I dati biometrici e sanitari, per loro stessa definizione, sono dati sensibili e particolarmente delicati: basti pensare all’impatto che può avere sul titolo azionario di un’azienda sapere che il proprietario o l’amministratore delegato soffra di una grave patologia, oppure sapere che uno stakeholder importante di un’organizzazione o di un ente conduce uno stile di vita rischioso.
Ne è convinto, tra gli altri, Alberto Zannol, CEO di Mobisec, azienda trevigiana che dal 2015 lavora per portare le metodologie classiche di cyber security in ambito mobile. L’azienda ha collaborato e collabora anche con la Pubblica Amministrazione – Regione Toscana e Regione Lombardia – fornendo servizi di mobile security a tutela delle app per la sanità elettronica e dei dati sanitari dei cittadini.
Come riferito da Zannol: «In generale i servizi che prestiamo alle aziende private hanno ancor più ragione di essere per le P.A. e per gli enti sanitari, ma è un mercato con delle “resistenze” all’ingresso». Resistenze sulle quali è necessario lavorare in tempi rapidi, dal momento che i device wearable in campo medico saranno nei prossimi anni il vero game changer della vita quotidiana: dalla promozione diretta o meno di uno stile di vita migliore, all’automedicazione, al supporto alla pratica medica a distanza o asincrona, diventeranno un elemento che pervaderà la nostra sfera fisica quotidiana.
Basti pensare, ad esempio, a quanto l’introduzione di un device in grado di supportare l’utente nell’adesione alla terapia (la mancanza di puntualità e costanza da parte del paziente nelle patologie croniche causa fallimenti nel 75% dei casi) potrebbe migliorare la vita del paziente. Oggi sono disponibili sul mercato e distribuiti dalle strutture sanitarie sistemi di monitoraggio di parametri sanitari (glicemia, pressione, battito cardiaco, fibrillazione ventricolare etc.), e in un futuro non troppo lontano il trapianto cardiaco potrebbe avvenire con l’utilizzo di protesi intelligenti.
Ma i dati sanitari sono davvero al sicuro?
Quale che sia il segmento di applicazione, sanitario, wellness, office, produttività, il wearable avrà una diffusione dirompente nel breve-medio periodo: ma quando si entra nel terreno dello stato di salute del singolo, è evidente che i danni in caso di breach potrebbero essere disastrosi.
In che modo dunque proteggere il dato sanitario e limitare i danni?
Per Zannol: «Il dato sanitario deve essere protetto sia nell’accesso, che nell’autorizzazione che nel trattamento in diversi momenti e quindi al giorno d’oggi in diversi luoghi, fisici o virtuali che siano. Il dato deve essere protetto quando viene creato, quando viene salvato, quando viene usato e/o modificato: purtroppo queste fasi, che un giorno erano relegate a specifici momenti della catena di trattamento del dato ed a specifici luoghi/usi/operatori, ora sono ricorrenti in qualsiasi momento e qualsiasi posizione del processo».
La sicurezza non si improvvisa
Diventa dunque indispensabile rivedere il modello di security e protection, salvaguardando ogni fase del ciclo di vita del dato e sensibilizzando alla loro pertinenza di protezione tutti i player coinvolti nella filiera del dato sanitario.
L’utente deve maturare una maggior consapevolezza del mezzo e deve considerare il device mobile come uno strumento; la Pubblica Amministrazione deve garantire la modalità di formulazione della normativa (raccomandazioni e obblighi), promulgata da un organo di governo, regolatorio e in quanto tale interessato all’indicazione di principio e di tutela; il mercato e i Solution Provider, infine, devono aumentare la cultura e la specificità del mondo mobile per adeguare metodologie e prassi di security e protection a oggi non ancora compartimentate sul nuovo modello di information architecture.