La sicurezza informatica nel Servizio Sanitario Nazionale è una mera chimera?

La sicurezza informatica nel Servizio Sanitario Nazionale è una mera chimera, in generale nella Pubblica Amministrazione.

Si pensi alle password deboli “123456789” di molti dipendenti ovvero di password forti condivise tra medici, infermieri e personale amministrativo. Ancora, password scritte a penna su agende incustodite o memorizzate nel browser del proprio pc in cui entra chiunque.

Alziamo il livello di difficoltà.

Prese LAN (RJ45) presenti in ogni stanza (e non solo) aperte e sempre attive, anche di notte quando gli uffici sono chiusi.
Armadi rack per server/NAS posizionati in corridoi di libero accesso senza un controllo in cui teoricamente chiunque può metterci mano.
E-mail aziendali non utilizzate, preferendo quelle personali in cui vengono conservati dati particolarmente sensibili sotto forma di testo e/o allegati.
Gruppi WhatsApp, utilizzando il telefono personale e non quello aziendale, tra dipendenti in cui vengono scambiati dati sanitari particolarmente sensibili dei pazienti.
Stampanti collegate in rete con modulo WiFi attivo, facilmente “bucabile”.

La verità è che probabilmente la maggior parte dei dipendenti del Servizio Sanitario Nazionale non sono adeguatamente formati in tema di sicurezza informatica e privacy. Perché internet è invisibile, è qualcosa che non si vede. E se non si vede, non si percepisce il pericolo.

Chissà quanti pc c.d. “zombie” sono presenti nella Pubblica Amministrazione, cioè computer connessi alla rete compromessa da un hacker, un virus o un trojan.

Quali soluzioni?

È fondamentale intervenire a più livelli per migliorare la sicurezza informatica nel SSN:

Formazione e sensibilizzazione del personale: corsi di formazione periodici e campagne di sensibilizzazione per promuovere una cultura della sicurezza informatica;
Implementazione di policy di sicurezza rigorose: definizione di regole chiare per la gestione delle password, l’utilizzo dei dispositivi e la condivisione dei dati;
Investimenti in tecnologie di sicurezza: firewall, sistemi di rilevamento delle intrusioni, software antivirus e anti-malware;
Controlli periodici e audit di sicurezza: per verificare l’efficacia delle misure di sicurezza implementate e individuare eventuali vulnerabilità;
Adottare soluzioni di crittografia: per proteggere i dati sensibili sia in transito che in archiviazione;
Promuovere l’utilizzo di strumenti di comunicazione sicuri: piattaforme di messaggistica aziendali con crittografia end-to-end.

Continuerò a parlarne in modo più dettagliato ed approfondito.