Può sembrare un paradosso, ma le misure adottate per tutelare la salute dei cittadini durante la pandemia potrebbero mettere a rischio la sicurezza dei loro dati.
Siamo nei primi anni ’70 e tra le mura del Regenstreif Institute di Indianapolis viene sviluppato il primo Electronic Medical Record (EMR), un software pensato per registrare elettronicamente e in modo standardizzato le informazioni sui pazienti. Alla base del progetto vi era l’obiettivo di permettere una consultazione dei dati sanitari in modo più agevole rispetto al classico archivio cartaceo.
La più facile riproducibilità dei dati minimizzava i rischi legati alla perdita dei fascicoli cartacei, la condivisione dei dati sanitari di un paziente tra reparti e strutture diverse avrebbe reso l’intero sistema più efficiente, i dati archiviati con standard condivisi avrebbero permesso la loro interrogazione per fini statistici.
Queste erano solo alcune delle potenzialità derivanti da un’archiviazione digitale interoperabile. Cosa poteva andare storto? Facciamo un passo indietro.
Ciò che stava succedendo all’interno del Regenstreif Institute di Indianapolis rientrava nel globale processo di digitalizzazione che riguardò – e riguarda tutt’ora – ogni aspetto della vita vissuta sulla terra. Quindi, le informazioni si sono smaterializzate e svincolate da un singolo supporto fisico, diventando raggiungibili anche da remoto. Per quanto questo cambiamento abbia reso più efficienti processi in ogni ambito e dato vita a nuovi modelli di business, il rovescio della medaglia vede i dati sensibilmente più esposti al rischio di furto.
Non stiamo parlando solo di informazioni sanitarie, ma anche di credenziali di accesso, coordinate bancarie e dati anagrafici. Suona familiare? Purtroppo, sì.
La sicurezza dei dati nella Sanità digitale
Con la pandemia, il tempo passato dalle persone connesse a Internet è aumentato sensibilmente e molte attività che fino a poco prima venivano svolte in presenza, o comunque senza il supporto di una connessione internet, sono migrate su ambienti online.
Se è vero che l’occasione fa l’uomo ladro, è difficile rimanere stupiti davanti ai dati del Rapporto Clusit sulla Sicurezza Informatica 2021, che presenta un aumento del 12% degli attacchi informatici a livello globale nel 2020 rispetto all’anno precedente. Inoltre, nel rapporto si citano i numeri di McAfee, che stima un totale di 945 miliardi di dollari di danni globali dovuti al cybercrime. In questo quadro già sufficientemente tragico, la Sanità è stata bersaglio del 12% degli attacchi. Quindi, se da un lato doveva combattere con una pandemia spietata, il comparto sanitario mondiale ha dovuto far fronte a una seconda minaccia: il cyber crimine.
Abbiamo appurato che i nostri dati sanitari sono a rischio. Ma cosa li rende così appetibili?
In tre parole: il loro valore.
La poca obsolescenza dei dati sanitari è ciò che li rende particolarmente redditizi. Se la vittima di un data breach si accorge che qualcuno è entrato in possesso della sua carta di credito, questa può immediatamente provvedere a bloccarla, limitando i danni. Nel caso di informazioni mediche, invece, il soggetto che vede violata la propria privacy non avrà modo di rendersi immune alla diffusione e allo sfruttamento dei propri dati.
Capita spesso che, una volta raccolti, i dati sanitari siano uniti ad altre informazioni sullo stesso soggetto reperibili sul dark web per creare dei pacchetti di informazioni per ogni individuo (informazioni anagrafiche, fiscali, password, ecc.). Più questi pacchetti sono completi, più il loro valore può crescere fino a superare il migliaio di dollari. Una volta assemblati e venduti, i pacchetti possono essere utilizzati per ottenere ricette o addirittura ricevere cure spacciandosi per qualcun altro, oppure sfruttare la privatezza delle informazioni sanitarie di un individuo per ricorrere a ricatti ed estorsioni.
Un altro esempio di utilizzo riguarda il social engineering: una pratica che consiste nel fingersi un’organizzazione o un soggetto per ottenere informazioni riservate direttamente dalla vittima. Inoltre, esperti ritengono che gli identity kits siano utilizzati per supportare pratiche di immigrazione illegale.
I cyber attacchi purtroppo riguardano anche i sistemi informatici degli ospedali, i quali possono essere letteralmente sequestrati da organizzazioni criminali per lucrare sul loro riscatto.
Proteggere la salute in uno stato di emergenza
Abbiamo parlato fin qui di sicurezza dei dati sulla salute. Passiamo ora alla sicurezza della salute.
La pericolosità del virus ha dato vita a scenari inattesi e inimmaginabili: una serie di limitazioni per proteggere la salute di ogni cittadino ed evitare il collasso del sistema sanitario.
Tali misure, inizialmente universali, sono state poi declinate nel tempo in base al profilo sanitario dei singoli individui. Chi si era recentemente sottoposto a un esame medico (vedi tampone) aveva il via libera per mangiare in un ristorante. Chi si è sottoposto un trattamento sanitario (come l’inoculazione di un vaccino) ha la possibilità di accedere al centro postale. Chi ha contratto un virus e ne è guarito, ha il via libera per l’ingresso in un cinema.
È difficile ricordare un periodo passato nel quale la condizione sanitaria dei cittadini avesse un’influenza tale sulla loro vita quotidiana.
È un dato di fatto: la pandemia ci ha fatto superare un limite, ha fatto sì che la storia sanitaria di un cittadino diventasse un prerequisito per la vita sociale, da intendersi nella sua accezione più ampia di “vita in una società”.
Una nuova pandemia per un nuovo virus è l’ultima cosa che si potrebbe augurare, ma se si verificheranno situazioni analoghe, probabilmente per i governatori sarà più facile adottare provvedimenti di una pervasività simile a quella sdoganata negli ultimi anni.
Gestori di locali, impiegati di uffici pubblici, personale dei mezzi di trasporto pubblico hanno avuto l’obbligo di accedere a queste informazioni, fino a pochi anni fa riservate. Tutto questo per tutelare la salute di tutti. Si è anche fatto appello alla responsabilità dei cittadini per permettere a un’applicazione di tracciarne gli spostamenti per registrare tutte le persone alle quali sono stati vicini.
Da ultimo, i dati sanitari passeranno in mano all’Agenzia delle Entrate, che dovrà emettere delle sanzioni per categorie di cittadini non vaccinati.
Nel meccanismo che si è creato, è necessario che tali “prerequisiti sanitari” siano esibiti, e per farlo serve che questi vengano certificati. Questo significa che i dati dei cittadini sono sottoposti a una circolazione crescente, uscendo dal comparto sanitario, risultando, per definizione, più esposti. Per aumentare la sicurezza della salute delle persone si è sottoposto a un rischio maggiore i loro dati sanitari.
La cyber secuirty ancora più al centro: Spindox dà vita a Oplium Italia
È bene chiarirlo, l’intenzione di questo articolo resta quella di ribadire alcune delle misure adottate per proteggere la salute dei cittadini e di guardarle con senso critico, riflettendo sul paradosso proposto in termini di sicurezza dei dati. Questa riflessione prende ispirazione dall’evento internazionale “Artificial Intelligence & Cybersecurity for human health” organizzato da Italia, Israele ed Eau al Padiglione Italia di Expo 2020 Dubai.
Spindox è una società che da sempre pone la cyber security al centro delle sue policy e, soprattutto, del suo offering. In particolare, a Gennaio 2022, Spindox ha dato vita a Oplium Italia S.r.l., una joint venture nata in collaborazione con Oplium Ltda, società brasiliana specializzata in soluzioni e servizi di cyber security per il business. Le aziende hanno bisogno sempre di maggiore sicurezza e Spindox incontra tali esigenze rafforzando il proprio posizionamento in questo comparto.
In virtù del nostro legame con questo tema riteniamo necessario compiere riflessioni di più ampio respiro. Vogliamo volgere lo sguardo anche verso ciò che non è prettamente tecnico ma che riguarda il contesto politico, sociale e tecnologico nel quale operiamo.