Associati
Studio sanitario di piccole dimensioni: la sicurezza a prova di budget in cinque passaggi
A cura di Riccardo Ferraretto
L’Italia è un paese noto per la forte presenza di PMI, caratteristica che si riflette anche nel settore sanitario. Basti pensare che nel 2024 risultano registrate oltre 50 mila strutture sanitarie, contando grandi ospedali, poliambulatori, studi associati e studi mono professionali (fonte annuario statistico – infodent – U.A.P.). Di queste una significativa percentuale è assimilabile a strutture di piccole dimensioni, ovvero con un ridotto numero di addetti tra medici e assistenti. Prendiamo ad esempio un poliambulatorio con 8 addetti tra cui 4 medici, 2 assistenti, 1 segreteria e 1 amministrativo (esempi analoghi li potremmo identificare con studi associati, studi dentistici e studi mono professionali).
Per la tipologia di attività, ci si trova a dover gestire una grande mole di dati sensibili, tra cui stato di salute del paziente e referti. Inoltre, c’è da tener conto che spesso la struttura opera regolarmente con l’ausilio di dispositivi di diagnostica, tra cui ECG, Holter, Radiologici, Ecografi, Elettromiografi, Diagnostica per Immagini ed elettromedicali in generale, producendo esami clinici che, in base alla specifica tipologia e ambito, per legge vanno conservati per almeno 10 anni (articolo 4 del decreto ministeriale del 14 febbraio 1997).
In questo contesto le esigenze di sicurezza informatica, vista appunto la sensibilità dei dati trattati e gli obblighi di legge, sono assimilabili a quelle di una grande struttura. Tuttavia, proprio per le dimensioni contenute della struttura stessa, ci si trova a dover fare i conti con un budget risicato e con una scarsa consapevolezza da parte dei titolari ed incaricati delle singole strutture. Tornando al nostro esempio del piccolo poliambulatorio, spesso si trova un sistema informatico non strutturato, composto di pochi elaboratori, e gestito da figure tecniche diverse, per via dell’integrazione con i dispositivi di diagnostica presenti. In generale, manca un referente unico per la struttura e la manutenzione dei sistemi viene affidata a personale interno non abbastanza competente, o ancora peggio a personale esterno ogni volta diverso. Questo scenario crea un terreno fertile per i cyber criminali che, approfittando della situazione, hanno possibilità di colpire facilmente creando non pochi disagi alla struttura e ai suoi pazienti.
Occorre quindi agire su due fronti: aumentare la consapevolezza in merito alla necessità di dotarsi di misure di sicurezza minime, anche e soprattutto per le piccole strutture, e adottare le misure corrette.
Sul primo punto la tematica è già stata ampiamente trattata dal legislatore e più volte ripresa dalle varie associazioni di categoria, inclusa Assintel. Occorre continuare e persistere su questa strada.
Vogliamo invece concentrarci sul secondo punto, identificando cinque passaggi chiave che permettano di arrivare ad un sufficiente livello di sicurezza, contenendo al massimo il budget. Una dovuta premessa va fatta tenendo in considerazione che il ragionamento è idoneo per strutture con un numero limitato di endpoint, e che possono accettare alcuni compromessi relativamente alle tempistiche di ripristino in caso di guasto o incidente di sicurezza. Ulteriore premessa: vogliamo concentrarci su un approccio prevalentemente tecnico, che possa comunque essere preparatorio per la redazione delle documentazioni previste per legge (ad esempio Privacy e GDPR, NIS2, autorizzazione sanitaria).
Primo passaggio: audit completo e referente
È indispensabile che vi sia un unico referente competente in materia di sicurezza e che preferibilmente conosca seppur a livello generale tutti gli applicativi e i dispositivi utilizzati all’interno della struttura. Identificare un ruolo del genere, interno o esterno che sia, avrà una rilevante incidenza sul budget. D’altro canto, sarà quello che, alla fine, ci permetterà di avere un risparmio in merito alle tecnologie utilizzate, evitando inutili dispendi di energia e andando a sopperire, almeno parzialmente, alla frammentazione delle singole assistenze derivante dai dispositivi elettromedicali presenti. Dovrà quindi redigere una lista completa dei sistemi presenti, inclusi, appunto, i dispositivi elettromedicali. Per ciascun dispositivo andrà presa nota del fornitore e/o dell’assistenza tecnica specialistica di ogni singolo dispositivo. Se il dispositivo prevede il collegamento di un elaboratore dedicato va verificata la presenza di un software di gestione che possa essere integrato. Vanno infine interrogate preventivamente le assistenze dei singoli dispositivi, prendendo nota di eventuali incompatibilità con tecnologie di sicurezza informatica in particolare antivirus, EDR/MDR e zero trust.
Secondo passaggio: infrastruttura identificazione delle basi dati
Sempre con riferimento al nostro piccolo poliambulatorio di esempio, i costi dell’implementazione di una infrastruttura client/server, on premise o cloud che sia, potrebbero essere difficili da sostenere. Tutto ruota intorno ai dispositivi elettromedicali che, oltre al costo di acquisto iniziale, richiedono un elaboratore di appoggio on premise dove risiede la base dati degli esami svolti dal dispositivo. La quasi totalità dei dispositivi elettromedicali in commercio (ad esempio gli ecografi o i radiologici per l’odontoiatria) funziona così a causa di limiti tecnologici o di efficienza, costringendo la struttura a dotarsi di una infrastruttura di rete che possa essere di supporto alle tecnologie di sicurezza necessarie, ad esempio per mettere in piedi un sistema di backup automatico. In questo contesto potrebbe non essere necessario eseguire un backup di tutti gli endpoint, e concentrarsi esclusivamente sul backup delle singole basi dati dei singoli applicativi, o dei singoli elaboratori di appoggio. Questo punto è fondamentale per il contenimento dei costi, tuttavia, la struttura va adeguatamente informata che, in caso di problematiche inerenti alla parte informatica, il piano di disaster recovery da attuare in caso di incidente prevederà tempi più lunghi rispetto ad un piano che preveda l’adozione un backup completo dei singoli sistemi.
Terzo passaggio: software gestionale e controllo accessi
Cruciale è la presenza di un software gestionale che possa essere integrabile con i dispositivi medicali. Alcuni software in commercio prevedono l’integrazione nativa con diversi dispositivi medicali, e possono prevedere un controllo accessi direttamente “a bordo” del gestionale stesso. In questo scenario i singoli elaboratori diventerebbero dei “terminali” che non possono accedere direttamente ai dati dello studio, senza prima fare login, appunto, sul software di gestione. Questo potrebbe essere sfruttato a nostro vantaggio al fine del contenimento dei costi, perché si potrebbe evitare di installare un controllo accessi sul sistema operativo evitando tutti i costi che ne conseguono (es. Active Directory). Questo punto è molto delicato e contestato, ed è attuabile a condizione che non vi siano altri dati accessibili prima del login sul gestionale. Ad esempio, inibendo a livello sistemistico la possibilità di salvare qualsiasi tipo di dato sul singolo elaboratore o la possibilità di accedere direttamente al database del dispositivo medicale.
Quarto passaggio: adozione delle tecnologie di sicurezza
Avendo già risparmiato su backup e controllo accessi, occorre prevedere l’adozione di tecnologie di sicurezza sufficienti a garantire la riservatezza dei dati presenti all’interno della struttura. In questo scenario, antivirus e firewall sono dei requisiti minimi, dai quali non si può prescindere. Va inoltre tenuto conto che le strutture sanitarie sono tra le più attaccate a livello informatico pertanto è preferibile, budget permettendo, l’adozione di un EDR e di un sistema di controllo applicazioni zero trust. Quest’ultimo in particolare permette di ottenere un livello di sicurezza nettamente superiore con un budget relativamente limitato.
Quinto passaggio: assistenza e verifiche periodiche
Il rapporto con il referente indicato al passaggio primo dovrà continuare nel tempo, coordinando le richieste di assistenza tecnica della struttura anche per le assistenze specialistiche dei dispositivi medicali. Vanno incluse verifiche periodiche della funzionalità dei backup con opportuni test di ripristino e monitorati gli aggiornamenti di sistema necessari.
Conclusioni
Da comprovata esperienza questo approccio può consentire alle strutture sanitarie di piccole dimensioni di svolgere il loro lavoro in sicurezza, tutelando i dati dei propri pazienti e soprattutto rendendo resiliente l’operatività della struttura. Il tutto ottimizzando il budget, accettando qualche compromesso. Può essere anche utilizzato in strutture di nuova costituzione, che in una fase iniziale devono, per ovvi motivi, contenere al massimo le spese, per poi andarsi a strutturare via via, nel tempo, al crescere del volume d’affari, senza rinunciare ai requisiti minimi che consentano di avere un sufficiente livello di sicurezza.