Sanità e legislazione, verso una cultura della sicurezza

Pubblicato il da sira

Sanità e legislazione, verso una cultura della sicurezza

Ing.Angelo Liguori – SIRA S.r.l.

Le aziende sanitarie stanno acquisendo una crescente consapevolezza di quanto sia divenuto necessario, in una società sempre più informatizzata, individuare un approccio nuovo verso l’esercizio dell’attività medico-infermieristica, la fruibilità e la condivisione delle informazioni, e verso la gestione del rapporto con il paziente. Tutto ciò al fine di conseguire obiettivi strategici in materia di gestione, organizzazione e valutazione della qualità dei servizi offerti.

Il trend è favorito prevalentemente da due fattori:

– l’introduzione di normative dirette a semplificare procedure spesso lunghe ed aumentare la trasparenza nel rapporto sanità-cittadino da un lato;

-la presenza di soluzioni tecnologiche sempre più avanzate, sicure e pervasive dall’altro.

E’ entrato in vigore il decreto legislativo nr. 82/2005 –Codice dell’amministrazione digitale–, nel quale si considerano tematiche importanti quali il concetto di documento informatico, definito “la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti” e “il diritto di ogni cittadino a richiedere ed ottenere l’uso delle tecnologie telematiche nelle comunicazioni con le pubbliche amministrazioni centrali e con i gestori di pubblici servizi statali” attraverso, ad esempio, l’utilizzo della posta elettronica certificata (PEC) e della firma digitale.

D’altronde, l’innovazione tecnica, la diffusione di una tecnologia sempre più user-friendly e innovativa, insieme ad una cultura informatica del tipo plug-and-play (in cui i dispositivi riconoscono automaticamente il framework di lavoro e si configurano automaticamente e dinamicamente), hanno permesso la nascita di servizi innovativi e la realizzazione di molte attività sempre più economica, semplice e veloce.

L’utilizzo della cartella clinica digitale in ambito wireless è un esempio di nuova applicazione che abbraccia entrambi i fattori.

La cartella clinica è, infatti, uno strumento fondamentale per offrire un servizio completo per il paziente, che ha cosi modo di conoscere tutti gli aspetti legati al suo ricovero e patologia, e per l’azienda ospedaliera, che può cosi archiviare i dati relativi a tutti i ricoveri e desumerli, all’occorrenza, per fini statistici o gestionali oltre che condividerli, per esempio via Internet, con gli altri operatori coinvolti nel processo di diagnosi e cura. La cartella clinica può essere creata e trasformata in documento informatico, nel rispetto di quanto contenuto nel predetto decreto legislativo.

In tale contesto, si inseriscono le tecnologie di interconnessione wireless che da qualche anno stanno rivoluzionando il mercato delle telecomunicazioni e iniziano a penetrare anche nuovi settori quali ASL, ospedali e Case di cura.
L’ambito è particolare e l’interconnessione wireless, una volta attivata, permette di aggiornare e consultare i dati relativi ad ogni paziente in tempo reale, oltreché avere disponibili su una stazione mobile tutti quei dati che oggi, invece, sono accessibili soltanto attraverso postazioni informatiche di lavoro fisse ubicate presso i laboratori, gli ambulatori, o gli uffici amministrativi e collegate alla rete cablata LAN della struttura interessata.
Tutto ciò nel rispetto dei valori di legge relativamente a compatibilità ed interferenza elettromagnetica, come presentano diversi studi condotti dall’Istituto superiore di sanità[1].

Il pensiero dei benefici che tali tecnologie permettono di ottenere è immediato.
Tuttavia il problema principale e molto sottovalutato nel contesto attuale è relativo alla sicurezza delle informazioni.
Spesso infatti la semplicità di uso fornita dalla tecnologia, congiuntamente alla richiesta di servizi “aperti” al cittadino, pone seri problemi di sicurezza, non a caso regolamentati dal decreto legislativo 30 giugno 2003 nr. 196 “Codice in materia di protezione dei dati personali”.
Esso prevede, peraltro, pene severe: ad esempio all’art. 169 (misure di sicurezza) si afferma: “Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33[2] è punito con l’arresto sino a due anni o con l’ammenda da diecimila euro a cinquantamila euro”.

L’unione “trasparenza PA – tecnologia” ovviamente non può prescindere dall’introduzione di meccanismi di sicurezza opportuni. Ad una prima indispensabile attività di redazione, diffusione e conservazione di documenti normativi (Policy di sicurezza), tecnici e di indirizzo necessari per un corretto utilizzo del sistema informatico da parte degli utenti, deve seguire l’introduzione di misure tecniche per contrastare le minacce potenziali.

Diviene essenziale inoltre operare un processo di valutazione del rischio (Risk Assessment), volto ad acquisire consapevolezza e visibilità sul livello di esposizione al rischio del proprio patrimonio informativo ed avere una mappa preliminare dell’insieme delle possibili contromisure di sicurezza da realizzare. Infatti, la cieca applicazione di tali contromisure, senza prima aver compreso i rischi a cui può essere soggetto il sistema sotto esame è quasi sempre poco produttiva, sia dal punto di vista economico sia da quello tecnico.

In generale, si può affermare che il mondo ospedaliero non presenta ancora una effettiva sensibilità verso la cultura della sicurezza informatica.
Si è costretti, perciò, ad assistere a situazioni in cui l’utilità di un semplice mezzo informatico, quale una base di dati contenente informazioni sensibili sui pazienti, viene messa a rischio da un accesso incontrollato all’area in cui è installato il sistema informatico stesso, o ancora dall’assenza di meccanismi di autenticazione quali username/password o la definizione di profili utente, senza parlare poi di connessioni internet non autorizzate o della mancanza di sistemi antivirus.
Per ora non possiamo che segnalare la latitanza della Pubblica Amministrazione nei confronti della legge sulla privacy, come sottolineato nel convegno CNR- CNIPA “La sicurezza ICT nella Pubblica Amministrazione: strategie ed azioni” del 17 gennaio 2006: “A tre anni dalla direttiva del gennaio 2002, solo il 43% delle Amministrazioni centrali dichiara di avere nominato un responsabile della sicurezza ICT; solo il 37% di avere definito formalmente una policy della sicurezza; solo il 53% di avere avviato un piano di formazione e sensibilizzazione; solo il 22% dichiara di disporre di un gruppo interno di gestione degli incidenti. E che vi siano ancora posizioni di retroguardia sulla materia ‘sicurezza ICT’ lo dimostrano i continui rinvii delle misure ‘minime’ di sicurezza per le pubbliche amministrazioni, previste dal ‘Codice in materia di protezione dei dati personali”.

Tale situazione, se non verrà contrastata efficacemente attraverso l’attuazione di controlli da parte delle autorità preposte, attraverso la definizione di percorsi di sensibilizzazione e formazione tecnica del personale e da un utilizzo sistematico delle certificazioni, rischia di rappresentare la “zavorra” che rallenterà per lungo tempo la realizzazione pratica degli obiettivi che si propongono sanità e legislatore, e che la mera emissione di decreti non può ottenere.

http://www.telemeditalia.it/it/edizioni/edizioni/detail/0/185/1047/sanita-e-legislazione-verso-una-cultura-della-sicu.html?edition=20066

[1]“Caratterizzazione delle comunicazioni wireless in ambito clinico” (Diego Salamon, Mauro Grigioni, Guglielmo D’Inzeo, Micaela Liberti)
[2] Adozione delle misure minime volte ad assicurare un livello minimo di protezione dei dati personali.