Difendere l’anima tecnologica della sanità

Al Policlinico Gemelli di Roma la qualità delle prestazioni erogate è supportata da un complesso sistema tecnologico, che garantisce la fornitura dei servizi e monitora i percorsi di cura. Con 5700 dipendenti e 100mila pazienti ricoverati all’anno, gli aspetti su cui si opera con maggiore attenzione in ottica cyber risk sono la continuità operativa e la protezione dei dati degli utenti

Nel settore sanitario, oggi, qualsiasi prestazione fornita al pubblico integra aspetti di information tecnology. La protezione dei dati sensibili dei pazienti è solo la più evidente delle voci, ma in realtà ogni servizio erogato è inserito all’interno di un processo che ha una spina dorsale informatica. Giovanni Arcuri, direttore della direzione tecnica Ict e innovazione tecnologica del Policlinico Gemelli di Roma, ingegnere biomedico di formazione, sottolinea come l’evoluzione tecnologica e scientifica degli ultimi due decenni abbia trasformato gli ospedali in ambienti tra i più informatizzati che esistano: “questo impone alla direzione Ict di lavorare in stretta relazione con il personale medico per la gestione dei processi e rende consigliabile che chi si occupa di tecnologia e gestione del rischio abbia competenze di ambito sanitario”. Anche la cyber security, pur avendo caratteristiche verticali, diventa quindi una disciplina trasversale e richiede una visione onnicomprensiva. Qualche dato chiarisce la complessa realtà del policlinico romano, che è il più grande ospedale oncologico d’Italia: 5700 dipendenti, 1611 posti letto a supporto di circa 53mila pazienti oncologici e 96mila ricoveri ogni anno, per un totale di 10 milioni di prestazioni ambulatoriali complessivamente erogate e oltre 81mila interventi chirurgici, mentre sono 68mila gli accessi annui al pronto soccorso. Le tre aree della direzione che si occupa degli aspetti tecnologici (Ict, Tecnica e innovazione, Tecnologie sanitarie) sommano nel complesso 160 persone e operano secondo un innovativo concetto di interazione. Il Policlinico Gemelli è una fondazione no profit, quindi un ente giuridico di diritto privato, con una struttura di governo differente rispetto alle strutture sanitarie pubbliche; in particolare la governance prevede sei direzioni, tra cui quella tecnologica, che riportano direttamente al direttore generale, “la nostra direzione – spiega Arcuri – ha responsabilità per il 92% del budget investimenti del Gemelli, questo è un fattore fondamentale che ci consente di avanzare questioni rilevanti e dimostra la sensibilità della Fondazione all’importanza della nostra area”.

Collaborazione e innovazione garantiscono la sicurezza

Limitandosi alla specifica mission della struttura (l’apparato a servizio degli aspetti amministrativi è altrettanto complesso), per garantire la continuità operativa e la correttezza delle prestazioni è fondamentale che le diverse funzioni interessate nella gestione del rischio clinico interagiscano tra loro, “una connessione fondamentale per garantire la corretta erogazione dei servizi a tutela della salute e finanche della vita del paziente”, aggiunge Arcuri. Un esempio chiarisce la pervasività della tecnologia nell’erogazione dei servizi del Gemelli: le sacche infusionali per la cura dei pazienti oncologici sono preparate da sistemi robotizzati secondo lo specifico percorso di cura del singolo paziente, un sistema tecnologico controlla poi la corretta associazione tra la sacca e il codice del paziente inserito in un braccialetto. Da un lato, il rischio sanitario è quindi strettamente collegato al rischio tecnologico, dall’altro la tutela della sicurezza dei processi di cura e la protezione dei dati dei pazienti devono essere salvaguardati da guasti e da minacce cyber. “I reparti sono inseriti in un reticolo complesso di sistemi informativi e ognuno di essi ha uno specifico incident response plan (Irp) per la parte sanitaria”, illustra Arcuri. “Abbiamo poi in atto processi tecnici e organizzativi per ridurre le problematiche, ad esempio ridondanze del sistema che permettono di mantenere la continuità operativa anche in presenza di guasti, e il personale è preparato per affrontare queste eventualità”.

Un team per la cyber security

Oltre all’aspetto della garanzia della continuità operativa, l’altro rischio peculiare è legato alla sensibilità del dato sanitario, che rende le strutture ospedaliere obiettivi particolarmente esposti agli attacchi cyber. “Per far fronte a questa eventualità è necessario disporre di capacità di investimento e di un’attenta organizzazione”, puntualizza Arcuri. Nel caso del Gemelli, è stato costituito un gruppo di persone dedicate alla cybersecurity e sono stati implementati accorgimenti tecnici per aumentare la sicurezza dei sistemi informativi rispetto agli accessi da parte di stakeholder esterni: “possiamo governare la rete informativa compartimentandola per limitare il traffico, così come un altro espediente è l’accesso esterno tramite login obbligatorio e codici personali monouso (Mfa), monitorato per individuare possibili anomalie”, conclude Arcuri. Fondamentale è poi lavorare sul fattore umano, con formazione continua, esercitazioni e affiancamento di cyber angel nei reparti per ridurre i comportamenti a rischio; dall’altro lato è sempre più avanzata l’implementazione di sistemi di difesa basati sull’intelligenza artificiale.