Sono aumentati del 42% gli attacchi informatici nel 2022, rispetto all’anno precedente. L’ultima struttura sensibile a subire un attacco di eCrime è stata ATS Insubria a fine maggio, poco prima sono andati KO i sistemi degli ospedali Sacco, Fatebenefratelli, Macedonio Melloni e Buzz. Dai portali di queste aziende sono stati rubati i dati di oltre 800 persone, ritrovati poi in vendita sul dark web.
È molto chiaro, quindi, che nessuno può sentirsi completamente al sicuro o trattare con leggerezza il tema della protezione dei dati, soprattutto per le aziende che gestiscono dati sensibili come quelli inerenti alla salute delle persone.
Molto meno chiare sono le best practices da seguire per farlo.
Ospedali, centri medici, poliambulatori, studi dentistici e tutte quelle realtà, grandi o piccole, che si trovano a gestire una mole davvero enorme di dati sanitari spesso complessi, hanno anche il compito di proteggerli. Ma in cosa consiste, esattamente, questa protezione?
Il problema per le aziende del settore sanitario
Innanzitutto, per molte aziende, esiste un problema di trasformazione del dato, da analogico a digitale o, peggio ancora, secondo protocolli digitali non uniformi. Incredibile? No, prevedibile, piuttosto. Alcune aziende o sono molto piccole (e quindi ancorate a sistemi di gestione obsoleti), oppure sono gestite secondo percorsi di digitalizzazione ancora non perfettamente maturi; oppure ancora hanno una serie di soluzioni operative che “non parlano” correttamente tra di loro per una serie infinita di motivazioni. E questo non è né giusto, né sbagliato. Semplicemente, molte aziende si trovano in questa situazione.
Spesso, uno dei motivi per cui questo tipo di situazioni si vengono a creare è perché il mondo (e il mercato) dell’healthcare si trova a crescere mediamente del 4-5% annuo, come richieste, bisogni e quantità di dati che devono essere trattati. E questo si traduce in una sfida importante per la parte IT, indipendentemente dalla loro dimensione.
Non solo, se la sfida è sostanziosa per la parte IT lo è anche per gli investimenti che questo comporta. Per non parlare della scelta dei partner, delle tecnologie e della loro gestione.
Interna? Esterna? Ibrida?
Se consideriamo la criticità dei dati e dell’operatività di cui parliamo, non è difficile trovare aziende del settore sanitario che hanno tre o più fornitori differenti per i servizi cloud e on premise.
Il risultato è che questo va, spesso, a discapito dell’efficienza dei processi relativi ai dati e alla loro sicurezza.
La mancanza di un piano uniforme abbassa la resilienza
La mitigazione del rischio di perdita o danneggiamento dei dati (e quindi di fermo dell’azienda) è direttamente collegata al tipo di strategia e alla governance delle soluzioni che vengono impiegate.
Se abbiamo imparato a conoscere un termine epocale, in questi ultimi anni, è “resilienza”. E questo si applica anche e soprattutto in materia di data protection. Un’azienda resiliente dal punto di vista dei dati, è un’azienda che ha fatto un piano sulla propria infrastruttura con la consapevolezza che qualcosa possa andare storto.
Non per catastrofismo o perché vogliamo guardare al bicchiere mezzo vuoto pensando che, un giorno, si romperà, ma perché gli incidenti accadono. Così come accadono le “aggressioni” digitali, soprattutto verso le strutture sensibili. Ne parliamo spesso in punto di cyber security.
Ma se incidenti e aggressioni accadono, non valutare un piano su questi fronti è assolutamente ingenuo.
Portare la protezione dei dati sanitari ad un altro livello
Come dicono in Veeam, una delle aziende di cui siamo Silver Partner che fornisce le soluzioni di data protection tra le più blasonate al mondo, le aziende dovrebbero smettere pensare ai loro sistemi di data storage come al posto in cui correre quando succede un disastro.
I dati, soprattutto quelli sanitari, hanno bisogno di un approccio completamente diverso che tenga conto:
- L’ottimizzazione dei backup
- Le strategie di recupero (o recovery)
- La gestione
- I tempi di ripristino
Per questo è necessario porsi una serie di domande molto, molto schiette, un po’ come se ci facessimo una sorta di audit sul tema della data protection:
- Qual è la strategia attuale di data protection? Ne abbiamo una?
- Quali sono i costi e i tempi che questa strategia richiede?
- Che tipo di ruolo hanno le automazioni a livello di attori interni all’organizzazione o di servizi esternalizzati?
- Questa strategia prevede la visibilità di qualche tipo di insight all’interno dell’organizzazione?
- Ci occupiamo della protezione dei dati solo per ottemperare alle norme oppure riusciamo ad avere un approccio più efficace?
Le aziende sanitarie che stanno facendo un percorso di digitalizzazione matura e strutturata sono le prime a misurare i benefici di un approccio corretto all’automazione, all’utilizzo dell’intelligenza artificiale. Ma questo succede quando viene scelta una piattaforma “agnostica” dal punto di vista tecnologico, capace di interfacciarsi in modo indipendente ed efficiente con le altre soluzioni presenti in azienda, creando così un canale unico per la gestione della strategia disaster recovery e backup.
In questo modo le aziende dell’healthcare possono focalizzarsi sul loro lavoro, la salute dei pazienti e i risultati delle terapie. I rischi vengono ridotti e tutta l’infrastruttura non si fa trovare impreparata di fronte a nuove e imprevedibili sfide alla sicurezza.