Basta limiti all’IT: come facilitare la collaborazione nel settore healthcare. Uno speciale contributo a cura di Damian Chung, Business Information Security Officer presso Netskope.
Le aziende sanitarie sembrano credere ancora che, bloccando qualsiasi tipo di accesso all’archiviazione non autorizzata su cloud oppure ai tool di collaborazione in cloud, possano prevenire la perdita di dati sensibili. Tuttavia, come diceva un vecchio detto, “Data flows like water”, quindi troveranno sempre qualche cavità sotterranea in cui infiltrarsi per sfuggire.
Serve una maggiore e migliore collaborazione nell’healthcare
Oggi, molte aziende sanitarie lavorano per incentivare la collaborazione tra dottori e team, al fine di migliorare la qualità delle cure e i benefici per i pazienti. Se fossi un paziente sottoposto a trattamenti, vorrei essere certo che il mio medico di base, i miei specialisti, i diversi servizi e le strutture all’interno di tutto l’ecosistema medico abbiano accesso a tutte le informazioni necessarie a debellare la mia malattia. È proprio questo uno dei principali e innovativi vantaggi che, negli ultimi anni, i tool digitali hanno offerto alla medicina.
I pazienti si aspettano che tutte le figure dell’assistenza sanitaria di cui hanno bisogno collaborino fattivamente per curare i loro problemi di salute. Tuttavia, il concetto di bloccare la condivisione dei dati come politica predefinita limita la possibilità degli addetti dell’healthcare di agire come un’unità agile e coordinata. Per poter collaborare è fondamentale condividere i dati sensibili dei pazienti fra diversi reparti e, spesso, anche al di fuori della struttura sanitaria. Da sempre, questo tipo di condivisione ha rappresentato un problema per la sicurezza del settore. I team di sicurezza tendono innanzitutto ad applicare blocchi, ponendosi le giuste domande solo a posteriori.
Gestire i rischi con il principio del “tutto o nulla”
Perché impedire la condivisione delle informazioni sui pazienti tra i professionisti che ne hanno bisogno? Bloccare i tool di collaborazione o l’accesso a fonti di dati che esulano dal controllo dell’azienda può certamente limitare il rischio di perdere i dati, ma ci allontana allo stesso tempo dall’obiettivo di trattare i pazienti con le migliori risorse possibili.
Ecco un esempio calzante. Immaginiamo che l’unica applicazione cloud usata per la collaborazione nel nostro ospedale sia Microsoft OneDrive. Il team di sicurezza della struttura blocca l’accesso a tutti gli altri servizi (ad es. Dropbox, Google Drive, Box) per garantire che i dati e le informazioni personali dei pazienti non possano essere estrapolati. Cosa accade se un medico sta collaborando con un istituto superiore di ricerca in relazione a un tipo di trattamento mirato e questo stesso istituto consente l’accesso solo tramite Dropbox?
Qui nasce il problema. Le politiche inflessibili sul blocco dei dati intralciano la collaborazione fra istituti e l’individuazione dei trattamenti per i pazienti, indipendentemente dalle informazioni sensibili che quei dati possano contenere o meno. Magari si tratta della mera comunicazione tra ospedale e università. Non dovrebbe essere consentito loro di collaborare mediante diverse piattaforme in circostanze agevoli, piuttosto che perdere tempo nel richiedere, a una parte e all’altra, e attendere che l’IT o il team di sicurezza conceda un’eccezione?
Nel nostro caso, l’ospedale comunicherà ai medici che non possono accedere a Dropbox, mentre l’università dirà ai ricercatori che non possono accedere a OneDrive per via delle stringenti direttive sui dati. Ma un dottore interessato esclusivamente alla cura dei pazienti troverà il modo di aggirare questo sistema, magari tramite “shadow IT”, riuscendo comunque a spostare i dati fuori dall’ospedale. Non dovremmo più bloccare qualsiasi cosa a prescindere, in nome di cure più trasparenti e collaborative. E l’unico modo per raggiungere questo obiettivo è consentire agli operatori di fare ciò che devono.
Healthcare, consentire l’accesso, anziché bloccare
Le aziende sanitarie moderne possono iniziare a semplificare la collaborazione innanzitutto acquisendo una panoramica dei dati e degli utenti che hanno bisogno di accedere al cloud e ai tool. Dopo aver fruito di questa panoramica, allora potremo effettuare controlli capillari in relazione a ciò che gli utenti possono o non possono fare, in base al contenuto dei file e alle azioni che tentano di intraprendere.
Torniamo un attimo all’esempio precedente dell’ospedale e dell’università di ricerca. Possiamo usare una policy di gruppo, che consenta ai medici dell’ospedale di accedere all’account Dropbox dell’università e visualizzare o scaricare i risultati condivisi della ricerca, tuttavia tale policy potrebbe impedire loro di caricare elementi. Oppure, possiamo fare un ulteriore passo e dire che i nostri medici possono caricare file, a meno che questi contengano informazioni protette sulla salute (PHI) oppure informazioni personali identificabili (PII). Se viene riconosciuto questo tentativo, i controlli di sicurezza impediscono automaticamente all’utente di inviare questi determinati file.
Garantendo l’accesso a chi ne ha bisogno e integrando controlli capillari basati su policy, l’azienda può portare avanti collaborazioni trasparenti, mentre in passato avrebbe subito gli effetti di un blocco praticamente universale.
La sfida delle istanze multiple
Un altro aspetto di cui gli ospedali non si rendono conto è che, consentendo ai loro utenti di accedere a Office 365 o Google Workspace, questi potrebbero potenzialmente usare un’altra istanza di quelle applicazioni cloud.
Facciamo un altro esempio facile: immagina di essere un dottore che opera in un ospedale locale, ma di avere anche uno studio privato. In clinica, puoi ovviamente accedere al tuo account Office 365 abilitato dall’ospedale, ma magari un giorno, in cerca di importanti informazioni, potresti anche accedere all’Office 365 del tuo studio privato pur trovandoti in ospedale. Consentendo agli utenti di accedere in via predefinita a Office 365, molto spesso l’ospedale non è in grado di sapere a quale istanza l’utente sta accedendo. Potresti collegarti per consultare i risultati del test di un paziente esterno, oppure potresti caricare le informazioni di identificazione personale di un altro paziente. L’ospedale non sarà comunque in grado di sapere cosa sta uscendo dalle sue mura, perché è solo a dover svolgere i dovuti controlli.
In che modo, quindi, gli ospedali possono distinguere le istanze private in Office 365 da quelle usate all’interno dell’ospedale? Hanno bisogno di fruire di una sicurezza che fornisca una panoramica delle istanze e controlli capillari. Le policy vanno impostate in modo che i dipendenti possano sì accedere alle loro istanze private dall’ospedale, ma senza poter caricare elementi, o magari, file con informazioni sensibili o private.
Una sicurezza che consente questo tipo di fiducia adattiva è ciò d cui ha bisogno il settore dell’healthcare, al fine di consentire una collaborazione flessibile e un’idonea condivisione delle informazioni, senza dover sottoporre pazienti o istituiti a rischi inutili.
Basta limiti: la collaborazione sicura inizia da oggi
É davvero importante ricordare che “i dati scorrono come un fiume” e troveranno sempre una fessura attraverso cui sfuggire. I medici troveranno il modo per bypassare i controlli di sicurezza, sebbene con il nobile obiettivo di salvare vite e fornire ai pazienti le migliori cure possibili.
La sicurezza nel settore dell’healthcare deve focalizzarsi su visuali ad ampio raggio e controlli capillari, in modo che si passi dai limiti che conosciamo a policy in grado di ridurre i rischi, senza però impedire il lavoro di squadra. Tra dieci anni, i CISO ripenseranno a oggi come quel tempo in cui bastava bloccare tutto per sentirsi al sicuro. Per servire i pazienti e salvare vite, l’evoluzione deve iniziare oggi. E affinché ciò si realizzi, fortunatamente esistono già soluzioni di sicurezza che garantiscono una panoramica trasparente e controlli capillari.