Interactive

Cyber security: quando i dispositivi wearable minacciano la privacy

La cronaca delle ultime settimane offre alcuni spunti particolarmente interessanti sul tema della raccolta e della diffusione dei dati privati, in particolar modo per quello che concerne i dati sanitari.

Da un lato il caso del brasiliano Jorge Freire, professione pubblicitario, che notando una frequenza cardiaca troppo alta segnalata dal suo dispositivo Apple Watch ha pensato bene di andare in ospedale, evitando così un infarto: esempio virtuoso di come la tecnologia possa letteralmente salvarci la vita, tanto che lo stesso Tim Cook, Ceo di Apple, è intervenuto facendo i suoi auguri al protagonista della vicenda.

Dall’altro lato la notizia, arrivata da oltreoceano, di oltre un miliardo di referti che sarebbero finiti online, scaricabili e consultabili liberamente da chiunque sia in possesso di una connessione Internet: dati che nelle mani sbagliate potrebbero essere impiegati per pratiche illecite.

Si tratta di due notizie che dipingono uno scenario sempre più attuale, spingendo a considerare i rischi a esso connessi. Che i weareble devices si stiano diffondendo a macchia d’olio è un dato di fatto, allargandosi dal mondo dello sport e del wellness a quello healthcare e sanitario, ciò che ha comportato una modifica radicale della conservazione del dato sanitario: se fino a qualche tempo fa, infatti, erano conservati in cartelle cliniche cartacee, nei documenti sanitari presso i medici di base sul territorio o in laboratori di analisi cliniche private, in futuro essi, oltre ad essere presenti nei database internazionali di dati sanitari e ricerca, saranno registrati, appunto, nei wearable devices e nei mobile devices medicali.

È evidente come i dati biometrici e sanitari, per loro stessa definizione, siano ritenuti sensibili e particolarmente delicati: basti pensare all’impatto che può avere sul titolo azionario di un’azienda sapere che il proprietario o l’amministratore delegato soffra di una grave patologia, oppure sapere che uno stakeholder importante di un’organizzazione o di un ente conduce uno stile di vita rischioso.

Si tratta di rischi la cui portata non è ancora pienamente compresa, mentre invece occorrerebbe la diffusione di una seria cultura: ne è convinto Alberto Zannol, CEO di Mobisec, azienda trevigiana che dal 2015 lavora per portare le metodologie classiche di cyber security in ambito mobile. L’azienda ha collaborato e collabora anche con la Pubblica Amministrazione – Regione Toscana e Regione Lombardia – fornendo servizi di mobile security a tutela delle app per la sanità elettronica e dei dati sanitari dei cittadini. “In generale i servizi che prestiamo alle aziende private hanno ancor più ragione di essere per le P.A. e per gli enti sanitari, ma è un mercato con delle ‘resistenze’ all’ingresso”, commenta nella nota Alberto Zannol.

Resistenze sulle quali è necessario lavorare in tempi rapidi, dal momento che i device wearable in campo medico saranno nei prossimi anni il vero game changer della vita quotidiana: dalla promozione diretta o meno di uno stile di vita migliore, all’automedicazione, al supporto alla pratica medica a distanza o asincrona, diventeranno un elemento che pervaderà la nostra sfera fisica quotidiana

Quale che sia il segmento di applicazione, sanitario, wellness, office, produttività, il wearable avrà una diffusione dirompente nel breve-medio periodo: ma quando si entra nel terreno dello stato di salute del singolo, è evidente che i danni in caso di breach potrebbero essere disastrosi. In che modo dunque proteggere il dato sanitario e limitare i danni?

“Il dato sanitario deve essere protetto sia nell’accesso, sia nell’autorizzazione che nel trattamento in diversi momenti e quindi al giorno d’oggi in diversi luoghi, fisici o virtuali che siano”, continua Zannol. “Il dato deve essere protetto quando viene creato, quando viene salvato, quando viene usato e/o modificato: purtroppo queste fasi, che un giorno erano relegate a specifici momenti della catena di trattamento del dato ed a specifici luoghi/usi/operatori, ora sono ricorrenti in qualsiasi momento e qualsiasi posizione del processo”.

Diventa dunque indispensabile rivedere il modello di security e protection, salvaguardando ogni fase del ciclo di vita del dato e sensibilizzando alla loro pertinenza di protezione tutti i player coinvolti nella filiera del dato sanitario. L’utente deve maturare una maggior consapevolezza del mezzo e deve considerare il device mobile come uno strumento; la Pubblica Amministrazione deve garantire la modalità di formulazione della normativa (raccomandazioni e obblighi), promulgata da un organo di governo, regolatorio e in quanto tale interessato all’indicazione di principio e di tutela; il mercato e i Solution Provider, infine, devono aumentare la cultura e la specificità del mondo mobile per adeguare metodologie e prassi di security e protection a oggi non ancora compartimentate sul nuovo modello di information architecture.