Il report Healthcare Cyber Heists, stilato dalla società statunitense specializzata in cybersecurity Carbon Black, ha di recente compilato un borsino delle tipologie di dati sanitari più venduti sul dark web, da quelli che riguardano i professionisti del settore fino ai pazienti. Il “pacchetto completo” di tutti i documenti necessari per ricostruire il background di un medico professionista, inclusi dati identificativi, diplomi di laurea, licenze mediche, nonché documenti assicurativi è fra i più costosi e si aggira sui 500 dollari. Meno caro è il mercato delle false prescrizioni mediche, che possono essere acquistate per cifre comprese tra i 10 e i 120 dollari, oppure le credenziali di accesso a portali assicurativi, vendute per pochi dollari a causa della loro rapida obsolescenza una volta scoperta la violazione.
Si può affermare che i dati sanitari di ciascun individuo, capaci di far intravedere, quando non di svelare del tutto, la sfera più intima della persona, stiano diventando una vera e propria miniera d’oro per i cybercriminali. Ma perché sembrano essere così ambiti? E quale valore possiedono? Se i dati sanitari rappresentano un obiettivo per i criminali informatici, infatti, significa che esiste una domanda che li richiede, e se c’è una domanda, deve esserci un ritorno economico, all’interno di uno specifico “mercato della salute sotterraneo”.
Il valore dei dati sanitari
Per comprendere il valore di questi dati, basta considerare i molteplici usi illeciti che ne possono derivare. Possono essere impiegati per ottenere farmaci soggetti a prescrizione (sia per consumo personale sia per rivenderli illegalmente), oppure per creare documenti falsi che permettano a individui non qualificati di spacciarsi per medici e accedere a servizi sanitari o rapportarsi con compagnie assicurative in modo fraudolento. Oltre ai dati dei professionisti, le informazioni sanitarie comprendono anche dati personali identificativi del paziente, indirizzi e-mail, numeri di tessere sanitarie, referti clinici come esami diagnostici e di laboratorio, prescrizioni di medicinali, e infine dati assicurativi. Le finalità criminali legate al furto e alla vendita di tali dati sono di varia natura: possono servire alla costruzione di false identità, alla richiesta di somme di denaro come riscatto al fine di rientrare in possesso dei dati stessi (si pensi al caso di informazioni sensibili come la sieropositività all’HIV), alla contraffazione documenti, per esempio certificati di nascita, patenti di guida, passaporti, a emettere false ricette mediche, o ad ottenere specifici farmaci.
Come paventato per esempio da Matteo Bonfanti, responsabile per le relazioni internazionali e la cooperazione dell’Agenzia per la Cybersicurezza Nazionale (a questo link un suo intervento al convegno “Cybesecurity e protezione dei dati personali nella sanità”), non si può neppure escludere che fra gli acquirenti in questo sistema di compravendita vi siano anche aziende, interessate ad entrare in possesso di “big data” altrimenti irraggiungibili, per esempio imprese farmaceutiche che potrebbero sfruttare i pacchetti di dati medicali in vendita per la ricerca e lo sviluppo di nuovi farmaci, orientando strategicamente le proprie decisioni commerciali e avvantaggiandosi illecitamente sui propri competitors.
Comportamenti imprudenti
Assodato che questo genere di dati, cosa di cui la maggior parte di noi potrebbe essere inconsapevole, è appetibile per interessi criminali, l’altra domanda a cui resta da rispondere è quanto questi stessi dati siano sicuri e “protetti”. Un primo elemento utile a inquadrare il contesto è che, con ogni probabilità, lo stesso personale sanitario non è pienamente consapevole dei rischi connessi alla possibile sottrazione di queste informazioni. Può capitare infatti che medici, nello svolgimento delle proprie funzioni abituali, si servano di mezzi e strumenti non progettati in modo specifico per l’ambito sanitario, bypassando così un livello minimo di sicurezza.
“Immaginiamo uno scenario del genere, del tutto comune nella vita quotidiana di un professionista della sanità” osserva un chirurgo, operante in una azienda ospedaliera pubblica veneta, che preferisce rimanere anonimo, e la cui intervista completa può essere letta all’interno di questo studio. “Abitualmente, capita di ricevere e-mail da parte di altri clinici, che hanno bisogno di ottenere il parere di un collega, contenenti dati relativi ai pazienti. E questi scambi avvengono spesso su sistemi di messaggistica istantanea come Whatsapp. Un mio collega, per esempio, chiede: il paziente X sta sanguinando lo portiamo o meno in sala operatoria? Nel messaggio viene indicato solo il cognome, senza nome e senza data di nascita, e la patologia di riferimento. È ovvio, comunque, che il paziente sia facilmente identificabile”. Situazioni come queste sono all’ordine del giorno. Un medico che ha agito in questo modo non ritiene probabilmente di aver commesso un errore, eppure ha fornito un dato clinico ultrasensibile attraverso uno strumento privo dei necessari livelli di sicurezza per trasmettere questo tipo di informazioni.
Dalle statistiche ufficiali sui cyber-attacchi indirizzati al settore sanitario appare chiaro che la maggior parte delle intrusioni avvenga, o sia quantomeno facilitata, dalla mancanza di adeguate pratiche di sicurezza informatica da parte del personale medico (si pensi al diffuso fenomeno del phishing). È possibile che alla base vi sia una certa superficialità, una mancata percezione del rischio reale, o persino un problema di natura culturale. In effetti, spesso il ragionamento implicito che si cela dietro questi atteggiamenti è: mi occupo della salute pazienti, non ho il tempo né le competenze di occuparmi anche di questi aspetti.
Inoltre, il carico di lavoro complessivo – sia sul piano clinico che su quello amministrativo – sembrerebbe essere percepito come un ostacolo a prendersi cura in modo adeguato anche degli aspetti di sicurezza informatica. “Noi sanitari siamo soverchiati dalle problematiche di ordine generale, clinico e amministrativo, dobbiamo studiare leggi per la somministrazione dei farmaci, per i piani di cura, spendere dai dieci ai quindici minuti di tempo solo per inserire in maniera digitale la somministrazione del farmaco, per poi controllarla e vigilarla” continua il chirurgo intervistato. “Il tempo per dedicarsi agli aspetti più propriamente inerenti alla sicurezza dei dati, alle possibili intromissioni ed alla cybersecurity in generale è davvero residuale”. C’è anche un altro punto di vista da considerare, quello di chi si occupa professionalmente della sicurezza all’interno delle aziende sanitarie. Dice per esempio l’ingegnere informatico intervistato in forma anonima nell’ambito della ricerca già citata, e che lavora nella stessa azienda sanitaria del chirurgo: “C’è una totale sconsideratezza nell’inviare referti ed analisi tramite WeTransfer o simili, e ciò è tutt’altro che infrequente, anzi è una pratica comune…La percezione è che la security sia proprio una gran rottura di scatole, intendendola cioè quasi come una limitazione alla libertà personale, vuoi perché non puoi navigare in Internet a tuo piacimento, ma nei siti indicati, vuoi perché non puoi trasferire su WeTransfer un’immagine clinica per avere un secondo parere medico”.
Soluzioni? Tecnologia aggiornata, formazione e “cybercultura”
L’evoluzione delle minacce informatiche richiede strumenti tecnologici avanzati e costantemente aggiornati – sistemi di rilevamento delle intrusioni, crittografia, autenticazione multifattoriale e software di monitoraggio in tempo reale – ma c’è anche bisogno di formazione costante rivolta al personale sanitario. Una delle sfide è far crescere una sempre maggiore “cybercultura” tramite corsi di aggiornamento e di formazione che appaiano stimolanti per gli operatori e che non vengano percepiti quali gravose lungaggini. In particolare, la formazione dovrebbe essere rivolta in modo specifico e ritagliata sulle criticità che ciascuna figura professionale (medico, infermiere, personale amministrativo, fornitori) si trova ad affrontare. Un’altra possibile soluzione potrebbe essere affiancare figure terze (quali risk managers, specialisti in data protection ed esperti di sicurezza informatica) ai professionisti clinici: c’è però da tenere conto del fatto che la classe professionale che potrebbe svolgere questi compiti fortemente multidisciplinari si stia formando solo di recente.
Tentando di pronosticare l’evolversi della sanità si può, a ben vedere, immaginare uno scenario futuro sempre più ibrido: alcune prestazioni sanitarie permarranno erogate on site, ossia in presenza del paziente (negli ospedali, nelle strutture diagnostiche), altre rimarranno ibride, ossia in parte in presenza e in parte virtuali (si pensi al tele-monitoraggio ed alla tele-refertazione), altre ancora diventeranno esclusivamente virtuali (quali una tele-visita). Il perimetro, dunque, da mettere in sicurezza tenderà ad allargarsi, passando da una sanità “ospedalocentrica”, a un coinvolgimento domiciliare del cittadino, con un conseguente numero maggiore di dati in circolo e sempre più persone coinvolte nel, già complesso, organigramma sanitario.
