ORAS fornisce più di 250.000 prestazioni all’anno. Migliaia di persone affidano al nostro Ospedale non solo la propria salute ma anche i propri dati personali: ecco come li proteggiamo, grazie a tecnologia, formazione e vigilanza costante.
Avrete spesso sentito parlare di Data breach, ovvero di falle intenzionali o meno nei sistemi di sicurezza informatici delle aziende e degli enti, che spalancano la porta ad ogni genere di pirati e criminali digitali all’attacco dei dati personali di utenti e cittadini.
Questi malviventi che agiscono nell’ombra con azioni rapide e subitanee hanno da qualche anno cominciato a concentrarsi proprio sulle aziende sanitarie di tutto il mondo, includendo strutture ed enti anche in Italia.
D’altra parte, se vi chiedete perché, dovete sapere che al mercato nero del dark web, ovvero quell’area non controllata di internet in cui fiorisce ogni sorta di traffico illecito, una cartella sanitaria sottratta ad un Ospedale può valere fino a 2.000 dollari.
In Italia gli attacchi si sono moltiplicati negli ultimi anni, mettendo a rischio non solamente enti pubblici, ma anche aziende private, che si sono visti costretti a potenziare (ahimè, troppo tardi) i loro sforzi in questo ambito.
ORAS, da ormai molti anni, ha implementato un sistema di procedure e sistemi di formazione proprio per evitare che casi come questo interessino anche il nostro Ospedale, in modo che i pazienti e gli utenti possano sentirsi sicuri e affidati a mani capaci non solo di cure, ma anche di un riguardo e di un impegno concreti in ambito della tutela e della protezione dei dati sensibili.
Ne abbiamo parlato con la dott.ssa Mariella Stella, responsabile della protezione dei dati personali nella nostra struttura, che da anni vigila proprio su questi contenuti, aggiornando e implementando procedure e protocolli, e lavorando per rendere l’Ospedale Riabilitativo di Motta di Livenza sicuro anche dal punto di vista digitale.
Dott.ssa Stella, cosa si intende per “violazione dei dati personali”?
“Con il termine “Data Breach” intendiamo tutti quegli eventi che comportano la distruzione, la perdita, la modifica o la divulgazione di dati personali. Qualunque sia la causa della “breccia” (Breach in inglese, ndr.) – involontaria, per errore umano o intenzionale, malevola – questi eventi, che a molti possono sembrare poco più che seccature, hanno invece un grande impatto sulle persone, sui loro diritti e sulle loro libertà.”
In che modo i dati personali possono avere effetti sulla vita di tutti i giorni?
“Bisogna capire che dietro ad ogni dato c’è una persona. Per esempio, se qualcuno si appropriasse dei dati personali di un paziente, si potrebbe configurare un furto di identità, perseguito penalmente. Ma i danni potrebbero essere anche fisici: pensiamo a che cosa succederebbe se, in seguito ad una violazione, il sistema informatico di un ospedale andasse in blocco. Sarebbe impossibile accedere, ad esempio, ai dati dei pazienti, bloccando di fatto le attività sanitarie, e se un paziente dovesse presentare un’urgenza non potrebbe far altro che attendere. Tutta l’operatività di un ospedale potrebbe subire un arresto, con un danno ingente per i pazienti. Ma non si tratta solo di ospedali: se anche un ente o una grande organizzazione subisse un blocco in seguito ad un attacco, i dati dei cittadini sarebbero per un po’ di tempo inutilizzabili, impedendo agli utenti di accedere al proprio diritto di svolgere moltissime attività che ormai richiedono di essere eseguite online.”
Come avvengono queste violazioni?
“Normalmente si associa questo tipo di eventi esclusivamente ad attacchi esterni ad opera di cyber criminali . In realtà, la maggior parte dei casi di Data Breach è causata da errori umani: lasciare il computer acceso senza eseguire un logout, usare password deboli, scambiare account con colleghi, disattenzioni e scarsa formazione aiutano molto il lavoro dei cyber criminali, ai quali basta semplicemente gettare l’amo, in attesa che qualcuno abbocchi. Ecco perché la prima e principale misura da adottare è lavorare sulle risorse interne. Certo, le cause possono essere anche malevole: il blocco di un sistema indotto dall’esterno, o un attacco più coordinato, ma questi casi sono ancora minori rispetto al danno “accidentale”. Il rischio può essere ridotto e prevenuto, certo, ma l’attenzione a questi temi deve rimanere alta.”
In che modo si possono evitare questi incidenti e questi attacchi?
“Il primo obiettivo da raggiungere è maturare la consapevolezza nel personale: bisogna che il capitale umano aziendale comprenda l’importanza, la delicatezza e il rischio del trattamento dei dati personali e conseguentemente agisca per tutelarli. Come dicevo prima ci sono due tipi di cause principali dei Data Breach: accidentali naturali e malevoli. Ma le due cause non sono mai separate, in quanto un accesso malevolo può essere causato da un danno accidentale. Per questo non esistono protocolli certi di sicurezza, essendo l’errore umano per definizione incontrollabile: perciò è con un approccio culturale che i rischi possono essere ridotti, e cioè informando e formando con costanza il personale delle aziende e degli enti.”
Quali misure ha preso ORAS per proteggere i dati dei propri utenti?
“In ORAS il trattamento dei dati è soggetto a delle procedure di protezione by design e by default: in pratica, la sicurezza dei dati è un elemento che viene automaticamente inserito fin dall’elaborazione di un nuovo progetto o un nuovo processo, e questo aiuta molto l’aspetto preventivo. Sul lato operativo, invece, c’è la formazione. I nostri operatori, tutto il nostro personale viene costantemente formato ed aggiornato, reso consapevole dei rischi e delle responsabilità, e vengono implementate procedure e policy atte proprio a ridurre il rischio dell’errore umano. Il nostro personale è la nostra prima e più importante linea di difesa. Anche per questo stiamo inaugurando un progetto che renderà ancora più capillare la formazione, tramite la costituzione di un gruppo operativo affiancato da una rete di referenti in grado di aggiornare trasversalmente ogni settore di ORAS, ancora più specificatamente rispetto all’area di competenza. Il rischio, in questo ambito, si riduce con la conoscenza e la consapevolezza, ed in questo stiamo facendo molti passi avanti. Il sistema organizzativo è fondamentale, soprattutto in una struttura complessa come ORAS: qui, in quasi tutti gli ambienti di lavoro, bisogna usare la tecnologia, la rete, strumenti digitali, e questa complessità comporta la necessità di avere una gestione efficiente per garantire la sicurezza dell’intero sistema. Al centro c’è sempre l’utente: ogni nostro sforzo è guidato dalla volontà di proteggere e tutelare i nostri pazienti, a partire dalla compilazione di documenti fino ad arrivare alle loro interazioni digitali. Il trattamento e la tutela dei dati è un elemento di cui teniamo conto in ogni fase del nostro lavoro: dall’acquisto di apparecchiature, all’archiviazione di documenti prodotti, ai sistemi di controllo e di verifica periodica dei nostri sistemi di sicurezza informatica.”
PER APPROFONDIRE:
Trattamento dei dati (pagina del sito web di ORAS): https://www.ospedalemotta.it/it/protezione-dei-dati/
