Data protection

Comunicazione in merito alla prevenzione dei rischi di cyber security e conseguente proposta di coordinamento delle relative funzioni aziendali coinvolte.

Come ampiamente noto. la Sanità è uno dei settori più a rischio dal punto di vista della data protection, in quanto ogni struttura ospedaliera tratta dati appartenenti a categorie particolari (in primis, dati sanitari) a cui le normative, sia in materia di trattamento dati personali che in materia di cyber security, prestano particolare attenzione. L’Agenzia dell’Unione europea per la cibersicurezza (Enisa) ha fornito soluzioni per evitare rischi: pubblicando a febbraio 2020 il documento “Procurement guidelines for cyber security in hospitals”, che si occupa di raggruppare alcune delle best practice applicabili a livello ospedaliero per garantire la sicurezza dei propri sistemi e, conseguentemente, dei dati dei pazienti, dei dipendenti e dei fornitori.

Le normative europee applicabili

Enisa fornisce un quadro sulle principali normative europee che dettano le indicazioni e i principi alle strutture ospedaliere:

  • NISD (Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione): la direttiva si occupa in modo specifico di sanità e strutture ospedaliere, in quanto rientranti negli operatori di servizi essenziali (OSE). Recepita in Italia con il D.lgs. 18 maggio 2018, n. 65, definisce le misure essenziali per conseguire un livello adeguato di sicurezza delle reti e dei sistemi informativi. Si richiede che le misure di sicurezza adottate, sia a livello tecnico che organizzativo, siano proporzionate al rischio oltre che adeguate a prevenire e ridurre l’impatto che ogni incidente informatico potrebbe avere sulle reti e sui sistemi informatici in uso, garantendo la continuità del servizio offerto. Si prevede altresì un obbligo di notifica a carico degli OSE al Computer Security Incident Response team (CSIRT) italiano e all’autorità pubblica NIS di riferimento (il Ministero della Salute nel caso delle strutture ospedaliere) a carico degli OSE, qualora l’incidente abbia un impatto rilevante sulla continuità del servizio;
  • MDR (Medical Device Regulation): in vigore dal 25 maggio 2017, prevede nuovi standard minimi di sicurezza per i dispositivi medici, soprattutto dal punto di vista della loro affidabilità in base allo scopo per il quale sono creati, della verifica del processo di creazione e controllo degli stessi, dell’utilizzo combinato di software e piattaforme mobili, oltre che della previsione di misure di sicurezza minime che tutelino i sistemi dall’accesso non autorizzato; La comprensione del processo di valutazione clinica per i dispositivi medici rispetto ai requisiti dell’MDR e ai documenti guida del gruppo di coordinamento dei dispositivi medici pertinenti è fondamentale non solo per i produttori ma anche per le Aziende sanitarie che li utilizzano.
  • GDPR (Regolamento UE 679/2016, o General Data Protection Regulation): il quale presta particolare attenzione ai dati sanitari, richiedendo ai Titolari e ai Responsabili del trattamento di fornire misure di sicurezza adeguayte. Non solo, il Regolamento si occupa anche di responsabilizzare il Titolare chiedendogli di condurre una valutazione del rischio analitica e approfondita per parametrare meglio le relative misure tecniche ed organizzative da adottare, ossia la DPIA (data protection impact assessment). Di particolare rilevanza anche i principi, della privacy by design e by default, fondamentali nella fase di progettazione di ogni prodotto e/o servizio che riguardi il trattamento di dati.

Alle normative europee si aggiungano i diversi standard elaborati da ISO in materia di Informatica Medica. Tra queste, ENISA pone in risalto, in quanto maggiormente pertinenti:

  • ISO/DTR 22696 (Health informatics — Guidance for identification and authentication for connectable personal healthcare devices); il documento fornisce una guida per la gestione della sicurezza dei servizi sanitari utilizzando dispositivi sanitari personali collegabili.
  • ISO/DTR 21332 (Health informatics — Cloud computing considerations for health information systems security and privacy); questo documento fornisce una panoramica delle considerazioni sulla sicurezza e sulla privacy per le cartelle cliniche elettroniche (EHR) in un servizio di cloud computing che gli utenti possono sfruttare quando selezionano un fornitore di servizi.
  • ISO/WD 13131 (Health informatics — Telehealth services — Quality planning guidelines); il documento fornisce consigli e raccomandazioni su come sviluppare obiettivi di qualità e linee guida per i servizi di telemedicina che utilizzano le tecnologie dell’informazione e della comunicazione (TIC) per fornire assistenza sanitaria su lunghe e brevi distanze utilizzando un processo di gestione del rischio.
  • ISO/AWI 22697 (Health informatics — Application of privacy management to personal health information); il documento fornisce una guida per la gestione della sicurezza delle informazioni per la manutenzione remota del dispositivo medico e del sistema informativo medico.

Tra i sistemi e/o dispositivi cui prestare maggior attenzione nel processo di ricerca e selezione, Enisa individua, in particolare:

  • Sistemi di Informazione Clinica (Clinical Information systems): ogni tipo di software utilizzato dall’ospedale per fornire cure mediche, dai sistemi di radiologia agli archivi dei farmaci;
  • Dispositivi medici (Medical devices): ogni tipo di hardware destinato al trattamento, al controllo o alla diagnosi (tra cui figurano anche dispositivi impiantabili largamente utilizzati come il pacemaker o i defibrillatori);
  • Apparecchiature di rete (Network Equipment): cavi, routers, firewalls, reti VPN, ed altro;
  • Sistemi di assistenza remota (Remote care systems): dispositivi che consentono di accedere all’assistenza medica da remoto, come i dispositivi SOS utilizzati per gli anziani;
  • Dispositivi mobili Client (Mobile client devices): software che forniscono assistenza o raccolgono dati medici direttamente dalla rete dell’ospedale, come le app di telemedicina.
  • Sistemi Identificativi (Identification Systems): dispositivi che consentono l’identificazione di pazienti o medici, per garantire che l’accesso ai sistemi informatici sia differenziato e non vi siano accessi non autorizzati;
  • Sistemi di gestione degli immobili (Building Management Systems): linee elettriche, tubature, forniture connesse a strutture nelle quali sono conservate strumentazioni mediche;
  • Sistemi di controllo industriale (Industrial control systems): tutti i software che controllano impianti fisici dell’ospedale, quali ascensori, sistemi di allarme, unità di energia ausiliaria, blocco delle porte, ecc.
  • Servizi professionali (Professional services): tutti i servizi offerti all’ospedale da professionisti o Società, come servizi medici, di ingegneria, IT, legali, ecc;
  • Servizi Cloud (Cloud services): sistemi informatici non localizzati nella struttura ospedaliera o in data centre sui quali la funzione IT non può intervenire o dei quali non ha il pieno controllo.

Le possibili minacce nelle quali ogni struttura ospedaliera può incorrere, possono essere raggruppate in 5 macro categorie, in base all’origine della minaccia:

  • Fenomeni naturali (Natural Phenomena): sebbene rappresentino i rischi più remoti, ricomprende tutti gli eventi disastrosi legati a incendi, allagamenti o terremoti. Non è raro, infatti, che spesso gli strumenti elettronici siano conservati o localizzati ai piani interrati (per disposizioni di legge o a causa della mole degli stessi), divenendo più esposti a tali fenomeni;
  • Azioni dolose (Malicious Actions): malware, blocco dei sistemi, attività di social engineering, furti, attacchi web, manipolazioni fisiche dei sistemi, furto di identità, spionaggio digitale, nonché le ulteriori attività dolose poste in essere da soggetti il cui scopo è quello di estorcere denaro o rivendere le informazioni;
  • Falle nella catena di fornitura (Supply Chain Failure): errori di programmazione, interruzioni di servizio, nonché mancanza di affidabilità di sistemi (sia fisici che immateriali) forniti da strutture terze esterne all’ospedale, come i fornitori di servizi in cloud o di rete;
  • Errori umani (Human errors): notoriamente tra i più difficili da prevedere, sono tipicamente minacce connesse ad una mancanza di policies e processi efficaci, accessi non autorizzati e non controllati, password deboli, sistemi BYOD mal gestiti e vulnerabili, nonché ad errori di inserimento dei dati da parte del personale medico o del paziente;
  • Falle di sistema (System Failures): legate a errori nei software utilizzati dall’ospedale, al mancato aggiornamento dei firmware, alla non disponibilità dei sistemi per sovraccarichi di rete o a insufficiente manutenzione.

Le good practices applicabili al procurement

Svolte le premesse di cui sopra, Enisa fornisce delle indicazioni sulla corretta implementazione delle stesse all’interno del processo di acquisiti e fornitura:

  • In primis, identificare la tipologia di fornitura della quale si sta pianificando l’acquisto, anche sulla base della preliminare indagine interna della quale si è parlato precedentemente;
  • Identificare le minacce che s’intende mitigare;
  • Identificare quali delle good practices siano rilevanti per la tipologia di fornitura e minaccia;
  • Valutare in quale fase del ciclo di procurement (plan, source, manage) e su quali prodotti la pratica deve essere attuata dalla struttura o dal fornitore, anche per mezzo dei grafici forniti dalla stessa Enisa;
  • Implementare le prassi consigliate all’interno dei propri sistemi di fornitura, anche sulla base degli esempi forniti da Enisa per ognuna delle stesse.

Le quattro macroaree

Le good practices sono poi suddivise in 4 macroaree: General Good Practices, Plan Phase Practices, Source Phase Practices, Manage Phase Practices.

Appartengono alla categoria delle General Good Practices:

  • Coinvolgere la UOC S.I. nella scelta e nella valutazione delle forniture di beni e servizi, rendendo la cybersecurity un requisito imprescindibile per ognuna di esse;
  • Implementare un processo di identificazione e gestione delle vulnerabilità dei sistemi, prima del loro acquisto e nel corso del loro utilizzo;
  • Sviluppare una policy di aggiornamento delle strutture hardware e software che assicuri l’installazione delle patch più recenti sui sistemi (sia sistemi operativi che antivirus, firewall, ecc.);
  • Assicurare che siano attuati dei controlli di sicurezza sulle comunicazioni effettuate tramite la rete Wi-Fi della struttura ospedaliera;
  • Programmare dei periodici test di sicurezza dei prodotti e dei sistemi;
  • Progettare dei piani di azione a garanzia della Business Continuity;
  • Valutare i problemi di interoperabilità dei sistemi e le possibili soluzioni;
  • Programmare test periodici dei sistemi per verificare che le funzionalità e le misure di sicurezza garantite dal fornitore siano effettive;
  • Garantire la sicurezza dei log di accesso ai sistemi per prevenire e intervenire sugli eventuali accessi non autorizzati all’interno dei sistemi;
  • Criptare i dati personali sensibili conservati e diffusi o comunicati.

Tra le pratiche inerente alla Plan Phase (fase del piano) abbiamo invece:

  • Condurre una valutazione del rischio prima di iniziare un processo di acquisto di un servizio e/o di un prodotto;
  • Pianificare in anticipo gli acquisti delle licenze inerenti alla rete e ai software in utilizzo, nonché garantire il rispetto dei requisiti hardware dagli stessi richiesti per funzionare correttamente;
  • Identificare le specifiche minacce connesse al prodotto o al servizio che si intende acquistare;
  • Proteggere gli strumenti informatici anche attraverso la segmentazione e l’isolamento di parte degli stessi, in particolare quelli che non possono essere aggiornati a nuovi sistemi operativi;
  • Determinare in anticipo quali siano i requisiti minimi di rete per garantire a ogni settore ospedaliero l’interoperabilità dei sistemi ed evitare che vi siano dei vuoti nella stessa;
  • Stabilire dei criteri di selezione dei fornitori;
  • Creare degli specifici RfP (Request for Proposal) per i fornitori di servizi cloud. Poiché l’assistenza sanitaria è un settore altamente regolamentato e il cloud è una piattaforma in continua evoluzione, gli aspetti relativi alla sicurezza e alla conformità vanno dettagliati nelle richieste rivolte ai fornitori di servizi in cloud.

Nella Source Phase (fase di partenza) è possibile adottare le seguenti prassi:

  • Richiedere ai fornitori di aver ottenuto specifiche certificazioni in materia di cybersecurity;
  • Condurre una Valutazione di Impatto ai sensi dell’art. 35 GDPR per prodotti e servizi innovativi;
  • Prevedere dei gateways per mantenere i sistemi e le macchine interconnessi, nel rispetto dei principi di protezione dei dati;
  • Formare i dipendenti in materia di cybersecurity ed affidarsi a consulenti esterni esperti;
  • Implementare dei piani di risposta e gestione degli incidenti informatici connessi a prodotti e/o servizi nuovi;
  • Coinvolgere il fornitore nella gestione degli incidenti;
  • Organizzare periodiche operazioni di aggiornamento e manutenzione per tutti gli strumenti e i sistemi in uso;
  • Ridurre e amministrare attentamente l’accesso remoto ai sistemi;
  • Richiedere l’installazione periodica di patch correttive per tutti gli strumenti informatici.

In ultimo, si enunciano le principali good practices relative alla Manage Phase (fase di gestione):

  • Aumentare la sensibilità sul tema cybersecurity dell’intero personale che si trova a dover utilizzare gli strumenti informatici, specie ove questi ultimi siano innovativi;
  • Implementare un sistema di asset management (gestione delle risorse) tramite cui poter anche monitorare l’aggiornamento delle strutture IT in uso, secondo un principio di gestione efficace ed efficiente delle stesse;
  • Al fine di proteggere per mezzo di misure di sicurezza fisiche anche la strumentazione sanitaria (come i robot chirurgici o gli scanner), prevedere che l’accesso alle stanze nei quali gli stessi sono collocati siano limitati al personale specializzato che ne deve far uso;
  • Svolgere frequentemente, o dopo che vi sono stati dei cambiamenti nei sistemi e/o nell’infrastruttura informatica, dei penetration test: a tal fine è opportuno prevedere nel contratto di fornitura una clausola ad hoc per lo svolgimento di tale attività.

Proposta di coordinamento delle relative funzioni aziendali da coinvolgere.

il recepimento di quanto succintamente esposto richiede un committment forte da parte del titolare del trattamento al fine di riuscire a creare un coordinamento aziendale tra le varie funzioni, riconducibili all’ambito legale per gli aspetti formali e normativi, all’ambito organizzativo-gestionale per la ri-progettazione dei flussi informativi interni e il coinvolgimento del personale, all’ambito IT per la cyber-security.

Ciascuna funzione, per quanto di competenza, dovrà contribuire ad individuare, pianificare realizzare e monitorare non solo misure tecniche di sicurezza attuate in modo specifico al perimetro dei dati personali, in ottemperanza al GDPR, ma anche misure di sicurezza organizzative, procedurali e tecniche, tutte insieme, capaci di ridurre il rischio di compromissione di tutte le informazioni “critiche” aziendali, all’interno di un sistema di governance della sicurezza aziendale centrata sui dati come fulcro della strategia e della tattica difensiva.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

disaster recovery
Corte di Giustizia Europea

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

telemarketing
Il trattamento dei dati personali per finalità di telemarketing alla luce del Provvedimento del Garante del 13 novembre 2024.
31 Gennaio 2025
accesso ai dati personali
Accesso ai dati personali della cartella clinica; le FAQ del Garante.
2 Gennaio 2025
medico di famiglia
Il datore di lavoro non può contattare il medico di famiglia del dipendente.
8 Marzo 2025

Start typing and press Enter to search