Mettere autonomamente in pratica la protezione di base IT #5: prepararsi in caso di attacco informatico, interruzione di corrente, danni causati dall’acqua ecc.

Nell’era del lavoro digitale garantire la sicurezza e la protezione dei dati sensibili dei pazienti in ogni momento rappresenta una vera sfida. Tuttavia, dedicando del tempo ad affrontare il tema della protezione di base IT è possibile portare la sicurezza informatica del proprio studio medico a un buon livello. In questo articolo vi illustriamo come prepararsi a possibili situazioni di emergenza e a cosa prestare attenzione quando si collabora con fornitori di servizi esterni.

Se desiderate affrontare la sicurezza informatica del vostro studio medico a partire dalle fondamenta vi raccomandiamo anche i nostri precedenti articoli:

• #1: Inventario IT e strategia di backup
• #2: Proteggere la sicurezza della rete e i dispositivi di lavoro
• #3: Controllo degli accessi
• #4: Sicurezza fisica e responsabilità della protezione dei dati

Gli imprevisti possono accadere

Attacchi informatici, l’interruzione dei sistemi informatici, l’infezione di un terminale con un software dannoso, interruzioni di corrente, disastri naturali... Se uno studio medico o una casa di cura non è preparato a queste o ad altre situazioni di emergenza simili può subire gravi conseguenze: paralizzare l’attività per ore o giorni, danneggiare la fiducia dei pazienti o addirittura essere coinvolto in conseguenze legali con importanti risvolti finanziari. Una buona protezione di base IT include quindi la preparazione a possibili situazioni di emergenza.

La preparazione è già metà dell’opera: il piano di emergenza

Immaginate, ad esempio, di arrivare al mattino presso il vostro studio medico e che i dati dei pazienti non siano più accessibili a causa di un attacco ransomware. Cosa fate? Chiamate il vostro partner IT? O chiamate le vostre pazienti e i vostri pazienti per annullare le prime visite mediche? Di quali compiti si occupa l’ASM? Per evitare di doversi porre tutte queste domande nella fretta del momento – stressati e sconvolti – vale la pena disporre di un piano di emergenza pronto per possibili situazioni eccezionali.

Come procedere:

• Identificare le potenziali minacce attraverso un’analisi dei rischi effettuata in autonomia al meglio delle proprie conoscenze e convinzioni. Valutare la probabilità e l’eventuale danno di ciascuno di tali scenari.
• Identificare anche le vulnerabilità del proprio studio medico che potrebbero portare a un’emergenza e correggerle in autonomia o con l’ausilio di un partner IT esterno.
• Sulla base della propria analisi dei rischi sviluppare un piano di emergenza scritto che contenga istruzioni per gli scenari pertinenti. È possibile raggruppare differenti scenari con conseguenze simili e redigere un piano d’azione per ogni categoria. Importante: definire chiaramente le responsabilità in modo che tutte le collaboratrici e tutti i collaboratori conoscano ciò che è di propria competenza.
• Regolarizzare anche la comunicazione in una situazione di crisi: come, quando e da chi vengono informati i membri del team, i pazienti, i fornitori di servizi informatici e gli altri gruppi target? Assicurarsi che i canali di comunicazione di emergenza non siano gli stessi utilizzati nel lavoro quotidiano poiché anche questi potrebbero smettere di funzionare. È inoltre importante avere sempre a disposizione un elenco aggiornato dei contatti.
• Più le collaboratrici e i collaboratori sono abituati a gestire situazioni eccezionali, più saranno in grado di agire con sicurezza ed efficienza in caso di emergenza. Regolari esercitazioni di emergenza addestrano il team e garantiscono il funzionamento del piano di emergenza nello studio medico. Inoltre è importante verificare regolarmente il piano: soddisfa ancora i requisiti e i rischi effettivi? Deve essere eventualmente adattato alle nuove tecnologie o ai cambiamenti nello studio medico?

Inserimento nell’inventario di interlocutrici e interlocutori

In situazioni di emergenza è importante avere a portata di mano i dati di contatto aggiornati delle persone responsabili. Anche nella vita lavorativa spesso frenetica di tutti i giorni fa comodo avere i dati di contatto più importanti sempre aggiornati e facilmente reperibili. È quindi opportuno tenere un elenco di contatti e aggiornarlo regolarmente. Consigliamo di collocare l’elenco in un luogo facilmente accessibile e di informare anche il team su dove si trova. Inoltre, all’interno dell’inventario creato seguendo i nostri precedenti articoli è meglio inserire anche i contatti di emergenza, direttamente nei sistemi di cui sono responsabili.

Partner IT esterni: a cosa prestare attenzione

Anche se in materia di sicurezza informatica si può fare molto in autonomia senza competenze IT, al giorno d’oggi è impossibile fare a meno del supporto di fornitori di servizi IT esterni, ad esempio per proteggere il proprio studio medico dagli attacchi informatici o per una strategia di backup affidabile. Il partner selezionato deve aiutare a mantenere il segreto professionale nel mondo digitale e a soddisfare i requisiti della nuova Legge sulla protezione dei dati (nLPD). Per garantire la sicurezza e la protezione dei dati dei pazienti il partner dovrebbe...

• ... poter attestare il rispetto di tutti i requisiti rilevanti in materia di protezione dei dati, in particolare per quanto riguarda la sicurezza del trattamento dei dati personali. Il modo più semplice per riconoscerlo sono le certificazioni di sicurezza, ad esempio ISO/IEC 27001 (gestione della sicurezza delle informazioni) o il marchio CyberSeal della Alleanza Sicurezza Digitale Svizzera.
• ... essere in grado di dimostrare l’esistenza di misure tecniche e organizzative (MTO) documentate che garantiscano la sicurezza del trattamento dei dati, ad esempio l’uso della crittografia, le gestioni degli accessi, i controlli regolari della sicurezza.
• ... avere esperienza nell’utilizzo di dati sensibili nel settore sanitario.
• ... concedere allo studio medico il diritto di effettuare audit e verifiche regolari.
• ... formare regolarmente le proprie collaboratrici e i propri collaboratori in riferimento alla protezione dei dati e alla sicurezza informatica.
• ... avere tempi di risposta definiti e un sistema di gestione delle emergenze documentato.
• ... poter effettuare o supportare una Valutazione d’impatto sulla protezione dei dati.

Accordi con il proprio partner IT

In quanto professioniste e professionisti della salute vi assumete la responsabilità della protezione delle informazioni a voi affidate da parte di pazienti e clienti. Collaborando con partner esterni dovete poter contare su di loro per trattare i dati sensibili con la dovuta attenzione. Pertanto, con i partner esterni è necessario stipulare i seguenti accordi scritti:

• Accordo di riservatezza (Non-Disclosure Agreement, NDA): obbliga tutte le collaboratrici e tutti i collaboratori che hanno accesso ai dati dei pazienti a mantenere il segreto professionale.
• Accordo sull’affidamento del trattamento dei dati a un responsabile: regola il modo in cui il fornitore di servizi IT può trattare i dati e come deve proteggerli.

La FMH fornisce modelli per entrambi gli accordi

Per quanto riguarda le emergenze sopra menzionate si applica anche quanto segue: in caso di emergenza non c’è tempo da perdere! È importante quindi assicurarsi che nel caso di necessità l’assistenza informatica esterna sia disponibile in modo rapido e affidabile. A tal fine stipulate con i vostri fornitori di servizi IT dei Service Level Agreement (SLA) che definiscano, ad esempio, i servizi e i tempi di risposta garantiti.

Domande scomode che vale la pena porsi

Prepararsi a possibili scenari di crisi fa parte di un’adeguata protezione di base IT. Anche se la maggior parte di tali scenari (possibilmente!) non si realizzerà mai, nel caso di necessità, una preparazione accurata fornirà le risposte alle domande più difficili. Risposte utili che contribuiscono ad assicurare il funzionamento e a garantire la sicurezza dei dati sensibili dei pazienti.

Ulteriori informazioni e mezzi ausiliari

• La FMH offre una check-list e una possibile procedura in caso di violazioni della protezione dei dati
• La FMH ha pubblicato sul proprio sito web i Requisiti minimi per la protezione di base IT per assistenti di studio medico e medici titolari di studio.
• Al link www.hin.ch/inventario mettiamo a disposizione un modello d’inventario sotto forma di file Excel scaricabile (in tedesco).
• Istruzioni, check-list e risposte a domande frequenti inerenti al tema della sicurezza informatica sono consultabili nella nostra sezione Assistenza HIN