cloud computing

Il nuovo studio realizzato dall’Agenzia dell’Ue per la sicurezza informatica mette in luce le sfide della cloud security nella sanità.


La cloud security rappresenta una grande opportunità e, allo stesso tempo, una delle più grandi sfide nel processo di digital trasformation che sta investendo il settore sanitario. La sanità adotta continuamente nuove tecnologie per migliorare l’assistenza ai pazienti, offrire nuovi servizi incentrati sull’assistenza a domicilio e raggiungere l’eccellenza operativa. L’integrazione di nuove tecnologie in un’infrastruttura IT già complessa apre nuove sfide per quanto riguarda la protezione dei dati e la sicurezza informatica. Inoltre, la pandemia Covid-19 in corso è stata un ulteriore catalizzatore per gli attacchi informatici alle organizzazioni sanitarie. Esempi tipici sono gli attacchi di phishing mirati a raccogliere le credenziali degli utenti professionisti sanitari e ransomware contro ospedali e altre organizzazioni sanitarie. Allo stesso tempo questa pandemia sottolinea la necessità di servizi sanitari a distanza, dal momento che il sistema è stato sopraffatto in alcuni paesi e la presenza fisica rappresenta un rischio per la diffusione di la pandemia. In questo contesto, le soluzioni cloud hanno fornito elasticità e accesso rapido per l’implementazione di nuovi servizi tra cui la salute “virtuale” e la telemedicina. Il nuovo studio realizzato dall’Agenzia dell’Ue per la sicurezza informatica (Enisa – European network and information security agency) dal titolo Cloud security for healthcare services illustra le grandi sfide nell’ambito della cloud security e della protezione dati all’interno del settore sanitario, oltre a fornire buone pratiche di sicurezza cloud e a indicare gli aspetti di sicurezza informatica da tenere in considerazione quando si acquistano servizi cloud per il settore sanitario.

cybersecurity - sicurezza informatica

Le sfide della cloud security nella sanità

Lo studio Enisa presentate qui le principali sfide riguardanti la sicurezza del cloud, emerse grazie al contributo di diversi esperti che si sono prestati ad essere intervistati. Anche se l’elenco non è esaustivo, le sfide identificate comprendono tendenze e ostacoli relativi alla sicurezza informatica e alla protezione dei dati nel settore sanitario relativamente ai servizi basati sul cloud.

Mancanza di fiducia nelle soluzioni cloud: nel complesso è diventato evidente che le parti interessate nel settore sanitario (pazienti, medici, personale medico e gestione delle organizzazioni sanitarie) hanno indicato una mancanza di fiducia nelle soluzioni cloud. Ad esempio, la preoccupazione dei pazienti per i loro dati medici archiviati presso le strutture del fornitore di servizi cloud è spesso ridotta a causa del rapporto di fiducia preesistente tra paziente e medico e a causa della maggiore valutazione della salute del paziente rispetto alla protezione dei dati e alla sicurezza informatica. Pertanto, è una sfida aumentare la consapevolezza per gli argomenti relativi alla sicurezza informatica e formare nuove tecnologie di autenticazione o identificazione. Inoltre, le risorse umane non devono necessariamente essere esperte di security e di tecnologie, tuttavia dovrebbero essere consapevoli delle offerte dei fornitori di cloud in termini di tale esperienza. Senza formazione e istruzione, il verificarsi di errori umani e attacchi di social engineering è più probabile.

Mancanza di competenze tecnologiche e di sicurezza: il trasferimento dell’intera infrastruttura IT o dei singoli servizi dal sito al cloud richiede risorse umane che comprendano le tecnologie cloud e gli aspetti associati di sicurezza e protezione dei dati. Questi requisiti di conoscenza possono non essere coperti dallo stesso personale IT responsabile dell’infrastruttura in loco e alla fine comportano la cessazione del lavoro. La domanda di esperti di sicurezza nel cloud per il settore sanitario è superiore alla sua offerta, ostacolando il progresso del cloud computing.

L’investimento nella cybersecurity non è percepito come priorità: la mancanza di supporto alla gestione delle organizzazioni sanitarie o il limitato finanziamento pubblico si traduce in un minore sostegno finanziario per promuovere ulteriormente la digitalizzazione e per aumentare la sicurezza informatica e la maturità della protezione dei dati nel settore sanitario.

Fornire la conformità normativa: in molti casi i clienti cloud hanno difficoltà a identificare quale provider di servizi cloud è conforme alla loro serie di requisiti legali, il che a volte limita le loro opzioni nell’avvio della collaborazione.

Integrazione del cloud con le difficoltà dei sistemi legacy: l’integrazione di soluzioni cloud con l’infrastruttura dell’organizzazione sanitaria già esistente o il collegamento di più dispositivi interni e transfrontalieri comporta una grande sfida che si traduce anche nell’astenersi dall’utilizzo dei servizi cloud. Inoltre, nella maggior parte dei casi, i sistemi legacy fanno parte dell’infrastruttura IT sanitaria. Questi sistemi non sono supportati dagli aggiornamenti dei loro fornitori, il che complica l’integrazione e l’interoperabilità con la nuova tecnologia. Di conseguenza, questo rende questi sistemi vulnerabili agli attacchi alla sicurezza informatica.

Le sfide della protezione dei dati nel cloud nella sanità

Lo studio Enisa presenta ora le principali sfide relative alla protezione dei dati emerse da interviste con esperti focalizzate principalmente sui requisiti tecnici per i servizi cloud in ambito sanitario:

Tecniche di privacy by design: il fornitore di assistenza sanitaria deve capire se il provider di servizi cloud ha seguito un approccio di privacy by design durante lo sviluppo e la distribuzione del servizio. Il Gdpr introduce un requisito legale sulla privacy fin dalla progettazione e per impostazione predefinita sia per i titolari del trattamento che per i responsabili del trattamento dei dati.

Gestione dei dati: le organizzazioni sanitarie come parti autorizzate (dopo aver ricevuto il consenso) raccolgono, strutturano e gestiscono i dati dei pazienti. In alcuni casi le informazioni vengono trasferite automaticamente al cloud (per esempio da un dispositivo medico) o vengono inserite da un soggetto delegato (per esempio da un medico). A seconda del tipo di servizio nel cloud, le informazioni di input potrebbero essere create da un attore diverso, rendendo l’accuratezza delle informazioni un grande problema. Dovrebbero essere in atto controlli per garantire l’accuratezza dei dati, anche se eseguiti da terze parti. Le organizzazioni devono stabilire il proprio modello / framework di governance dei dati per comprendere quale tipo di dati è più sensibile e quindi applicare il livello di controlli richiesto. Un altro problema da considerare è interoperabilità, in particolare per l’assistenza sanitaria. Questo è un settore in cui il cloud computing porta molti vantaggi grazie alla sua gamma flessibile di servizi.

Cancellazione dei dati: è estremamente importante poter cancellare i dati dopo che il tempo di conservazione è scaduto, ma anche su richiesta dell’interessato senza indebito ritardo. Gli interessati possono motivare le loro richieste con uno dei motivi previsti dal Gdpr, ad esempio quando i dati non sono più necessari per lo scopo iniziale o quando l’interessato revoca il consenso. I fornitori di servizi cloud hanno parzialmente risolto il problema dell’identificazione delle aree di archiviazione di blocchi di informazioni (etichettatura dei dati). Tuttavia, la cancellazione efficace dei dati è ancora una sfida tecnica.

Portabilità dei dati: questa sfida va di pari passo con il vendor lock-in, il rischio più comune per quanto riguarda il cloud computing. La portabilità dei dati si riferisce al trasferimento dei propri dati da un fornitore a un altro senza perdita su loro richiesta. Per l’assistenza sanitaria sono in atto alcuni standard (come HL7) per garantire l’interoperabilità e quindi la portabilità.

Crittografia: una delle misure più importanti e allo stesso tempo difficili da implementare è la crittografia. È importante garantire la segretezza e l’integrità, ma deve essere applicato in tutti i diversi canali di trasferimento e archiviazione dei dati. Misure di crittografia devono essere implementate sia a livello di client che di server ma anche nel canale che li connette. La responsabilità quindi risiede sia nel cliente cloud che nel provider cloud e ha enormi implicazioni dal punto di vista tecnico e legale.

Di Redazione

Federico Morgantini Editore