La “DLA Piper GDPR breach” survey riporta i dati a Febbraio 2019 ed evidenzia che in 8 mesi dall’entrata in vigore del GDPR ci sono state, in EU, 59.000 denunce di data breach. I paesi con più denunce sono Olanda, Germania e UK (rispettivamente 15.400, 12.600 e 10.600). In Italia le denunce sono state 610. Il dato pesato pro-capite evidenzia come l’Olanda sia in vetta mentre UK, Germania e Francia siano in ordine al 10°, 11° e 12° posto. L’Italia risulta quindi al penultimo posto, con 0,9 breach ogni 100.000 persone.
Le risultanze del report per l’Italia possono essere interpretati sia in modo positivo (abbiamo in campo efficaci misure contrasto e monitoraggio) che negativo (non siamo in grado di rilevare i data breach ed o omettiamo di denunciarli). Con molta probabilità abbiamo un mix di situazioni e ciascuna realtà sa quale sia la situazione vera e quindi conosce quali siano le aree da indirizzare per migliorare ed anche iniziare il cambiamento (innanzitutto culturale), che deve avvenire. 
L’atteggiamento deve essere costruttivo, di un percorso realizzato non per solo per la compliance alla normativa ma per la sicurezza di ciascuno al di là della singola realtà aziendale.
Il continuo miglioramento sia tecnologico sia organizzativo oltre che culturale deve costituire l’obiettivo di ciascuna organizzazione. Non perdere la focalizzazione sull’argomento cybersecurity è la chiave del successo al contrasto del cybercrime in genere.
Considerando l’ambito sanitario, in questo mondo gli attacchi avvengono in prevalenza con finalità cybercriminali e furto di dati personali.
Una delle aree da indirizzare in ambito sanitario sono i dispositivi medicali. Gli oggetti connessi (IoT), che nel settore sanità risentono di un’elevata crescita, soffrono di due principali lacune: una organizzativa ed una normativa. La lacuna organizzativa principale è la carenza, a volte assenza, di coinvolgimento dell’IT, sia nella scelta del dispositivo che nella sua messa in produzione. La scelta dei dispositivi, vista la loro necessità di inserimento sulla rete aziendale, richiede un’analisi di sicurezza che rientra prevalentemente nel DNA dell’IT.
Il concetto di multidisciplinarità, dei team che devono seguire la vita dei dispositivi medici, deve essere applicato alle organizzazioni. L’obiettivo è di limitare il più possibile l’introduzione di punti di debolezza sull’infrastruttura e quindi possono essere il punto d’ingresso per data breach e accessi illeciti.
La normativa deve indirizzare in modo specifico la necessità che i dispositivi siano progettati con una cyber- sicurezza by design e by default. In questo momento le organizzazioni devono quindi strutturarsi ed adottare procedure per l’acquisizione e gestione di nuovi dispositivi e la gestione di quelli in essere, in modo cyber-sicuro.
L’argomento della cybersecurity è complesso ma non per questo impossibile. Se ne parla sempre più spesso ma non per questo deve divenire un rumore di fondo a cui ci sia abitua. Formazione e consapevolezza di tutti sono le due chiavi di successo. Aisis con AIIC ha aperto un tavolo di lavoro per indirizzare la multidisciplinarità in ambito dispositivi medicali. Nel convegno di Ottobre Aisis affronterà nuovamente la cybersecurity in ambito sanitario proponendosi nuove modalità di presentazione.
A cura di:
Marina Gatti
Referente Cybersecurity e IoT, AISIS
AISIS (Associazione Italiana Sistemi Informativi in Sanità – www.aisis.it) è un’associazione senza fini di lucro, nata nel 2003 con lo scopo di favorire una crescita dell’attenzione sulle problematiche connesse all’innovazione digitale in Sanità, intesa come leva strategica di cambiamento delle aziende sanitarie pubbliche e private. Rappresenta una realtà costituita da oltre 500 soci che si propone come catalizzatore/facilitatore di percorsi di formazione, di eventi di networking e di alleanze tra tecnologi, utenti e decisori, perché la digitalizzazione e la trasformazione digitale della sanità creino valore per tutti gli stakeholder. In particolare AISIS è attiva sulla formazione dei suoi membri tramite l’eHealthAcademy (www.aisis.it/e-health-academy-2018). Insieme al LifeTech Forum organizza inoltre un evento annuale, il Digital Health Summit, che riunisce tutti gli stakeholder della sanità digitale (www.digitalhealthsummit.it). Il prossimo Digital Health Summit sarà a Milano (Palazzo delle Stelline) dal 9 all’11 ottobre 2019 e sarà focalizzato sulla “Value Based Digital Care”. Inoltre AISIS si avvale di collaborazioni internazionali importanti, come quella con CHIME (www.aisis.it/chimecentral-org) ed organizza study tour all’estero e altri momenti di incontro tra e-Leader tecnici e non tecnici.
