La pandemia ha messo in luce la grande fragilità del perimetro informatico del mondo ospedaliero. In questo settore, i danni economici si sommano a quelli ancor più gravi legati alla salute pubblica. Quali sono le sfide più complesse per la cybersecurity nell’healthcare? Lo abbiamo chiesto a Maurizio Tondi, Director Security Strategy, Axitea.
I principali analisti di settore valutavano nel 2018 le dimensioni del mercato della cybersecurity sanitaria in 8,2 miliardi di dollari, con un CAGR del 19,1% dal 2019 al 2025. In realtà, tale stima non teneva in considerazione gli effetti e gli impatti collegati all’evento pandemico. Le organizzazioni sanitarie dispongono di varie tipologie di infrastrutture informative specializzate tra cui sistemi di prescrizione elettronica, di supporto alla gestione degli studi medici e alle decisioni cliniche, di radiologia e di registrazione degli ordini dei medici. Senza dimenticare le migliaia di dispositivi che compongono l’Internet of Things, tutti elementi che devono essere protetti.
Il settore sanitario con la sua soverchiante mole di dati di natura sensibile e/o privata è da sempre nel mirino dei cyber criminali per l’elevato valore del dato trafugato e per la “facilità” di accesso fraudolento. Il cyber criminale, nella sua pianificazione strategica, e valutazione del potenziale ritorno dell’investimento, considera infatti entrambe le voci prima di implementare una strategia di attacco. Come indicato dal più recente studio di Sham e Università Torino, il 24% delle strutture sanitarie sono da considerarsi sotto attacco.
Se nell’ambito della sanità pubblica, con le dovute eccezioni e casi virtuosi, si sconta mediamente come fattore di debolezza intrinseca l’obsolescenza più o meno generalizzata delle soluzioni tecnologiche a protezione di dati d applicazioni sensibili, abbinata a una fragilità delle stesse infrastrutture tecnologiche che abilitano l’erogazione dei servizi sanitari (reti, cloud, base dati, applicazioni, centri servizi, terminali e device di accesso), nella sanità privata si evidenzia come elemento di potenziale vulnerabilità l’eterogeneità dei sistemi, la limitata consapevolezza sulla sicurezza del dato e una ridotta “governance” delle infrastrutture.
A questi fattori vanno certamente aggiunte debolezze non solo legate alla salvaguardia, privacy e integrità del dato, ma al mantenimento della stessa continuità di esercizio (immaginiamo un DoS sui sistemi di sala operatoria, un blackout oppure una manomissione di alcuni sistemi diagnostici), anche in relazione alla diffusione di device IoT e sistemi più o meno automatizzati e robotizzati (es. applicazioni RPA). Anche la disponibilità di applicazioni software in modalità “agile” (con tutti gli straordinari benefici introdotti da logiche DevOps di accelerazione, sprint e rilasci che favoriscono una più rapida trasformazione del requisito funzionale in produzione) hanno spesso sacrificato alcuni componenti di cybersecurity che possono essere sfruttati dagli hacker.
I ransomware costituiscono una delle peggiori minacce per tutte le organizzazioni, e a maggior ragione quando si tratta di società e istituzioni sanitarie. A che punto è la trasformazione digitale in quest’ambito, dopo un anno vissuto fra mille incertezze?
La diffusione di attacchi di tipo ransomware è in crescita, trascinata dal potenziale valore della proposta di riscatto; dalla relativa facilità di realizzazione di tali attacchi sulla base di strategie di “kill chain” articolate, ma tutto sommato semplici da realizzare; dalla disponibilità di strumenti di attacco efficaci a costi molto contenuti; e dalla generalizzata scarsa consapevolezza del personale, fattore di debolezza critico in un contesto di accelerazione della digital transformation.
Gli incidenti di sicurezza più significativi sono causati dal phishing: la mail è in questo contesto il vettore di attacco più utilizzato perché costituisce il mezzo primario di comunicazione all’interno delle organizzazioni sanitarie. Le informazioni vengono trattate, create, ricevute, inviate e mantenute all’interno dei sistemi di posta elettronica. Di conseguenza, la sua sicurezza è fondamentale.
Quali soluzioni concrete proponete alle organizzazioni sanitarie per migliorare la cybersecurity, alle prese con problemi critici come shadow IT, perimetro informatico polverizzato e protezioni preesistenti di molti vendor fra loro non sempre compatibili?
Come nel caso del ransomware, pagare il riscatto non è certamente la soluzione corretta visto che solo l’11% del 39% delle vittime che paga recupera i dati e l’80% è oggetto di una successiva richiesta di riscatto. Solo una efficace strategia di prevenzione e protezione “olistica” può rappresentare davvero una soluzione contro il dilagare di attività criminose fraudolente. Una maggiore e più diffusa consapevolezza, congiuntamente all’innalzamento della competenza del personale sanitario, possono favorire una protezione continuativa. La governance “aumentata” in termini di pianificazione e presidio digitale delle infrastrutture e delle soluzioni è certamente la via per massimizzare anche i vantaggi di un approccio shadow all‘IT, così come la disponibilità di nuove applicazioni. Dal punto di vista tecnologico e di servizio, va posta molta attenzione alla convergenza tra i domini della sicurezza informatica e digitale con quelli relativi alla sicurezza fisica, personale ed ambientale, nelle cui pieghe spesso si annidano elementi di vulnerabilità sfruttati dagli attaccanti. La disponibilità di Security Operation Center integrati, di soluzioni innovative di micro segmentazione e di zero trust, di centri di competenza specialistica orientati alla progettazione e alla realizzazione di una strategia di sicurezza by design che collaborino con le strutture sanitarie, rappresentano asset strategici e fattori critici di successo per la protezione e gestione continuativa della cybersecurity anche in questo ambito.
