PNRR e Cybersecurity nella Sanità

PNRR e Cybersecurity nella Sanità

PNRR e Cybersecurity nella Sanità

Oggi i nuovi progetti che partono con i fondi messi a disposizione dal PNRR sono parte di un disegno complessivo di informatizzazione in realtà pubbliche e private. Al primo posto, in termini di priorità per i nuovi sviluppi, il discorso delle infrastrutture abilitanti e soprattutto della cybersecurity, che è diventata un’emergenza dopo i fatti recenti. Abbiamo parlato con Antonio Fumagalli, CIO dell’A.S.S.T. Papa Giovanni XXIII di Bergamo per comprendere come si stiano sviluppando queste progettualità legate al PNRR, qual è lo stato dell’arte e quali criticità potrebbero emergere nel breve termine.

TIG. Il PNRR è al centro dei nuovi progetti informatici in sanità. Quali sono gli sviluppi principali in corso?

Antonio FumagalliAntonio Fumagalli. La nostra situazione vede come prioritaria l’evoluzione degli applicativi clinici, ma soprattutto, abilitante è l’aggiornamento dell’intera infrastruttura a supporto, con riferimento particolare alla sicurezza informatica ed alla resilienza dei servizi.

Oltre ai classici finanziamenti, da bilancio e da programmazione regionale di lungo periodo, riceveremo a breve anche quelli del PNRR: sommando tutte le fonti, avremo più fondi a disposizione, ma gli ambiti di sviluppo continueranno a essere quelli della nostra pianificazione pluriennale. Avremo, quindi, la possibilità concreta di portare a termine i programmi e obiettivi che ci siamo prefissi.

PNRR sanità

TIG. Come si sta articolando il programma PNRR per quanto vi riguarda?

Antonio Fumagalli. A settembre 2021 abbiamo cominciato a fare delle ipotesi su come utilizzare il piano, poi, c’è stata un’accelerazione dall’inizio di quest’anno. Ci siamo incontrati con i colleghi informatici e con la Direzione Welfare regionale, ognuno di noi presentando tutto quello che riteneva necessario per migliorare l’informatizzazione della propria Azienda sanitaria, facendo riferimento alla missione 6 del PNRR (su salute, ammodernamento e digitalizzazione delle infrastrutture ospedaliere). Ciascuno degli Enti Sanitari lombardi coinvolti ha avanzato le proprie idee e proposte, le iniziative sono state poi raggruppate in varie categorie per dare al tutto una uniformità progettuale. Al termine, ciascun Ente, in concerto con la Regione, ha definito il proprio piano di lavoro, con tutte le voci di quello che si andrà ad implementare nei prossimi anni, indicando il costo ipotetico per ogni voce di questo percorso. Successivamente, gli investimenti previsti sono stati comunicati al Ministero. Operativamente, la Regione ha invece assegnato a ogni Ente Sanitario un Responsabile di progetto (un project manager officer), un collega che porta metodo e strumenti uguali per tutti: il tracciamento dell’avanzamento avviene poi periodicamente al fine di riportare l’evoluzione del percorso al Ministero.

TIG. Quando partiranno i primi investimenti legati al PNRR?

Antonio Fumagalli. Appena avremo i fondi (la prima tranche è prevista per luglio 2022) procederemo con gli acquisti, gestiti direttamente da noi aderendo a convenzioni Consip, in particolare a quella specifica per la sanità digitale (aggiudicata recentemente a 3 raggruppamenti di imprese). Per ciò che non sarà disponibile trovare in Consip, utilizzeremo gli altri strumenti di acquisto della PA: l’importante è che tutto sia tracciato e sia reso evidente come e quando saranno spesi i fondi. La criticità maggiore sarà proprio avviare e portare a compimento i progetti per arrivare in tempo a rendicontare entro le scadenze prefissate.

TIG. Quali sono le attività a cui darete priorità quest’anno?

Antonio Fumagalli. La maggior parte dei progetti di quest’anno saranno relativi all’infrastruttura e alla sicurezza, saranno quindi propedeutici ai successivi sviluppi di applicazioni cliniche. Con riferimento all’infrastruttura, non sarà in cloud al momento (migreremo più avanti, quando sarà pronto e disponibile il cloud nazionale): stiamo invece aggiornando i nostri datacenter anche in tema di ‘disaster recovery’. Prevediamo di concludere quest’anno i progetti di infrastruttura e dall’anno prossimo avviare quelli di informatizzazione clinica, ossia, di Pronto Soccorso, ‘Order entry’, Terapia intensiva, Patologia neonatale e ‘digital pathology’. Quest’ultima in particolare è una soluzione molto interessante che abilita, tramite la digitalizzazione e la condivisione in tempo reale dei vetrini, i teleconsulti e le tele-valutazioni tra Team clinici differenti, per ottenere livelli di diagnosi più accurati. In futuro, a corredo di queste soluzioni sarà possibile sviluppare strumenti di supporto alle decisioni e algoritmi di intelligenza artificiale, cosicché, man mano che si analizzano e digitalizzano i vetrini possano arrivare alcune indicazioni da algoritmi AI basate sulla storia clinica precedente.

TIG. Come vi proponete di incrementare la sicurezza?

Antonio Fumagalli. La cybersecurity è un tema su cui lavoriamo da molto tempo, ma nelle ultime settimane, anche a seguito di attacchi che hanno preso di mira la sanità italiana, abbiamo assistito a un’accelerazione drammatica dei programmi di sicurezza. In poco tempo tutte le aziende sanitarie sono state chiamate a fare analisi e a individuare percorsi evolutivi per incrementare la loro ‘postura di cybesecurity’.

L’obiettivo sarà quello di portare tutte le realtà sanitarie lombarde a un livello minimo per affrontare e resistere al meglio ai prossimi eventuali attacchi. Dopo interviste e valutazioni sulla situazione attuale, è stato indicato a tutte le Aziende sanitarie un set di 25 azioni minime, e, tra queste quelle a più alta priorità in base alla propria situazione attuale. Quello che andremo a fare nei prossimi mesi consterà nel potenziare l’infrastruttura di memorizzazione dei dati (aggiungendo nuovi livelli al backup e ‘disaster recovery’) poi saranno acquisiti nuovi strumenti di sicurezza (XDR, PAM).

PNRR sanità

TIG. Dal tuo punto di vista, quali criticità potrebbero presentarsi nello sviluppo delle iniziative collegate al PNRR?

Antonio Fumagalli. Con riferimento al PNRR, le idee ci sono e i fondi per gli investimenti nei progetti anche, abbiamo l’organizzazione di gestione del percorso, rimane però un grande problema, che insisterà sia su noi sia sui fornitori coinvolti in decine di nuove attività e progetti: la mancanza di risorse umane poiché con tutti questi nuovi cantieri mancheranno quasi sicuramente le persone per portarli a termine. Nella PA le figure tecniche mancano e quindi bisogna accedere a competenze specialistiche esterne, che anche i fornitori sul mercato privato non riescono a reperire. La chiave di volta per il successo del PNRR dovrebbe invece essere: avere persone giuste al posto giusto, contando poi sul fatto che le procedure amministrative fluiscano veramente (come fino ad ora sembra).

TIG. Alla fine, quale sarà la soluzione?

Antonio Fumagalli. Inevitabilmente, si ricorrerà sempre di più a personale esterno, anche di Paesi esteri nonché a ‘servizi tecnici gestiti’. Del resto, bisogna essere concreti e pragmatici. Noi siamo passati ad alcuni servizi gestiti da poche settimane e ci siamo subito resi conto che è un altro modo di garantire il servizio: specialisti che fanno quell’attività di mestiere, a disposizione H24, aggiornati e certificati, veloci e proattivi.

A cura di: Elena Vaciago, @evaciago


Il tema sarà presentato da Antonio Fumagalli, CIO dell’A.S.S.T. Papa Giovanni XXIII di Bergamo, in occasione della Executive Conference

LE BEST PRACTICE DELLA CYBERSECURITY NEL 2022
Passare dalla Cybersecurity alla Cyber Resilience
14 luglio 2022 – Identità Golose – Via Romagnosi 3 – Milano

La conferenza del prossimo 14 Luglio 2022, “LE BEST PRACTICE DELLA CYBERSECURITY NEL 2022. Passare dalla Cybersecurity alla Cyber Resilience” (con un formato altamente interattivo) presenta le Best Practice più attuali nella gestione del cyber risk, ossia, come:

  • Prevenire, mitigare, rispondere agli attacchi Ransomware: da dove partire, cosa è prioritario considerare
  • Adottare Cybersecurity e Intelligenza artificiale per mettere in sicurezza il Cloud
  • Cogliere l’opportunità del PNRR per investimenti in cybersecurity
  • Collegare cybersecurity, IT, gestione dei rischi e Innovazione digitale
  • Accelerare SecOps e Risposta con una Real-time Cyber Threat Intelligence
  • Rinnovare la Data Protection, tra resilienza cyber e Business Continuity.