Gli attacchi informatici possono far male alla salute

Negli ultimi due anni molti ospedali e aziende sanitarie italiane hanno subito attacchi informatici piuttosto gravi: in alcuni casi sono stati bloccati sistemi di prenotazione di esami e visite, in altri sono stati rubati i dati personali dei pazienti. Spesso i criminali informatici utilizzano un ransomware, cioè un software che consente di ottenere i dati e tenerli bloccati con l’obiettivo di chiedere un riscatto. È un attacco che causa molti danni: non servono grandi strumenti per organizzarlo e consente ai criminali di rischiare poco perché scoprire gli autori è complicato.

Aziende sanitarie, ospedali, centri diagnostici e ambulatori pubblici sembrano essere il bersaglio preferito dai criminali informatici per diverse ragioni, ma principalmente perché sono più vulnerabili rispetto alle aziende private. Custodiscono dati essenziali per curare le persone e non possono permettersi di bloccare i servizi per molto tempo.

Un altro limite della sanità è la sua arretratezza tecnologica, grave anche rispetto alla pubblica amministrazione. Nelle aziende sanitarie e negli ospedali vengono usati sistemi vecchi, più precari e a rischio. Ci sono anche problemi strutturali: molti macchinari elettromedicali sono datati e per questo possono funzionare se collegati a sistemi operativi altrettanto datati; inoltre la condivisione dei dati all’interno degli ospedali o delle aziende sanitarie ha portato i sistemisti a costruire reti semplici e più vulnerabili.

Nonostante gli attacchi siano sempre più frequenti anche in Italia, spesso i responsabili delle aziende sanitarie considerano questi crimini con una certa sufficienza, se non come una seccatura: non vengono diffuse notizie sulle cause, non ci sono informazioni certe sui settori colpiti, sui dati bloccati e soprattutto sulle conseguenze del blocco. In realtà la gestione di un attacco informatico in ambito sanitario non è soltanto una questione da tecnici informatici, ma può avere effetti più o meno diretti sulla salute delle persone.

Uno dei casi più noti riguarda l’ospedale universitario di Düsseldorf, in Germania, dove nel settembre del 2020 una donna è morta a causa delle conseguenze di un attacco informatico. Il sistema informatico dell’ospedale è stato completamente bloccato da un ransomware: il personale sanitario, senza più dati a disposizione per osservare i parametri vitali dei pazienti, è stato costretto a rinviare operazioni di emergenza e a chiudere il pronto soccorso. A causa della chiusura dell’area di emergenza, l’ospedale non ha potuto soccorrere una donna di 78 anni con un aneurisma aortico: inviata a un ospedale a 32 chilometri di distanza, è morta nel tragitto, in ambulanza. La procura di Colonia ha aperto un’indagine per omicidio colposo con l’obiettivo di identificare i criminali informatici.

In quel caso le conseguenze dell’attacco informatico sono state molto evidenti e gravi, ma spesso gli effetti sono più difficili da osservare e valutare anche se hanno un impatto diretto sulla salute delle persone. Negli ultimi giorni, per esempio, in Italia ci sono stati due casi distinti che mostrano in modo efficace il possibile impatto degli attacchi su sistemi vulnerabili come quelli di ospedali e aziende sanitarie.

Domenica 19 febbraio l’azienda sanitaria 5 della Spezia ha annunciato che a causa di un attacco informatico è stata costretta a rinviare almeno di una settimana la radioterapia di una cinquantina di pazienti oncologici.

La radioterapia è una terapia effettuata per lo più in regime ambulatoriale e in grado di provocare la morte delle cellule tumorali attraverso l’utilizzo di radiazioni a elevata energia, chiamate radiazioni ionizzanti. L’attacco ha costretto l’azienda sanitaria a controllare in modo approfondito gli acceleratori lineari, macchinari che servono per un tipo di radioterapia. I pazienti dovranno essere richiamati: non è un semplice disagio, ma un ritardo su una terapia che riguarda pazienti malati di tumore. L’azienda sanitaria ha comunque assicurato che il ritardo non comprometterà il trattamento e che i pazienti più urgenti saranno trasferiti in altre strutture della Liguria.

Un’altra notizia relativa alle conseguenze di un attacco informatico riguarda l’azienda sanitaria Insubria, che gestisce le strutture delle provincie di Varese e di Como. Il 5 maggio del 2022 l’azienda era stata colpita da un attacco informatico organizzato dai criminali di un gruppo chiamato BlackByte: furono rubati dati sensibili di circa 800 pazienti e fu bloccato il sistema informatico. I criminali chiesero un riscatto che l’azienda dice di non avere pagato. Tra le altre cose, l’attacco aveva causato la cancellazione di tutti i dati relativi alla mailing list che regolava la campagna di screening mammografico, uno strumento di diagnosi precoce per la prevenzione del tumore al seno.

I funzionari dell’azienda sanitaria erano stati costretti a ricostruire pezzo per pezzo i contatti delle persone, con notevoli ritardi. Da maggio e fino ad agosto, gli appuntamenti per le mammografie sono stati pochissimi.

Il risultato è che la campagna di screening ha subito dei ritardi, recuperati soltanto nelle ultime settimane. Gli appuntamenti del 2022 sono stati smaltiti la scorsa settimana, con sei settimane di ritardo rispetto alle previsioni. « Non abbiamo interrotto il servizio ma abbiamo dovuto procedere con le trascrizioni manuali», ha detto il direttore sanitario di Ats Insubria, Giuseppe Catanoso. «Soprattutto ci sono stati tempi molto lunghi nell’invio dei referti negativi. Abbiamo preferito accelerare sui casi a rischio per agire con tempestività, penalizzando chi presentava un risultato negativo. Ci sono state delle criticità ma abbiamo lavorato con grande sforzo».