Dopo il Covid-19 saranno i virus informatici a scatenare le future pandemie. L’attacco alla ASL1 è solo un’anteprima

Alfio Di Battista
Alfio Di Battista
8 Minuti di lettura

Avezzano – A una settimana dal clamoroso furto di dati sensibili subito dalla Asl 1, Avezzano – l’Aquila – Sulmona, la sensazione che siano ben pochi coloro che hanno colto la gravità della situazione è ben più di una certezza.

D’altra parte, i vertici dell’azienda sanitaria, non solo hanno minimizzato la portata di quanto accaduto. Addirittura si sono trincerati dietro un reticente silenzio, infranto solo per diffidare la stampa dal pubblicare i dati di cui è venuta in possesso, dati che chiunque può scaricare dal deep web.  

Senza contare il surreale episodio di involontaria comicità di cui si è reso protagonista il Direttore Generale della ASL1 che non si è presentato in commissione a spiegare l’accaduto, invocando il massimo riserbo sulla vicenda, non essendosi accorto che la questione non aveva più nulla di riservato.   

Tuttavia la speculazione politica, spesso intrisa di propaganda, meglio lasciarla alla contesa del consenso a buon mercato fra i partiti. Il punto è che i banditi informatici, con i loro attacchi mirati al furto dei dati sensibili di ignari cittadini, rappresentano un pericolo molto serio che ha a che vedere con la libertà di ognuno di noi.

Un paese democratico non può abbandonare il cittadino in balia di hacker senza scrupoli, capaci di rubare il data base di una struttura pubblica e così sfrontati da ridicolizzare le istituzioni, le quali, invece di chiedere scusa per non aver saputo fronteggiare l’attacco cibernetico, restano silenti e distanti dai fatti che gridano vendetta di fronte a tanto omertoso pressapochismo.   

Il prof. Marco Armoni, docente presso il CINEAS di Milano e in diversi Master Specialistici fra cui, il corso di Cybersecurity in Sanità, dice che in tutto il mondo, le strutture sanitarie sono sempre di più nel mirino di attacchi hacker. È lui a raccontare dell’attacco dello scorso anno, da parte di un gruppo hacker denominato Vice Society, al Fatebenefratelli Sacco di Milano.

Un attacco che mandò offline i portali di tutte le strutture dell’azienda, e costrinse il personale sanitario a tornare alla carta e penna con inevitabili impatti negativi sui pazienti e sui processi, sia diagnostici che amministrativi. La Regione Lombardia confermò umilmente l’accaduto.

Le strutture sanitarie non possono evidentemente permettersi disservizi prolungati causati da cyber-criminali, e questi, ne approfittano sfruttando l’importanza vitale della filiera ospedaliera come leva per chiedere riscatti alle istituzioni sotto scacco.

Oggi una cartella sanitaria, nel dark web, può valere in cripto-valuta, l’equivalente di 2.000 euro, perché è tra le più dettagliate e ricche di informazioni utili al criminale informatico che se ne servirà per organizzare ulteriori azioni criminali mascherandosi con le identità trafugate.

Questa è già una valida ragione per chiedere alla ASL1, depositaria dei dati sensibili dei cittadini, obbligata a dotarsi di figure professionali a cui è attribuita la responsabilità della conservazione degli stessi, quali misure abbia adottato sulla scorta del Regolamento generale per la protezione dei dati personali 2016/679, noto come GDPR.

Ma questo è il minimo sindacale. Intanto, nel momento in cui si viene a conoscenza della violazione dei dati, il titolare del trattamento degli stessi, entro 72 ore, deve comunicare il fatto al Garante per la privacy, senza ingiustificato ritardo. Salvo che la violazione dei dati personali non comporti alcun rischio per i diritti e le libertà delle persone fisiche.

A fronte di eventuali violazioni del regolamento, il Garante per la privacy può prescrivere azioni correttive riguardanti l’adeguatezza delle misure di sicurezza tecniche e organizzative. Può inoltre comminare sanzioni pecuniarie fino a 10 milioni di euro o, nel caso di imprese, fino al 2% del fatturato annuo.

Finché si resta nel campo del furto di identità, la cui gravità è del tutto evidente, il pericolo riguarda la libertà personale, limitata nel momento in cui qualcuno, utilizza deliberatamente per scopi illeciti i dati di un ignaro cittadino che, all’improvviso, potrebbe ritrovarsi indagato o addirittura arrestato per fatti commessi da altri, ma con la sua identità.

La casistica però è ancora più ampia perché il “mercato nero” dei dati personali, in particolare di quelli sanitari e giudiziari, potrebbe favorire casi si discriminazione sul lavoro. Potrebbe far recedere una compagnia assicurativa dall’assicurare un individuo, piuttosto che respingere la richiesta di un finanziamento, da parte di una banca.

Ma si può arrivare perfino a mettere a repentaglio la vita di un individuo. Dispositivi individuali come gli holter o gli spirometri, sono usualmente collegati a una rete per trasmettere i dati alla cartella clinica del paziente. Cosa succede se vengono hackerati? Cosa accade se un hacker penetra in una cartella clinica e cambia i parametri di un medicinale salvavita? 

Nel 2020 a Düsseldorf, in Germania, un team di paramedici era stato allertato per un intervento su una paziente di 78 anni con aneurisma aortico. Quello che doveva essere un intervento di routine, si è però trasformato in una tragedia.

A causa di un attacco ransomware, del tutto simile a quello che la scorsa settimana ha colpito la ASL1, l’ospedale aveva dirottato l’ambulanza verso un’altra struttura, accumulando una grave perdita di tempo che ha causato la morte della signora.       

Da ciò si evince che l’impiego di nuovi sistemi informatici e la semplice ristrutturazione dei processi aziendali, come anche la progettazione di sistemi di sicurezza a supporto, da soli, non bastano a difendersi dalle pandemie informatiche.

Le aziende sanitarie che non possono contare su professionalità altamente specializzate per gestire in proprio i sistemi e la sicurezza, devono necessariamente affidarsi a partner esterni. Questi andrebbero però scelti, non in base al concetto del miglior prezzo d’offerta, come accade oggi. I criteri di selezione dovrebbero essere centrati sulle competenze e sulle evidenze dei casi concreti gestiti con successo sul campo.

Ciò che è accaduto alla ASL1 mette in evidenza la scarsa cultura sulla sicurezza informatica, in primis, da parte dei vertici dell’azienda sanitaria. Una colpevole assenza di consapevolezza palesata in maniera chiara dalla mancanza, sul piano strategico sanitario 2023-2025, redatto dalla Regione Abruzzo, di contenuti e soprattutto di risorse finanziarie dedicate.

Una sciatteria organizzativa che si riverbera totalmente su tutta la filiera della sanità, priva di strutture tecniche di sicurezza adeguate, in grado di rispondere velocemente all’incidente. A tutto ciò si somma l’assenza di coordinamento fra strutture interne e partner esterni.

Prendere consapevolezza del rischio cyber in ambito sanitario, anche da parte dell’utenza, vuol dire affrontare il problema in maniera proattiva, formando il personale interno ed esterno così da prevenire e gestire le criticità, che certamente sì ripresenteranno. Speriamo non sia tardi.

Condividi questo articolo