Tra i settori che subiscono ogni anno attacchi informatici non manca quello della Sanità: secondo il dodicesimo Rapporto CLUSIT presentato a Milano qualche giorno fa, su un totale di 1.127 attacchi gravi di dominio pubblico registrati dagli esperti nel del 2017, 80 (7%) sono relativi al settore sanitario (ospedali, cliniche, studi medici), con un aumento del 9,6% rispetto al 2016.
La maggior parte delle strutture colpite è negli Stati Uniti, dove le normative relative all'obbligo di denuncia in caso di data breach sono più severe. Per quanto riguarda l’Italia, non esistono casi “ufficiali” di violazione dei dati, anche se non mancano alcune segnalazioni di attacchi informatici a strutture sanitarie (molto recente, ad esempio, quello all’ASP di Vibo Valentia). L’applicazione del GDPR (General Data Protection Regulation), il nuovo Regolamento europeo in materia di protezione dei dati personali, prevista per il 25 maggio 2018, potrà cambiare questo scenario. In particolare, saranno introdotti alcuni nuovi obblighi, tra cui quello sul data breach: in caso di violazione dei dati personali, il titolare del trattamento dovrà notificarla all’autorità di controllo competente, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. Rispetto a quanto rilevato finora, quindi, potrebbero diventare di dominio pubblico i casi di attacco che ad oggi rimangono “nell’ombra”.
Proprio con l’obiettivo di sviluppare le conoscenze e le metodologie di difesa dei sistemi informativi utilizzati in ambito sanitario, è nato qualche giorno fa il gruppo di studio nazionale denominato “Cybersecurity”, coordinato dall'Istituto Superiore di Sanità. Il gruppo studierà strategie specifiche per migliorare costantemente la difesa delle strutture sanitarie da attacchi informatici di varia natura e si occuperà anche di definire adeguati e aggiornati sistemi di formazione per le professioni sanitarie.
Ma la vera sfida per le aziende sanitarie, nei prossimi due mesi, sarà anche quella di arrivare pronti all’applicazione del GDPR: dovrà, ad esempio, essere nominato un DPO (Data Protection Officer), figura responsabile della gestione del trattamento e protezione dei dati personali all’interno dell’azienda sulla base delle normative di privacy europee e nazionali.
Il settore della Sanità dovrà, infine, adeguarsi a quanto stabilito dal decreto NIS (Network & Information Security) pubblicato a fine febbraio che ha l’obiettivo di migliorare la capacità di gestire la sicurezza delle reti, attraverso misure tecniche e organizzative adeguate alla gestione dei rischi e alla prevenzione degli incidenti informatici.
