Sicurezza informatica: i sistemi difettosi danneggiano i pazienti
Il settore sanitario dipende dalla sicurezza informatica. Le tecnologie e i dispositivi consentono la diagnosi e, in base a questa, la terapia del paziente, altri assicurano e supportano le funzioni di mantenimento della vita. Infine, i dati sensibili dei pazienti godono di una speciale protezione legale. Se l'IT non funziona, le conseguenze nel settore sanitario possono essere rapidamente catastrofiche.
La sicurezza informatica nel settore delle infrastrutture critiche è ancora talvolta trattata in modo molto materno. Il tema è particolarmente esplosivo nel settore sanitario. Una tecnologia informatica difettosa, vulnerabile o semplicemente non disponibile può portare rapidamente a lesioni personali.
La sicurezza informatica nel settore sanitario riguarda principalmente due aree specifiche: Da un lato, si tratta di dati puramente amministrativi, cioè di informazioni sul paziente e sul suo decorso di malattia. I dati dei pazienti godono di una protezione legale ancora maggiore rispetto ai dati personali ai sensi del GDPR, grazie all'obbligo di riservatezza medica. Dall'altro lato, c'è l'infrastruttura tecnologica che viene utilizzata direttamente sul paziente: pacemaker, ventilatori o dispositivi come ultrasuoni, ECG, tomografie computerizzate e radiografie. Nella diagnostica, supporta il medico curante; sul paziente, ha funzioni di mantenimento in vita.
Tre obiettivi concreti di protezione informatica nel settore sanitario
Per poter raggiungere la sicurezza informatica, è necessario prendere in considerazione tre aree: È necessario garantire la disponibilità del componente, la protezione dei dati, la riservatezza e l'integrità dei dati.
- Disponibilità del componente: Nel peggiore dei casi, un componente tecnico o un dispositivo si guasta. Se la macchina a raggi X si guasta durante un'operazione e il chirurgo non riesce più a trovare la sonda inserita nel corpo del paziente, questo è un problema. È quindi importante definire le misure in anticipo e avere un piano B in tasca: Se il ventilatore non funziona in sala operatoria, il paziente deve essere ventilato manualmente (ventilazione con maschera a sacco).
- Proteggere i dati e garantire la riservatezza: Solo le persone autorizzate possono accedere ai dati sensibili nel settore sanitario. Per raggiungere questo obiettivo, una misura può essere quella di far rientrare il sistema informatico nel cuore dell'amministrazione, in modo che i visitatori non possano vedere gli schermi. Inoltre, è importante proteggere i dati con password per consentire l'accesso solo alle persone autorizzate e trasmettere e idealmente archiviare i dati in forma criptata.
- Integrità dei dati: In questo caso, bisogna assicurarsi che i dati ottenuti con il supporto informatico siano corretti e vengano anche visualizzati correttamente. In laboratorio, ad esempio, le corsie per l'analisi dei campioni di sangue sono controllate automaticamente. Le diagnosi e le terapie si basano sui risultati dei valori ematici, che devono assolutamente essere corretti. Per garantire ciò, una possibilità è quella di testare i campioni in parallelo in due sistemi contemporaneamente per confrontare i risultati. Il doppio campionamento può garantire l'integrità dei dati come misura in questo modo. Un altro esempio della sua importanza: le schede e le informazioni devono essere assegnate al paziente corretto, in modo da evitare l'amputazione dell'arto sbagliato o la somministrazione del farmaco sbagliato. Oppure nel caso di dispositivi portatili che, ad esempio, misurano la glicemia di un diabetico tramite sensori sulla pelle e sulla base dei quali il paziente si inietta l'insulina: In questo caso, i dati corretti devono essere presentati correttamente.
I problemi in queste tre aree e quindi la causa degli errori risiedono spesso nei processi. Questi devono essere concretizzati per minimizzare la probabilità di danni o ridurne l'impatto.
In generale, per funzionare, la sicurezza informatica deve essere presa in considerazione sia nella produzione che nel successivo funzionamento di un prodotto. Un prodotto sicuro deve quindi essere prima sviluppato e fabbricato e poi gestito in modo sicuro. Per questo, le funzioni e le specifiche di base sono importanti quanto il personale competente che lavora con i dispositivi.
Un problema importante è spesso la mancanza di conoscenze informatiche. In molte aziende e organizzazioni, l'IT è visto principalmente come un fattore di costo e le risorse di cui è dotato sono di conseguenza scarse. Inoltre, di solito lo standard di valutazione è solo il funzionamento dell'IT. Così facendo, non si tiene conto se le tecnologie utilizzate possono aprire la porta a un uso improprio: Perché ciò che è possibile non è sempre possibile. Ad esempio, se il dodicenne annoiato con la gamba rotta è in grado di hackerare il wifi e visualizzare i documenti del primario. Per evitare ciò, l'IT deve essere utilizzato in modo sicuro e deve conoscere e rispettare le specifiche del produttore.
Sistema di gestione del rischio con livello di sicurezza consapevole
A causa del pericolo per la vita e l'incolumità fisica, il rischio nell'informatica medica è più elevato che in altri settori. Ma non esiste una sicurezza al 100%. Per questo motivo è importante proteggere l'IT dai rischi più comuni. Gli scenari di danno ipotizzabili sono, ad esempio, un'interruzione di corrente, un terremoto, un incendio, un'inondazione o un attacco hacker.
Per costruire un sistema di gestione del rischio, è necessario definire, valutare e determinare la probabilità di accadimento di queste minacce. Successivamente, gli effetti vengono esaminati e valutati in modo da poter decidere quali rischi, se esistono, possono essere accettati e quali misure possono essere introdotte per ridurli al minimo. In questo modo è possibile definire un livello di sicurezza consapevole e raggiungere con le misure il livello di sicurezza informatica desiderato.
Conclusione
Per raggiungere la sicurezza informatica nel settore sanitario è fondamentale stabilire da quali minacce ci si vuole proteggere. Se c'è chiarezza, i pericoli devono essere definiti in un'analisi dei rischi, valutati e contrastati con contromisure adeguate. Inoltre, l'IT deve essere dotato del know-how e conoscere i requisiti tecnici per gestire l'infrastruttura in modo sicuro.
Autore: Randolf-Heiko Skerka, Responsabile Gestione IS, SRC GmbH
Conferenza "La sicurezza delle informazioni nell'assistenza sanitaria a Rotkreuz LU
Giovedì 12 agosto 2020 si terrà per la sesta volta la Conferenza sulla sicurezza delle informazioni in ambito sanitario. L'edizione di quest'anno è dedicata al tema "Prevenire che i dati sanitari si ammalino". L'evento offre l'opportunità di scambiare conoscenze con altri professionisti sul tema della sicurezza dei dati in ambito sanitario.
Per la prima volta, la conferenza si terrà nel nuovo campus dell'Università di Scienze Applicate e Arti di Lucerna a Rotkreuz.
Info: www.infosec-health.ch