Il Cost of a Data Breach Report 2020 di IBM e Ponemon Institute ha riportato che le aziende farmaceutiche e biotecnologiche sono quelle che subiscono il maggior numero di attacchi informatici, i cosiddetti breach. Il motivo di questo interesse è senz’altro il fatto che il settore farmaceutico è in costante crescita, un segmento industriale dove ricerca e sviluppo sono le chiavi del successo, e diventa di fondamentale importanza primeggiare in questi ambiti. Il costante aggiornamento digitale delle aziende e la ricchezza di dati sensibili in loro possesso, poi, le rendono appetibili agli hacker. Si stima che nel mercato del dark web la compravendita di informazioni sanitarie abbia valori tra le 20 e le 50 volte superiori a quelli di altro tipo. Durante la pandemia Covid, ad esempio, le aziende farmaceutiche hanno visto un forte incremento dei cyber attacchi, derivati soprattutto dalla preziosa fonte di informazioni riguardanti i vaccini: a fine 2020 risultavano 7 le industrie del settore prese d’assalto dagli hacker.
Così, negli ultimi anni il tema della “Data Integrity” è diventato sempre più attuale, la protezione del dato è alla base di tutto il sistema il sistema. La sigla ALCOA, acronimo introdotto all’inizio degli anni ’90 dalla FDA, che definisce un insieme di principi a salvaguardia dell’integrità dei dati, sta a riassumere le caratteristiche che devono avere i dati, ovvero: attribuibili, leggibili, contemporanei, originali e accurati. Il concetto di ALCOA è stato esteso negli anni ad ALCOA+ che richiede che i dati siano anche completi, coerenti, duraturi e disponibili per il loro intero ciclo di vita.
Innanzitutto bisogna distinguere tra OT (Operation Technology) e IT (Information Technology). Se l’IT è l’informatica tradizionale, quella, per intenderci, dei gestionali, delle applicazioni di calcolo e scrittura; l’OT è l’informatica che controlla i processi e le linee nei reparti produttivi. La Security IT ha come obiettivo la difesa del dato, la Security OT mira a difendere l’impianto controllato dal sistema di controllo/automazione. Se vogliamo semplificare, nell’IT è importante proteggere i dati, la IP (Intellectual Property), la Privacy (vedi GDPR), la Reputation, i dati di Business, l’esposizione dell’Azienda sul WEB. Per l’OT sono importanti i sistemi di produzione, della supply chain, OEE, Tracciabilità, Qualità, Operation Continuity, ecc. In quest’ultimo caso il rischio non è tanto la perdita del dato, quanto la perdita del controllo del sistema e quindi rischio per l’incolumità delle persone sull’impianto, per danni agli asset stessi dell’impianto, la perdita di qualità, di produzione, di efficienza ecc..
In un settore come quello farmaceutico, tra la protezione del dato e la protezione del sistema c’è però una stretta interconnessione. Se la linea produttiva si ferma (per un cyber attacco o per un altro motivo), la produzione di farmaci, ovviamente, si stoppa. Tuttavia lo stesso accade in caso di perdita dei dati, anche se l’impianto produce regolarmente, perché non saremo in grado di etichettare e tracciare i lotti, così come richiesto dalle normative, né garantire la qualità attesa di ogni singola produzione .
Nelle nuove linee guida GAMP 5 per la convalida dei sistemi computerizzati nel settore farmaceutico, pubblicate a luglio 2022, gli aspetti riguardanti la sicurezza informatica hanno un capitolo importante, sono stati introdotti i test di integrità delle copie di backup, il BCP (Business Continuity Plan), il DR (Disaster Recovery), la perdita della infrastruttura IT, il service provider, l’accesso ai locali, la connettività, gli attacchi di cybersecurity fino alla perdita dell’applicativo software.
Foto di cottonbro studio