Non esiste una ricetta unica e nemmeno prescrizioni infallibili. Ciò nonostante la missione non è impossibile: i dati sanitari possono essere protetti innescando iniziative tecniche, organizzative e regolamentari. Se fosse un campo di battaglia, due sarebbero i fronti da considerare: quello delle realtà che generano e conservano le informazioni (ospedali, cliniche, laboratori di analisi, studi medici, Asl e altri enti pubblici) e quell’altro parcellizzato dei soggetti che hanno copia dei dati di diretta pertinenza (i pazienti e chi altro li riceve da questi, come ad esempio le compagnie assicurative).

La trincea che separa i grandi archivi elettronici sanitari dai potenziali aggressori deve essere presidiata nella consapevolezza che un data breach può essere molto più devastante di un omologo attacco mandato a segno su qualsivoglia altro patrimonio informativo. Questa coscienza purtroppo non rientra tra le prerogative del legislatore nazionale che ha considerato pericolose solo le brecce nei sistemi Edp (come li si chiamava un tempo) degli operatori telefonici, stabilendo – per la specifica categoria – rigorosi obblighi di tempestiva comunicazione dell’eventuale funesto accadimento. Nell’indifferenza dei soggetti cui compete disciplinare il turbolento contesto, si fa largo l’autodeterminazione e la cognizione di dover assicurare il massimo livello di tutela nelle diverse fasi che caratterizzano il trattamento di questi speciali dati personali.

Le misure di sicurezza devono tenere conto che gli assalti possono provenire non solo da fonti esterne ma avere origine anche da iniziative poste in essere da personale dipendente o comunque in servizio presso la struttura. Lo spettro di nemici “intra moenia” non è infrequente in questo ambito e il rischio di “exfiltration” (ovvero di esportazione illecita di documentazione riservata a circolazione limitata al contesto clinico/ospedaliero) è proporzionale alla appetibilità delle informazioni per i potenziali committenti della loro sottrazione fisica, copia abusiva o indebito inoltro in posta elettronica. Queste nitide percezioni sollecitano il ricorso a meccanismi di difesa capaci di evitare accessi indebiti: una rigida politica mandatoria prevede l’intransigente definizione dei profili di utenza e dei corrispondenti privilegi, la predisposizione di log in grado di registrare gli eventi a più ampio spettro (tra cui il trasferimento di file su memorie removibili o mediante masterizzazioni di supporti ottici o tramite l’inoltro in posta elettronica), l’installazione di un Intrusion Detection System, il corretto posizionamento dei firewall, il costante aggiornamento dei software a contrasto di forme virali o procedure ingannevoli.

Se mai il patrimonio informativo avesse una consistenza fisica, la preoccupazione non dovrebbe escludere una difesa perimetrale, realizzata con l’inserimento di barriere in grado di respingere manovre fraudolente: la separazione delle risorse dedicate alla “lavorazione” di dati sanitari da quelle utilizzate per lo svolgimento di altre attività potrebbe non bastare. L’uso – consentito o semplicemente tollerato – di dispositivi mobili da parte di soggetti autorizzati che prediligono l’impiego del proprio smartphone o tablet all’uso dell’apparato aziendale certificato come sicuro è un micidiale tallone d’Achille. Un malintenzionato potrebbe sfruttare tale anello debole della catena di sicurezza per farsi largo e arrivare indisturbato all’obiettivo magari impiegando virus, malware e cavalli di Troia capaci di scardinare blindature inossidabili.

Un altro incubo da scongiurare è il Distributed Denial of Service, ossia la paralisi del sistema per doloso sovraccarico di richieste: la necessità di disporre sempre di informazioni vitali impone la previsione di filtri e soluzioni che consentano il drenaggio, la deviazione o il rimbalzo di simili attacchi. L’assoluta affidabilità delle architetture in cloud computing e una ridondanza delle apparecchiature di storage, elaborazione e trasmissione fanno il resto.

Un fattore spesso trascurato da chi progetta il fossato virtuale a tutela del “castello” è la sensibilizzazione di chi tratta o riceve i dati sanitari. Non sempre chi siede a una stazione di lavoro o si avvale di un tablet è stato formato per acquisire cognizioni di security e di privacy. Pochi, poi, raccomandano cautela e danno suggerimenti al paziente che riceve in formato elettronico esiti e diagnosi.

La sicurezza parte dal sapere a cosa si va incontro. E molto sovente ce ne si dimentica.