Il progetto realizzato da NOVAFUND grazie al sostegno ricevuto dalla regione veneto a valere sul – POR FESR 2014-2020, ASSE 1 “RICERCA, SVILUPPO TECNOLOGICO E INNOVAZIONE” Azione 1.1.1 “Sostegno a progetti di ricerca alle imprese che prevedono l’impiego di ricercatori presso le imprese stesse”.

La c.d. web revolution si è affermata in qualsiasi attività umana: le attività digitali riguardano infatti non solo la comunicazione ma il rapporto con oggetti e strumenti sia nell’ambiente di lavoro che in quello domestico. Ormai la necessità di connessione e di interazione dei dati è un must nell’ IOT come nella Domotica, nella medicina come nella sicurezza. Lo sviluppo della connettività comporta il ripensamento dei sistemi informatici e di comunicazione in funzione soprattutto della costante verifica e sicurezza dei dati generati, trasmessi, utilizzati da tali sistemi e della tutela dei dati stessi in termini di privacy. In particolare, il progetto di ricerca proposto da Novafund riguarda lo studio di una piattaforma cybersicura che possa raccogliere, trasmettere e gestire in modo sicuro i dati all’interno delle strutture ospedaliere, attraverso la messa in sicurezza dei dati scambiati tra i dispositivi di rilevazione e monitoraggio di tipo biomedico ed i sistemi informatici di elaborazione. Il progetto ha sfruttato le conoscenze acquisite in tema di sicurezza informatica per la definizione delle caratteristiche funzionali, tecniche, gestionali degli interventi di miglioramento dei processi di Data Protection da realizzare presso le strutture, le quali svolgeranno il ruolo di end user.

Novafund ha realizzato una soluzione specifica (un modello di piattaforma software) per la gestione integrata della Data Protection e della Cybersecurity che potrà essere introdotta nel settore della sanità. Tale settore, si riferisce a tutte le strutture che prestano servizi sanitari e che hanno la necessità non solo di informatizzare i propri processi di scambio dati, ma soprattutto di gestire in modo sicuro la mole di dati sensibili che vengono trattati all’interno del perimetro di operatività. Il progetto fa riferimento ai luoghi di vita che prevedono il coinvolgimento di numerose persone ed intende promuovere l’utilizzo di soluzioni informatiche (piattaforme IT) per gestire una rete sicura di scambio dei dati nella quale veicolare in sicurezza i dati sensibili con il fine di garantire  la protezione dei dati delle persone coinvolte.

Le attività realizzate hanno previsto innanzitutto una ricerca pianificata mirata ad acquisire nuove conoscenze da utilizzare per sviluppare un nuovo prodotto, nuovi processi e servizi con l’introduzione di soluzioni per la gestione integrata della data protection e della cybersecurity che sono state validate sperimentalmente.

I tratti caratteristici della soluzione realizzata riguardano nel profondo le tematiche affrontate nel progetto relative a:

1. gestione dei dati sanitari e dei processi;
2. gestione consapevole della sicurezza e degli adempimenti normativi connessi all’utilizzo dei sistemi.

In riferimento al primo punto, sono state compiute delle analisi sullo stato dell’arte di sistemi operanti in tale ambito, per meglio comprendere i dati e processi sanitari ed i rispettivi processi IT coinvolti nel trattamento dei dati e la realizzazione di  procedure di gestione uniforme dei processi sanitari coinvolti nelle attività di diagnosi e cura dei pazienti. In merito invece, al secondo punto, è stato possibile realizzare in modo semplice, efficace ed efficiente le procedure e gli adempimenti relativi alla sicurezza e alla protezione dei dati nonché gli adempimenti normativi coinvolti con la possibilità di supportare nuovi processi sanitari. A tal riguardo, ciò ha comportato una gestione sicura dello scambio dei dati tra apparati coinvolti ed infrastruttura ospedaliera. Inoltre, ciò porta ad una migliore consapevolezza in tema di protezione dei dati relativa alla sicurezza anche da parte degli utilizzatori del sistema.

Il presente intervento in riferimento all’esposizione dei dati sanitari a possibili attacchi da parte della cybercriminalità  ha previsto attività relative ad analisi sullo stato dell’arte di sistemi operanti in ambito sanitario, per meglio comprendere i processi IT coinvolti nel trattamento dei dati e la realizzazione di  procedure di gestione uniforme dei processi sanitari coinvolti. Successivamente è stato possibile realizzare in modo semplice, efficace ed efficiente procedure e gli adempimenti relativi alla sicurezza e alla protezione dei dati coinvolti. A tal riguardo, ciò ha comportato una gestione sicura dello scambio dei dati tra apparati coinvolti ed infrastruttura ospedaliera. Inoltre, ciò porta ad una migliore consapevolezza in tema di protezione dei dati relativa alla sicurezza anche da parte degli utilizzatori del sistema. In riferimento invece, alle interruzioni dei servizi (c.d. crash di sistema) l’intervento ha previsto attività di analisi e definizione di un piano di disaster recovery per poter garantire la continuità operativa dei servizi. A tal riguardo Novafund ha optato per lo studio di modelli di sistemi e di una piattaforma per la gestione sicura dei dati in un settore nel quale la privacy risulta di fondamentale importanza.

Le opportunità colte nella realizzazione del progetto di ricerca sono state:

• la realizzazione di sistemi sicuri che siano compatibili con le attività svolte in ambito sanitario (definizione di procedure sanitarie);
• la necessità di progettare e realizzare un sistema di gestione per la sicurezza delle informazioni e di protezione dei dati e dei processi in ambito sanitario, anche con riferimento ai requisiti introdotti dalle normative vigenti;
• la necessità di avere nuovi modelli di gestione dei vari processi sanitari, al fine di garantire e dimostrare le corrette attività di trattamento dei dati;
• la necessità di individuare misure e procedure per la corretta protezione dei dati trattati in ambito sanitario.

Inoltre, un’ulteriore opportunità colta da Novafund, ha riguardato la gestione e la sicurezza dei processi relativi a servizi esposti esternamente alla struttura. A tal riguardo, le attività svolte hanno riguardato attività di Cyber threat assessment (CTA) – Controllo della sicurezza del traffico da/verso internet.

I principali obiettivi perseguiti dal presente progetto di ricerca sono:

• la realizzazione di procedure sicure di gestione uniforme dei processi sanitari coinvolti nelle attività di cura dei pazienti;
• la possibilità di gestire in modo semplice, efficace ed efficiente tutte le procedure e gli adempimenti relativi alla sicurezza e protezione dei dati nonché gli adempimenti normativi coinvolti;
• la possibilità di supportare nuovi processi sanitari.

In particolare:

la soluzione IT studiata è partita da una fase di ricognizione delle tipologie di dati e da una analisi dei processi IT convolti nel trattamento dei dati nonché da una valutazione sulla protezione dei dati coinvolti nella specifica realtà. Ciò ha consentito di disporre di nuovi modelli, processi e tecnologie e di validare gli strumenti a supporto del miglioramento della propria infrastruttura con i conseguenti risultati generali ottenuti:

• una piattaforma in grado di acquisire i dati dai vari apparati di diagnostica e di gestione coinvolti nei processi di diagnosi/cura dei pazienti;
• una gestione “sicura” relativa allo scambio dei dati degli apparati di diagnostica e di gestione e le infrastrutture ospedaliere;
• una migliore consapevolezza in tema di protezione dei dati relativa alla sicurezza da parte degli utilizzatori dei sistemi ospedalieri;
• la possibilità di mettere in atto, delle procedure di disaster recovery.

La sicurezza dell’infrastruttura informatica delle organizzazioni sanitarie riguarda l’intera filiera della salute che è investita dai vantaggi e dai rischi derivanti dalla crescente informatizzazione delle procedure sanitarie di gestione. Dall’anno 2020, a causa del periodo dovuto all’epidemia da Covid-19 è sempre più necessario adottare soluzioni robuste di protezione dei dati visti i tentativi di intrusione di cybercriminali nei sistemi delle strutture sanitarie. Le strutture sanitarie trattando una grandissima mole di dati sanitari devono adottare soluzioni di protezione dei dati all’avanguardia per evitare che, attacchi di malintenzionati possano essere perpetrati. A tal riguardo, l’implementazione della soluzione di protezione dei dati agisce anche sulle persone sensibilizzandole anche sul fattore di sicurezza dei processi sanitari e trasformando il personale coinvolto in un ulteriore elemento difensivo.

L’attività di ricerca effettuata ha prodotto per Novafund potenziali vantaggi in termini di estensione del proprio settore target di riferimento e per le numerose aziende che operano in ambito sanitario sul territorio regionale e nazionale, le quali anche tramite l’adattamento della piattaforma stessa alle specifiche esigenze, potranno gestire in sicurezza le proprie attività.