Dati medici in un contesto cibernetico

Information Security in Healthcare è cresciuta fino a diventare una conferenza importante. Supera il divario tra i processi di sicurezza e la gestione efficiente dei dati nell'assistenza sanitaria. Riunisce fornitori e utenti IT, manager di ospedali e ambulatori, decisori e addetti ai lavori, e crea una base per nuove soluzioni con presentazioni pertinenti e sessioni specialistiche.

A questo proposito, il 22 giugno 2017 anche Martin Pfister, capo del Dipartimento della salute del Cantone di Zugo, si è rivolto ai 245 partecipanti interessati alla conferenza: "I lavori domestici spesso si notano solo quando non vengono fatti", allo stesso modo l'informatica ospedaliera e aziendale non deve essere lasciata a prendere polvere per non essere sorpresa da virus come "WannaCry".

Sotto "WannaCry", il più grande cyberattacco fino ad oggi, gli specialisti non erano più in grado di accedere ai file dei pazienti perché l'IT doveva prima effettuare rigorosi controlli sui virus. Le operazioni e gli esami hanno dovuto essere rinviati persino presso il fornitore di servizi sanitari britannico NHS. Secondo gli addetti ai lavori, non è una coincidenza che le strutture sanitarie, tra tutti i luoghi, siano state colpite duramente dall'attacco "WannaCry".

Non solo gli hacker si infiltrano nelle grandi aziende, ma gruppi organizzati a livello internazionale si impegnano anche nel mercato nero dei record di dati medici. "Non si tratta necessariamente di furto d'identità estorsivo, i dati medici portano un sacco di soldi sul mercato - le nuove tecnologie come le transazioni anonime di Bitcoin fanno il resto", commenta Peter Fischer, presidente della conferenza e professore all'Università di Scienze Applicate e Arti di Lucerna, punti critici che riguardano anche il sistema sanitario svizzero.

Hacker e situazioni eccezionali
Gli hacker approfittano di situazioni eccezionali, attaccano i sistemi ospedalieri, scremano i dati sensibili tramite email di phishing e la profilazione dei pazienti, per esempio. In casi estremi, manipolano persino i dispositivi medici (per esempio tramite un software di calibrazione). Per esempio, due insider del Chaos Computer Club di Zurigo hanno parlato alla conferenza di un giorno a Rotkreuz delle scappatoie e dello spyware nei dispositivi medici. Hanno riferito di una programmazione errata di dispositivi vitali (ad esempio un defibrillatore wireless) tramite un iPhone.

Al momento, questi sono ancora casi isolati. Pompe a siringa, attrezzature per l'anestesia e, non da ultimo, compresse private sono online 24 ore su 24 nelle strutture sanitarie. Per accedere ai metadati medici, i criminali informatici preferiscono concentrarsi sui dispositivi indipendenti dalla posizione. Claudio Luck del Chaos Computer Club: "I dati online raccolti tramite dispositivi di misurazione sono più facili da commercializzare per le analisi rispetto alle lettere scritte a mano".

Più rischi che opportunità
Lucas Schult, uno specialista della difesa dai virus presso Health Info Net AG (HIN): "Il 53% degli attacchi proviene dalla regione EMEA. Altrettanto sorprendente è che un attacco ai sistemi ospedalieri è ora tentato ogni 40 secondi". Il settore sanitario in generale è "nei guai", poiché sempre più trojan e spyware vengono utilizzati nelle app sanitarie.

"La minaccia deve essere presa seriamente", ha chiarito Adrian Schmid, eHealth Suisse nel suo discorso chiave "Mobile Health - un'opportunità con nuovi rischi" in una delle prime presentazioni.

Certificazioni di app?
Schmid, responsabile di eHealth Suisse, ha sottolineato: "In Svizzera vengono utilizzate ben 3 milioni di app per la salute. Tuttavia, queste app non soddisfano la definizione di dispositivi medici". Secondo le sue stime, al massimo il 3% di questi programmi soddisfa le condizioni del Federal Therapeutic Products Act, che definisce i dispositivi medici di per sé. Gli esperti sono d'accordo: le app possono supportare medici e terapisti nella prevenzione, nella diagnosi e nella terapia. Tuttavia, dovrebbero essere soggetti a regolamenti qualitativi e a certificazioni internazionali. I pazienti possono attualmente contare solo sulle raccomandazioni degli specialisti, come la registrazione elettronica del loro stato di vaccinazione e la scansione dei dati personali.

Purtroppo, il tema della "mHealth" (vedi infobox), la gestione mobile dei dati sanitari, è ancora troppo orientata ai fornitori e ai consumatori. Finora in Svizzera è mancato un approccio coordinato. Schmid e altri esperti sono a favore del supporto mobile, a condizione che vengano raccolte misure concrete e che tali valori Big Data vengano archiviati in modo sicuro. Schmid: "In ogni caso, la fonte di informazione dovrebbe essere usata senza pubblicità e politicamente indipendente".

L'evento del giorno non avrebbe potuto essere più attuale e rilevante. Già prima di mezzogiorno, c'erano presentazioni parallele nelle aree "Comunità", "Health-Tech", "Governance" e "Tecnologia". Per esempio, i praticanti hanno prestato piena attenzione nel flusso "Comunità".

"Il responsabile della protezione dei dati ha detto ...", la protezione dei dati non deve sempre ostacolare il progresso nella pratica, ha dichiarato Urs Müller, MD, Head Medical Competence Center, Post AG. Il dottore ha dimostrato soluzioni innovative. Anche Christian Greuter, amministratore delegato di Health Info Net AG (HIN), ha gestito l'equilibrio tra sicurezza e usabilità usando l'esempio di eMediplan: "Gli studi sulla sicurezza dei pazienti mostrano che circa il 5 per cento dei ricoveri ospedalieri sono dovuti a eventi farmacologici avversi. L'eMediplan non solo aiuta ad evitare gli errori di medicazione, ma avvisa in tempo reale".

Dimensioni minacciose
Il discorso chiave su "Aspetti etici dei Big Data in medicina" del Prof. Dr. Bernice Elger, capo dell'Istituto per l'etica medica e biologica dell'Università di Basilea (IBMB), è stato estremamente interessante. L'etico ha parlato non solo delle mutate condizioni quadro portate dalla digitalizzazione, ma anche dei problemi analitici legati alla comprensione della "tremenda velocità" delle serie di dati. In generale, ha detto che la nostra società, anche la cura dei pazienti palliativi, sta diventando non solo più intelligente ma anche più trasparente come risultato della digitalizzazione.

La crescente pressione sui costi nel settore medico sta costringendo i fornitori di servizi a elaborare sempre più dati in modo sempre più veloce. Durante il penultimo keynote sullo "Stato attuale della sicurezza informatica" di Daniel Rudin, Centrale d'annuncio e d'analisi per la sicurezza dell'informazione MELANI, si sarebbe voluto sentire di più sull'impatto del virus "WannaCry" sulla Svizzera. Rudin-O-Ton: "Non esiste un approccio olistico per potersi proteggere dalle minacce informatiche".

La Svizzera ha raggiunto una nuova dimensione da quando Internet collega non solo i computer ma anche i dispositivi medici e gli elettrodomestici. - Tuttavia, che ci si trovi negli Stati Uniti o in Svizzera, il malware non conosce confini. Il Prof. Dr. René Hüsler, direttore dell'Università di Scienze Applicate e Arti di Lucerna, ha concluso la giornata intorno alle 17.00 con un riassunto della conferenza.