associata ai devici mobili, ha ingenerato una serie di riflessioni bioetiche (28-05-2015 mobile-health e applicazioni per salute: aspetti bioetici) da parte del Comitato Nazionale di Bioetica (CNB).
La perdita dei dati sanitari rappresenta un rischio crescente, che va di pari passo con la fase di dematerializzazione dei processi amministrativi, proprio in funzione della nuova dipendenza dagli apparati medicali IoT, che raccoglieranno e memorizzeranno i dati dei pazienti in favore dalle aziende ospedaliere; tecnologie e strumenti informatici ad ogni livello di prestazione medica, in maniera tale da rendere sempre più l’informatica un elemento di base per l’esecuzione di ogni trattamento del dato, quale processo amministrativo dai molteplici obiettivi: favorire lo snellimento delle procedure, ridurne i tempi di esecuzione, migliorare la qualità dei servizi sanitari e come questa è percepita dai cittadini, rendere più economico lo svolgimento degli stessi servizi al solo fine di ridurre l’impatto che la macchina amministrativa avrà sul bilancio statale.
Ormai, le recenti offensive cyber non sono più veicolate dai classici virus da pc, ma gestite da performanti sistemi complessi, operati dal crimine organizzato, specializzato e settoriale, sempre più capace, dotato di illimitate risorse finanziarie. Quanto detto determina delle criticità di sicurezza operativa e di incolumità fisica delle persone: i dati in possesso degli ospedali raggiungono valori anche 10 volte superiore a quello delle carte di credito; appare chiaro come qualunque dispositivo, sia esso un computer, una rete di interconnessione logica, un dispositivo medicale connesso, potrebbe essere acquisito in termini di dati personali, di operatività funzionale (acquisendo il controllo funzionale dell’apparato), modificandone i parametri, con conseguenze disastrose per il paziente direttamente connesso, come della veridicità delle informazioni contenute!
Invero, qualsiasi organizzazione, in maniera direttamente proporzionale alla sua criticità operativa, non può più sottovalutare il rischio connesso al cyber crime: i cd smart hospitals (le modernissime infrastrutture ospedaliere) hanno una magnitudo di criticità di livello massimo perché legano la propria funzionalità alla salute delle persone, dunque, dovranno necessariamente utilizzare, quale contromisura, framework che riducano drasticamente i rischi di perdita e di operatività, e quindi i rischi per la salute umana!
Nelle strutture ospedaliere cd smart, la presenza di tecnologie robotiche in determinati settori clinici permette di gestire direttamente, autonomamente, e con elevati gradi di safety individuale, tutte quelle fasi preparatorie di determinate cure chemioterapiche ad elevato rischio, già a partire dalle istruzioni terapeutiche inviate alle macchine; dunque, siamo in presenza di sistemi robotici in grado di dosare sia i principi attivi che le soluzioni, di realizzare farmaci in polvere pesando i componenti mediante un sistema a braccio robotizzato e attuatori dedicati, montare siringhe, dispositivi di infusione, scaricando, infine, i materiali essenziali ai tecnici garantendone nel contempo la non contaminazione! Peraltro, è lo stesso personale sanitario, grazie all’impiego di tali tecnologie, a riceve una maggiore tutela da esposizioni rischiose, proprio grazie alla decisa riduzione delle occasioni di contatto con farmaci ad alto rischio tossico e/o ionizzante.
Ebbene, oltre agli inevitabili benefici per i soggetti coinvolti, l’utilizzo di tale dispositivi medici che operano e comunicano mediante la rete, aumenta la vulnerabilità dell’intera filiera sanitaria: il rischio risiede non solo nella interoperabilità dei dispositivi che scambiano informazioni in tempo reale, ma anche e soprattutto nella loro stretta interdipendenza; dunque, la violazione di un singolo dispositivo non si traduce mai, o quasi mai, in un evento isolato, ma si inserisce inevitabilmente nel workflow del trattamento sanitario arrivando, in molti casi, ad inibirne l’intero processo funzionale, ad inficiare la correttezza del risultato finale generando falsi allarmi, modificando i dati terapeutici utilizzati con il fine doloso di ridurre l’efficacia del trattamento, o nei casi più gravi, provocare il decesso del paziente.
Il perimetro della sicurezza Fisica
Oltre alla security logica esiste poi l’altro ambito rappresentato dalla security fisica, intesa come lo studio ed l’attuazione delle strategie, delle politiche e dei piani operativi volti a prevenire, fronteggiare e superare eventi, in prevalenza di nature dolosa e/o colposa, che possono colpire le risorse umane, materiali, immateriali ed organizzative di cui l’azienda dispone o di cui necessita per garantirsi un’adeguata capacità concorrenziale nel breve, nel medio e nel lungo termine.
Il problema della sicurezza (fisica, logica, incolumità) nel settore sanitario è un fattore recente, venuto alla ribalta negli ultimi 15 anni. Dopo una prima presa in carico del problema in modo disordinato, autonomo, diciamo self made, sta pian piano crescendo in modo strutturato e programmatico.
Negli ospedali, per loro stessa natura, sono presenti due aspetti contrapposti che pesano in maniera considerevole sulla capacità di risposta alle problematiche di rischio legate alla sicurezza dei pazienti residenti in cura (tipico rischio alberghiero), del personale in servizio (rischio professionale), e di tutto quel pubblico (rischio occasionale) che, per diverse ragioni, frequenta quotidianamente i presidi sanitari di cura.
Una struttura sanitaria rappresenta un settore infrastrutturale critico e specificatamente complesso, con caratteristiche ed esigenze di sicurezza, nel suo insieme, completamente diverse da quelle di ogni altra attività della società civile.
Volendo prendere in esame le principali peculiarità di una struttura ospedaliera, possiamo certamente affermare che essa deve:
- operare nell’arco delle ventiquattrore;
- accogliere pazienti, che in molte circostanze possono essere incapaci di intendere e di volere;
- accogliere visitatori occasionali;
- gestire situazioni di crisi, connesse ad esempio al verificarsi di disastri nell’ambiente circostante;
- preparare cibi, anche di tipo specializzato, in base alle patologie (dati sanitari) e ai dati personali dei pazienti (fede religiosa, etnia, etc);
- custodire nei propri magazzini: prodotti alimentari, prodotti farmaceutici, protesi, ortesi, apparecchiature medicali, dal consistente valore economico;
- garantire, in maniera continuativa e senza interruzioni, il perfetto funzionamento di tutte le apparecchiature mediche e strumentali;
- mantenere gli accessi, della struttura sanitaria, sotto controllo nell’arco delle ventiquattrore;
- gestire il contante degli sportelli CUP, in medie e grandi quantità, con tutti i rischi relativi di rapina, frode, differenza contabile;
- garantire la protezione dei dati personali sanitari (i CED contenenti cartelle cliniche, referti analitici, diagnostica per immagini, anamnesi, etc) dei pazienti in cura, interni ed esterni, da frodi, perdita o distruzione.
Parlando dunque dei rischi legati alla security fisica, racconteremo inevitabilmente di furti e rapine di contanti all’interno degli uffici amministrativi (CUP), di oggetti di valore e di danaro in danno dei pazienti, della sottrazione di apparecchiature e materiale sanitario, del furto di farmaci ospedalieri (il danno statistico medio annuo è di circa 250.000€ per singola farmacia, con un danno complessivo annuo che supera i 15 mln di € nel sistema), di dati personali sanitari, ovvero di quei dati supersensibili contenuti nelle apparecchiature mediche trafugate; ma parliamo anche di aggressioni fisiche (percosse, violenze sessuali, furti e rapine), che si consumano in danno del personale in servizio! Reati peculiari e caratterizzanti, i primi, del perimetro della security, ma che si riflettono pericolosamente, i secondi, nell’altra sfera tipica della sicurezza nel suo insieme, vale a dire sull’incolumità fisica delle persone, che in dottrina gestiamo come fattispecie safety.
L’integrazione delle tecnologie di videosorveglianza, i sistemi di sicurezza attiva, i sistemi di controllo degli accessi, la gestione della localizzazione dei pazienti, del personale e delle risorse, possono ridurre notevolmente questo tipo di rischi. Soluzioni tecnologiche che consentono ai decisori preposti, di visualizzare, analizzare e segnalare comportamenti sospetti, in modo da poter valutare e reagire efficacemente alle potenziali minacce prima che si verifichino violazioni di sicurezza.
E’ bene ricordare, che quando si progetta una nuova struttura ospedaliera, o semplicemente si passa al rinnovamento, all’aggiornamento di un ospedale esistente, occorre sempre affrontare primariamente quei requisiti che impongono livelli di sicurezza (safety e security) tali da garantire sempre la piena continuità operativa del sistema ospedaliero, nella sua interezza, oltre ai requisiti di conformità normativa, alla continua evoluzione tecnologica e alle misure di sicurezza funzionali (operative).
Innalzare il grado e la qualità della sicurezza fisica ospedaliera rimane, senza alcun dubbio, un obiettivo ambizioso e complesso da perseguire, ma non irrealizzabile, per un insieme di ragioni, che abbiamo già visto prima: organizzazioni complesse in cui talvolta è difficile applicare soluzioni restrittive precostituite!
La complessità tecnica ed organizzativa della maggior parte delle aziende ospedaliere, divise e distribuite in più edifici, talvolta esterni al perimetro principale, non aiuta certo questo processo di security; un altro elemento di forte criticità è rappresentato dalla cd anzianità infrastrutturale tipica degli edifici sanitari nazionali: l’età media delle costruzioni va oltre i 70 anni, e una percentuale, non trascurabile, del 57% degli ospedali è stato edificato nel trentennio, perciò parliamo di strutture talvolta inidonee, e che mal si prestano ad operazioni di messa in sicurezza, per colpa di geometrie articolate che poco aiutano le moderne apparecchiature di protezione attiva, ma piuttosto amplificano a dismisura gli impegni economici dei capitoli di spesa da predisporre.
La tendenza sociale a interpretare, sempre di più, un ospedale come una struttura sociosanitaria costantemente aperta alla cittadinanza, come già detto, fa di questa vocazione un elemento di grossa criticità a vantaggio di comportamenti delittuosi. Infine, il ritardo culturale istituzionale sulla materia decisamente non aiuta: in Italia sono praticamente una rarità i responsabili della security ospedaliera.
La figura del Security Manager in ambito sanitario è fermo a percentuali pari a una semplice cifra! L’Osservatorio Information Security & Privacy, promosso dalla School of Management del Politecnico di Milano, ha infatti rilevato che nel nostro Paese l’atteggiamento delle aziende sanitarie è ancora inadeguato: solo il 39% delle grandi società vanta piani di investimento pluriennali, soltanto il 46% ha in organico un chief information security officer (che 9 volte su 10 è lo stesso amministratore di sistema), e appena il 15% avrebbe attivato assicurazioni sul rischio di attacchi cybercriminali.
E’ davvero singolare osservare come nel terzo millennio, in una modernità liquida, un settore delicato come quello della sanità ospedaliera sia abbandonato a se stesso; ma è ancora più curioso constatare come il ministero della Sanità non senta il dovere di emanare settoriali direttive sulla dotazione organica di queste moderne figure professionali, in materia di sicurezza logica e fisica: parliamo appunto dei Security Manager (SM) dei Chief Security Officer (CSO). Manager operativi, che con processi di risk management mettono in atto tutte quelle contromisure tecnologiche di protezione infrastrutturale, e articolate procedure operative che educhino il personale interno al corretto comportamento di/in sicurezza, nell’uso dei sistemi tecnologici operativi all’interno dell’azienda ospedaliera.
Basti pensare come il Department of Homeland Security statunitense (DSH), da un’approfondita analisi dei dati relativi alle migliaia di apparecchiature mediche risultate infettate, scoprì l’amara sorpresa: in nessuna delle macchine ospedaliere risultate colpite da virus, c’era traccia di una violazione cyber, o di un attacco esterno mirato da parte degli hacker; ma era chiaro, invece, l’esatto contrario, ovvero l’evento fortuito, legato alla presenza di pc, device personali, introdotti dal personale dipendente e che usandoli privatamente sfruttando la rete logica interna alla struttura, in maniera indiretta contagiarono involontariamente le attrezzature mediche connesse in rete e presenti nelle strutture ospedaliere.
In ultima analisi, la sicurezza si misura principalmente sull’anello debole della catena: è perfettamente inutile mettere in sicurezza un sistema se poi non si mette in sicurezza anche l’intera catena funzionale e procedurale ad esso associato; peraltro, l’affidabilità del personale (altra vulnerabilità sistemica) rimane un altro aspetto da non sottovalutare, perché non è sempre l’informatica, o l’elettronica, il solo vero anello debole.
Sitografia consultata
- http://www.ilmeteo.it/notizie/Bergamo/furto-in-ospedale-a-bergamo-rubate-mila-euro-di-attrezzature-222139
- https://www.ilmessaggero.it/roma/cronaca/roma_furti_ospedali_malati_santo_spirito-894558.html
- http://www.secoloditalia.it/2018/06/furti-di-medicine-e-macchinari-dagli-ospedali-altra-pacchia-che-deve-finire/
- https://corrieredibologna.corriere.it/bologna/notizie/cronaca/2017/1-luglio-2017/furti-terrorismo-500-telecamere-ospedali-bologna–2401748551268.shtml
- http://www.sifoweb.it/images/news-allegati/PadLock_Comunicato_settembre_2015.pdf
- https://www.agendadigitale.eu/sicurezza/ospedali-iper-connessi-le-buone-pratiche-per-i-rischi-cyber/
- https://www.ictsecuritymagazine.com/articoli/infrastrutture-critiche-interdipendenze-analisi-degli-effetti-domino/
A cura di: Giovanni Villarosa
Giovanni Villarosa, laureato in scienze della sicurezza e intelligence, senior security manager, con estensione al DM 269/2010, master STE-SDI in sistemi e tecnologie elettroniche per la sicurezza, difesa e intelligence.