a cura di Sara Novello
Un attacco informatico globale potrebbe essere uno dei maggiori rischi per i pazienti. Quando nel maggio 2017, il “WannaCry Ransomware” virus infettò più di 300.000 computer in tutto il mondo, ebbe un impatto significativo anche sul servizio sanitario nazionale nel Regno Unito e non solo. Gli ospedali e gli ambulatori dei medici di base in alcune parti d’Inghilterra dovettero bloccare buona parte delle operazioni e le visite ai pazienti a causa del riscatto a pagamento richiesto dal virus per ripristinare l’accesso ai dati.
Come proteggersi dagli attacchi informatici?
La tecnologia e il modo in cui viene utilizzata si sono evoluti esponenzialmente cosi che è facile per un sistema essere soggetto ad attacchi senza una costante manutenzione o un costante adattamento all’ evolversi della situazione. Il modo più efficace per ridurre al minimo questa minaccia, dunque, è assicurarsi che i sistemi tecnologici di sicurezza siano preparati. In caso di “incidente” è essenziale disporre di un piano di continuità aziendale moderno e solido.
Europol (European Police Office UE), comunque, consiglia a tutti gli utenti “di evitare di aprire mail o cliccare su collegamenti di mittenti non riconosciuti. È fondamentale che una difesa rigorosa, regolarmente controllata sia incorporata in tutti i sistemi aziendali”.
“Tramite audit, revisioni e attività di convalida periodiche – aggiunge Europol – è possibile ottenere presto vantaggi significativi nel proteggere noi stessi e i consumatori da una minaccia cibernetica in costante evoluzione”.
La Farmacovigilanza e la cyber security
Nonostante consigli e cautele, la protezione dei nostri sistemi informatici è sempre a rischio. Il settore della sanità non è escluso. Per la Farmacovigilanza è essenziale che i sistemi siano mantenuti compatibili con l’ultimo sistema operativo (OS) per le funzioni di dati sensibili di cui essa è in possesso, in cui le informazioni personali dei pazienti sono conservate, elaborate e richieste in tempo reale.
La Good Pharmacovigilance Practice (modulo I) afferma che “una continuità aziendale deve essere assicurata ai processi critici di farmacovigilanza, compresa la capacità di garantire il monitoraggio continuo del profilo di sicurezza e la raccolta, l’elaborazione, la gestione, il follow-up e la segnalazione dei singoli rapporti”. Per un’azienda farmaceutica (inclusa una ULSS), se la sua infrastruttura IT fallisce e la produzione si blocca per 24 ore, i costi potrebbero potenzialmente essere dell’ordine di milioni e i rischi per i pazienti continueranno a crescere durante il ripristino dei servizi e della produzione senza la protezione della farmacovigilanza.
Business Continuity Plans e ISO 22301
ISO 22301 può essere utilizzato per aiutare qualsiasi azienda a preparsi nel caso in cui vi sia un altro simile attacco, così che tutto possa continuare senza causare gravi danni al sistema. La norma internazionale
stabilisce i requisiti per un sistema di gestione della continuità operativa (BusinessContinuityManagementSystem), che include piani di “disaster recovery” (ripristino di emergenza) incentrati sul recupero di operazioni e funzioni specifiche. Questa metodologia può essere applicata a processi tattici come la farmacovigilanza.
La maggior parte delle aziende memorizza il Business Continuity Plans, cioè tutte le sue attività, elettronicamente, come parte del proprio sistema di procedure operative standard. Nel caso di una interruzione completa delle attività elettroniche è fondamentale disporre di copie cartacee di tutti i documenti. I Business Continuity plans (BCMP) attuali rimangono spesso focalizzati sui rischi fisici come il fuoco, le inondazioni o le interruzioni di corrente, ma oggi le aziende dovrebbero considerare l’impatto che potrebbero avere gli attacchi terroristici. Tuttavia, i BCMP a cui è negato l’accesso ai dati fino al pagamento di un riscatto potrebbero non essere stati considerati in modo appropriato.
