Pubblicato il 28 giugno 2016, nella seduta n. 647
DIRINDIN , BIANCO , BIANCONI , GRANAIOLA , MATTESINI , MATURANI , PADUA , ROMANI Maurizio , ROMANO , SILVESTRO , ZUFFADA - Ai Ministri della salute e dell'interno. -
Premesso che:
in Europa, la sicurezza in chiave antiterrorismo è la prima e principale motivazione alla base delle iniziative in tema di protezione delle infrastrutture critiche, in sanità come in qualunque altro settore;
sin dal 2004 il Consiglio europeo ha chiesto la definizione di una strategia per la protezione da possibili attacchi terroristici delle infrastrutture critiche nel territorio dell'Unione, strategia che ha portato la Commissione ad emettere la comunicazione COM 2004/702. Questo documento contiene la definizione di infrastruttura critica (IC) e l'elenco delle stesse, fra le quali, con riguardo al settore sanitario, sono indicati gli ospedali, i laboratori di biologia e agenti biologici, i servizi sanitari e di raccolta del sangue, il settore di medicinali, sieri e vaccini e i servizi di emergenza urgenza;
fra le IC sono ricomprese non solo quelle fisiche ma anche le tecnologie dell'informazione e della comunicazione (ICT) le quali sono menzionate come obiettivi da proteggere, da attacchi cibernetici e non solo fisici, per tutti i settori, compreso il settore della sanità;
considerato che:
nel nostro Paese, particolare preoccupazione presenta l'aspetto della sicurezza delle ICT, caratterizzate da un'ancora troppo elevata frammentazione delle infrastrutture, dalle quali può dipendere la vita delle persone e la funzionalità delle strutture di emergenza urgenza;
a quanto risulta, nel nostro Paese, circa un quarto delle aziende sanitarie presenta problemi di sicurezza informatica (sicurezza fisica o logico-funzionale), in particolare nel Mezzogiorno, e sembra prevalere una sottovalutazione del rischio. Sembrano inoltre poco diffuse le attività di stress-test e di simulazione di attacchi;
in particolare nel settore sanitario vanno considerati due aspetti con riguardo alle ITC: a) la sicurezza dei dati e dei servizi sanitari erogati tramite internet e altri tipi di mezzi di comunicazione, specificamente di quelli da cui dipende la continuità dell'assistenza a pazienti gravi o comunque dipendenti da apparecchiature salvavita; b) la sicurezza di quei servizi sanitari che potrebbero essere a rischio per effetto dell'interdipendenza, in caso di attacchi terroristici, con altre infrastrutture critiche (ad esempio energia, altri tipi di mezzi di comunicazione);
tenuto conto che:
da un recente studio Deloitte, condotto su 24 strutture ospedaliere pubbliche e private in 9 Paesi (fra cui l'Italia), coordinato dalla Practice cyber risk services, emerge che in tutti i Paesi le strutture ospedaliere sono consapevoli dell'importanza della cyber security dei dispositivi biomedicali connessi in rete;
in particolare, emerge chiaramente che gli ospedali sono in ritardo sulla cyber security: più della metà delle strutture intervistate adotta password di accesso standard (e quindi non sicure) ai propri dispositivi biomedicali; quasi tutte le strutture non hanno valutato la compliance dei propri dispositivi biomedicali rispetto ai requisiti del nuovo regolamento europeo in tema di data protection; la maggior parte delle strutture non richiede ai propri fornitori alcun attestato MDS2 - medical device security manufacturer disclosure statement; molte strutture non monitorano i propri dispositivi biomedicali nei confronti di vulnerabilità note;
appare preoccupante il rischio che, in caso di eventuali attacchi cyber, qualcuno possa acquisire il controllo da remoto dei dispositivi, violare la confidenzialità e l'integrità dei dati dei pazienti e modificare le funzionalità dei dispositivi stessi, con potenziali problemi per la salute del paziente,
si chiede di sapere:
di quali specifiche informazioni i Ministri in indirizzo dispongano sulla situazione della sicurezza delle tecnologie dell'informazione e della comunicazione all'interno delle strutture sanitarie e come tali eventuali informazioni si rapportino alle preoccupanti risultanze dei recenti studi;
quali iniziative abbiano adottato per monitorare la situazione nelle diverse regioni e province autonome con riguardo alla sicurezza nelle strutture sanitarie italiane, in particolare delle infrastrutture critiche;
come giudichino lo stato della sicurezza in chiave antiterrorismo delle infrastrutture critiche sanitarie;
quali iniziative siano state adottate per favorire un miglioramento, su tutto il territorio nazionale o in collaborazione con Regioni e Province autonome, della sicurezza della catena di approvvigionamento ed erogazione dei servizi sanitari;
quali iniziative siano state adottate affinché i fornitori di servizi assicurino uno specifico profilo di sicurezza in coerenza con i regolamenti europei;
quali iniziative siano state adottate dal Ministero della salute, anche prevedendo la collaborazione con le Regioni e le Province autonome, per rappresentare alle autorità preposte un quadro sintetico e armonico del livello di esposizione delle infrastrutture critiche, al fine di agevolare interventi correttivi sia riguardanti il piano di protezione sia il quadro normativo vigente.