Il punto sui data breach sanitari

Indice

In Italia c’è un grande problema nel ripristino dei servizi sanitari a seguito di un incidente informatico e poco importa se tale incidente sia causato da fenomeni colposi o dolosi. Nell’ambito sanitario questo può fare la differenza tra l’erogazione di servizi essenziali e la loro mancata erogazione ai danni degli assistiti.

La sanità digitale

Il termine sanità digitale comprende tutti i sistemi informatici deputati al funzionamento delle prestazioni sanitarie: si pensi ai gestionali documentali, ai sistemi server deputati alla detenzione dei file, ai servizi di comunicazione e trasmissione dei dati, ai sistemi di gestione dei pazienti e così via. La sanità digitale è un delicato intreccio di sistemi, servizi, reti, infrastrutture che animano ospedali, ASL, pronto soccorso, ecc…

L’avvento di un incidente informatico in un contesto delicato come quello sanitario deve essere considerato come critico. La chiusura di un pronto soccorso, ad esempio, equivale all’interruzione dell’erogazione di cure e al trasferimento dei malati in strutture differenti e talvolta più lontane. È bene ricordare che fenomeni di questo tipo, in Germania, contribuirono alla morte di una donna e che ogni tentativo di derubricare il fenomeno equivale a dimostrare la propria ignoranza sul tema della sicurezza informatica e lo spregio nei confronti del trattamento degli assistiti.

In Italia la situazione del ripristino dei servizi sanitari sta assumendo contorni veramente preoccupanti: alla data del 12 luglio 2024 si può dedurre la classifica riportata nel grafico seguente, classifica che vede l’ASST Rhodense in rapida risalita verso la prima posizione. In molte occasioni su questo portale è stato ricordato che il tempo massimo di ritorno all’operatività (RTO) delle ASL, ad esempio, dovrebbe essere di 4 giorni (per l’esattezza 3,7).

Alcuni dati in merito al ripristino dei servizi (alla data del 12 luglio 2024)

È quindi a dir poco imbarazzante, se non preoccupante, vedere che con il passare degli anni (oltre 10 dall’indagine di AgID), la situazione non solo non è migliorata ma se possibile è peggiorata. Si tenga presente, ad esempio, che i dati riportati nel grafico fanno riferimento agli anni indicati nella tabella:

AnnoTargetDurata
2021AULSS 6 Euganea18
2023ASL 1 Abruzzo30
2023Multimedica52
2024ASST Rhodense36⇪

Si tenga anche presente che i dati qui presentati tengono conto dei soli target che hanno avuto un periodo di ripristino superiore ai 10 giorni (e non ai 4 come riportato nel documento di AgID). La freccia accanto all’ASST Rhodense significa che l’azienda sanitaria, al momento della scrittura del presente articolo, è impegnata nel ripristino dei servizi digitali, tra cui il portale web ufficiale che si presenta nella sua veste temporanea come mostrato di seguito. Non sfuggirà certamente al lettore che più si va avanti nel tempo e più i giorni di ripristino aumentano invece che diminuire. Più il progresso tecnologico aumenta, e più la possibilità di ripristinare i servizi nei tempi previsti diminuisce.

Il portale della ASST Rhodense alla data del 12 luglio 2024, ore 09:25

La cultura dell’ignoranza

La prima pubblicazione del GDPR risale al lontano 27 aprile 2016, sono passati ormai 8 anni e ancora oggi molte strutture sanitarie continuano a gestire e detenere i dati personali sanitari in modo improprio. Proprio quei dati che ricordiamo essere dati personali di categoria particolare e che per tal ragione necessiterebbero di misure di sicurezza maggiori perché di maggiore delicatezza: “Le categorie particolari di dati personali che meritano una maggiore protezione dovrebbero essere trattate soltanto per finalità connesse alla salute…” (GDPR-Considerando 53). Chiaramente non è solo un problema delle strutture sanitarie ma in questo articolo ci si concentrerà su tale ambito perché considerato il più importante. Stupisce l’incuria con cui si viola la legge, a partire proprio da quel tanto discusso GDPR che prescrive:

Costituisce legittimo interesse del titolare del trattamento interessato trattare dati personali relativi al traffico, in misura strettamente necessaria e proporzionata per garantire la sicurezza delle reti e dell'informazione, vale a dire la capacità di una rete o di un sistema d'informazione di resistere, a un dato livello di sicurezza, a eventi imprevisti o atti illeciti o dolosi che compromettano la protezione dei dati personali la disponibilità, l'autenticità, l'integrità e la riservatezza dei dati personali conservati o trasmessi...

Visti i risultati verrebbe da polemizzare che tale legittimo interesse in realtà non ci sia e che i titolari del trattamento dei dati non si curino di tale interesse ma facciano altro. Questo perché a mancare, nella sanità digitale, non è solo la tecnologia ma soprattutto sono le strategie, le documentazioni, le pianificazioni, e tutto ciò che serve a progettare nel tempo un ecosistema informatico adeguato anche se, chiaramente, non infallibile.

Si potrebbe chiarire a molti dirigenti delle strutture vittima di data breach che il ritorno all’operatività espresso dal livello di servizio RTO (Recovery Time Objective) si riferisce al completo ripristino di tutti i servizi dell’organizzazione e non solo di una parte, quella che evidentemente viene considerata più rilevante. No, il ripristino deve essere totale, dal primo all’ultimo elemento compromesso durante l’incidente: altrimenti il ripristino, logicamente, non può considerarsi concluso ed è parziale. Eppure tante polemiche sono state sollevate su questo punto: si considera completato un ripristino che, ad esempio, non prevede la riattivazione di un sito web, o di un portale per la prenotazione di prestazioni sanitarie e che, precedentemente all’incidente informatico, era presente e completamente funzionante.

C’è anche un altro problema da analizzare: l’ignoranza normativa. In queste ore su Twitter si avvicendano discussioni su un data breach che vede coinvolti il Prof. Burioni e i firmatari di un esposto a suo carico. È una polemica molto discussa e di cui ha parlato il DPO Christian Bernieri in questo articolo. La discussione è stata di per sé molto interessante, non tanto per il fatto centrale, quanto perché su Twitter c’è stata la prova che moltissime persone, anche addetti ai lavori, non abbiano ancora capito cosa sia un data breach. Di seguito si propone un fulgido esempio d’ignoranza sul tema in questione.

L’utente censurato, che tra l’altro non è un giurista o un addetto ai lavori, sostiene che quanto accaduto nel caso Burioni non consista in un data breach. L’utente ignora, tuttavia, che l’esposto è stato firmato da soggetti che hanno dato il loro consenso solo per la firma del documento e non per la diffusione dei loro dati personali su internet. L’utente ignora anche che un dato, seppur pubblico, deve essere trattato secondo le specifiche e previste finalità di trattamento e nel caso in specie la diffusione di dati personali e fotocopie di documenti d’identità non è da intendersi né come prevista né come autorizzata. Il problema, tuttavia, non è tanto nelle risposte da parte di non addetti ai lavori; esplode quando a fornire queste risposte sono i sedicenti addetti ai lavori. Sono passati 8 anni e avvocati, tecnici informatici, i cosiddetti “esperti” non hanno ancora capito cosa sia una violazione della sicurezza e cosa prescrive la norma in merito. Questo è un problema ed è determinato dalla mancanza di adeguata formazione e dalla completa sciatteria con cui spesso vengono trattati alcuni temi che, in realtà, dovrebbero essere molto importanti.

Viene quindi da pensare che in questi anni sia stata coltivata una cultura dell’ignoranza basata sull’approssimazione, sulla cialtroneria, sulla derubricazione di fenomeni ben più grandi e rilevanti di quanto non appaiano sui social con la conseguente crescita dei tempi di ripristino dei servizi digitali. Eppure è strano: oltre al GDPR ci sono standard come la ISO 27001, la ISO 27005, i Critical Security Controls che stabiliscono la necessità di governare le attività di ripristino e tra qualche mese (dal 17 ottobre 2024) ci sarà anche la NIS2 a insistere su questo punto. Fa quasi amaramente sorridere vedere questo avvicendamento normativo su tanti punti importanti e regolarmente disattesi.

L’intelligenza artificiale non poteva mancare

In questo scenario assolutamente sconfortante, che mostra tutta l’ignoranza su un argomento tanto basilare quanto fondamentale per i diritti della persona, si fa un gran parlare di intelligenza artificiale applicata ai vari ambiti tra cui la sanità. Vien da pensare che per applicare anche solo il minimo algoritmo, quello più elementare e innocuo, siano necessari dei prerequisiti tecnici, organizzativi e metodologici che oggi sono costantemente ignorati.

Bisogna ricordare che il direttore di una delle ASL presenti nella classifica sopra riportata si è indignato, perché dopo la violazione di sicurezza i giornali parlavano dei disservizi e dello stato a dir poco lacunoso nel quale si trovavano i sistemi informatici mentre gli avvocati (giustamente) presentavano richieste di risarcimento per i loro assistiti. In sostanza, invece di scusarsi e operare tempestivamente per il ripristino dei servizi, il direttore di questa struttura sanitaria si è lamentato con i giornalisti che facevano il proprio lavoro e denunciavano le condizioni assurde di gestione e trattamento dei dati. In tale scenario, di assoluta incapacità tecnica e organizzativa (più o meno voluta), si vorrebbe calare una delle tecnologie più complesse, articolate e perciò difficili da gestire al mondo. Una tecnologia che potrebbe migliorare la vita di moltissime persone a patto, però, che venga introdotta adeguatamente dentro le strutture sanitarie e non diventi essa stessa oggetto o causa di vulnerabilità. Davanti ad un argomento del genere, pertanto, non resta che un sorriso amaro e un lieve brivido di timore che anche questo aspetto possa essere reso superficiale nell’implementazione; i danni sarebbero a dir poco ingenti.

Una soluzione semplice non c’è ma…

Viene da fare una riflessione: in un’azienda privata, se il responsabile di un progetto commette clamorosi e ripetuti errori che in presenza di un incidente causano danni severi all’organizzazione e ai suoi clienti, si può star certi che quel responsabile verrà quantomeno sollevato dai suoi incarichi.

Dopo le violazioni di sicurezza e l’esposizione dei dati da parte degli hacker, sono stati rivelati macroscopici errori nella gestione e nella detenzione dei dati da parte di molte strutture sanitarie. Tali errori sono stati oggetto di una strategia informatica tesa alla “comodità” e non alla sicurezza, o comunque all’incoscienza o alla negligenza. Se a rispondere di queste scelte fosse il dirigente (o i dirigenti) responsabile/i di tali scelte, ci sarebbe indubbiamente più attenzione: soprattutto se ne dovesse rispondere non solo davanti alla legge ma anche con il pagamento delle eventuali multe. Questo è importante capirlo ed è la fondamentale differenza tra l’ambito pubblico e l’ambito privato. In un contesto privato, il soggetto responsabile risponde in solido dei danni causati all’organizzazione e ai suoi clienti. Nel contesto pubblico siamo a livelli imbarazzanti, in cui tecnici che hanno favorito data breach non solo non hanno subito nemmeno un provvedimento disciplinare ma in alcuni casi sono stati anche “promossi” a mansioni diverse con relativo aumento di salario.

I data breach mostrano anni di incuria, di violazione delle norme (come la Circolare 2/2017 di AgID) e se un data breach accade, ad esempio, dopo dieci anni di negligenza la questione non verte più sull’incidente informatico ma sul perché per dieci anni non si sia ottemperato alla normativa. È possibile determinare la condizione di un sistema informatico con estrema precisione, stabilirne i limiti e le fondamentali violazioni senza alcun problema di sorta. Ad esempio è possibile determinare se, al momento dell’incidente, l’organizzazione adottasse le misure di sicurezza previste dalla legge, se fossero in possesso di backup adeguatamente realizzati, se fossero in possesso di piani e strategie opportunamente firmati con firma digitale. Insomma, se lo si volesse, sarebbe possibile effettuare tutti i rilievi necessari a far rispettare la legge e a restituire dignità al trattamento dei dati dei cittadini.

Conclusione

Dovrebbe essere tutto molto importante ma, come direbbe il comico Luca Bizzarri, siamo in Italia e le cose ci piace farle a modo nostro. Così attendiamo mesi e mesi che i servizi sanitari tornino completamente attivi e nel frattempo i massimi esperti di tecnologia, legge, sicurezza informatica, intelligenza artificiale, si avvicendano in tavole rotonde e webinar e meeting online denunciando la loro grande preparazione. Con tutta questa conoscenza diffusa, l’Italia dovrebbe essere ai primi posti per rendimento tecnologico, sicurezza informatica e cultura del trattamento dei dati personali. Stranamente non è così, però è tempo di andare in vacanza e quindi tutto sarà comodamente dimenticato sotto l’ombrellone di una spiaggia tra uno spritz e una Settimana Enigmistica. Si dimenticheranno gli hacker, le violazioni di sicurezza, la protezione del dato e si dimenticherà anche la dignità dei diritti del cittadino ma che importa, domani è un altro giorno e della dignità dei diritti del cittadino ci siamo dimenticati da tempo ormai.