Molte ASL italiane sono a rischio e moltissimi i dati di cittadini, pazienti e degenti italiani che potrebbero finire nelle mani sbagliate. Lo afferma una rilevazione dell’ Osservatorio nazionale per la Sicurezza informatica , una struttura privata che ha scandagliato l’infrastruttura tecnologica di 50 ASL italiane.
Dalla rilevazione emerge che il 60 per cento delle aziende ospedaliere potrebbe avere gravi problemi di sicurezza informatica . Un problema tanto più grave se si considera il ricorso massiccio al digitale nelle ASL per l’archiviazione dei dati, comprensivi di referti, cartelle cliniche e quant’altro: il recupero di efficienza consentito dalle tecnologie dell’informazione rischia di tradursi in un pericolo pubblico perché non gestito con la sufficiente attenzione.
Sulle 50 ASL sondate dall’Osservatorio, è emerso che tutte usano Internet, che l’82 per cento dichiara di essere a norma con la legge sulla privacy sia dal punto di vista formale che tecnico, che il 60 per cento ammette di non avere strumenti adeguati per la protezione dei dati sensibili. In più, l’85 per cento delle ASL non ha i fondi sufficienti per gestire e amministrare l’infrastruttura informatica .
“Dalla nostra analisi – fanno sapere a Punto Informatico gli esperti dell’Osservatorio – molte aziende ospedaliere puntano solo a conformarsi a quanto previsto dalla legge, quando in realtà servirebbe un livello di infrastruttura security molto più alto vista la delicatezza dei dati trattati”. Basti pensare che se è vero che l’80 per cento dele ASL interpellate dispone di un piano di disaster recovery per il recupero dei dati in caso di incidente, soltanto il 45 per cento ha collaudato il sistema .
Non solo. “Il 90 per cento delle ASL – viene riferito – è completamente all’oscuro della tecnica di attacco denominata Social Engineering a causa della mancata formazione del personale sull’argomento”. Come noto, il Social Engineering può assumere molte diverse forme ma perlopiù consente all’attaccante di entrare in possesso di dati conservati gelosamente ingannando i suoi interlocutori, ottenendo astutamente da costoro password e informazioni necessarie a garantirgli l’accesso.
A sottolineare ulteriormente la situazione il fatto che se è vero che tutti i sistemi informatici delle ASL consultate dispongono di antivirus e firewall, sono ben poche quelle che si dotano di antivirus multi strato mentre solo una parte, l’80 per cento, effettua dei penetration test . “In questo ambito – dichiarano a PI i responsabili dell’Osservatorio – il test viene effettuato una sola volta all’anno e solo nella rete Internet, mentre sarebbe necessario che questi test fossero almeno 12 in un anno per la rete Internet e almeno 6 per la rete interna”.