La pandemia ha messo in luce la grande fragilità del perimetro informatico del mondo ospedaliero. In questo settore, i danni economici si sommano a quelli ancor più gravi legati alla salute pubblica. Quali sono le sfide più complesse per la cybersecurity?
Secondo Paolo Heuer, Director della BU Cybersecurity e Massimiliano Tacconi, Director della BU Healthcare, di 4wardPRO un tassello chiave per la crescita della cybersecurity nel settore sanitario è la collaborazione attiva fra i vari vendor di soluzioni tecnologiche
Da sempre la sanità pubblica e privata presenta fragilità dal punto di vista della protezione informatica, spesso comuni anche ad altri mercati, e una delle principali è l’obsolescenza dei sistemi informativi. Un punto di attenzione importante, come confermato anche dal PNRR che ha destinato oltre 15 miliardi alla progettualità per rinnovare il parco installato delle apparecchiature per la diagnostica e i sistemi informativi sanitari, territoriali e ospedalieri.
E non parliamo solo di apparecchiature, come evidenzia una ricerca dell’IMIS – Istituto per il management dell’innovazione in sanità: almeno il 40% del parco hardware esistente ha più di 5 anni di vita ed è quindi ai limiti dell’obsolescenza, e il software sembra viaggiare di pari passo con l’età media dell’hardware, ponendo serie difficoltà a chi deve proteggere l’organizzazione.
La cybersecurity, inoltre, è spesso in secondo piano perché da sempre le organizzazioni sanitarie scelgono le applicazioni in base alla risposta clinica che possono fornire e non alla loro security. Molte app oggi non hanno quindi elementi di cybersecurity integrati, accettano password minime, sono molto datate (alcune girano ancora su Windows2000) ed è anche molto difficile poterle cambiare perché ampiamente utilizzate dalle organizzazioni che pongono diverse resistenze.
A causa anche della pandemia, inoltre, le esigenze di condivisione sono aumentate in modo rapido e consistente: le possibilità di fare telemedicina e avviare teleconsulti da remoto stanno aprendo nuove sfide nell’assistenza a distanza del paziente. Avere dovuto dotare la propria organizzazione, rapidamente e su vasta scala, di dispositivi e sistemi per portare avanti l’assistenza a distanza, ha generato problemi aggiuntivi, ponendo nuove sfide alla protezione delle reti e di un perimetro sempre più esteso. Avere tanti sistemi diversi e punti accesso differenti alle reti e all’ospedale su tutto il territorio, infatti, comporta una estrema difficoltà nella gestione e nel controllo.
La sfida maggiormente complessa che si presenta oggi al settore sanitario è quindi quella di adottare un approccio metodologico di controllo e di governance di tutto il proprio parco applicativo e dei sistemi informativi.
I ransomware costituiscono una delle peggiori minacce per tutte le organizzazioni, e a maggior ragione quando si tratta di società e istituzioni sanitarie. A che punto è la trasformazione digitale in quest’ambito, dopo un anno vissuto fra mille incertezze?
La sfida dei ransomware è aperta a tutte le aziende e si fa ogni giorno più pressante. Dal punto di vista delle organizzazioni sanitarie la questione è particolarmente sentita per la presenza dei dati sensibili clinici, il vero problema quindi non è un furto di dati dell’azienda, ma l’impatto sugli utenti, sulle loro cartelle cliniche e sulle terapie.
Al momento i cybercriminali si muovono su due binari distinti: alcuni gruppi scelgono eticamente di non attaccare le strutture sanitarie e si concentrano su altri settori per trarre profitto, altri invece colpiscono a caso sfruttando ogni possibile vulnerabilità.
La maggior parte delle volte la violazione della cybersecurity avviene tramite l’endpoint: i criminali accedono tramite l’utente, che nel caso healthcare spesso è concentrato sugli aspetti sanitari, come la visualizzazione o la trasmissione del referto, e non si preoccupa della security, perché vede nel device un puro strumento informatico per accedere al dato.
Il primo passo è quindi rendere gli utenti e l’azienda partecipi promuovendo una maggiore consapevolezza su come affrontare le minacce. Si tratta di un impegno fondamentale per 4wardPRO che, attraverso le proprie soluzioni, si adopera per stimolare la consapevolezza dell’utente finale, mettendolo alla prova tramite percorsi guidati di training per il riconoscimento di un messaggio malevolo.
Un altro aspetto indispensabile per affrontare i ransomware sono i piani di backup che ogni azienda dovrebbe avere già avviato e gestito con il giusto controllo. Il problema spesso sta nella differenza tra teoria e pratica: diverso è effettuare test di disaster e recovery, dal doversi trovare improvvisamente a utilizzare il back up.
Di certo oggi è necessario utilizzare strumenti evoluti per il riconoscimento minacce, capaci di identificare i veicoli, le azioni malevole e i processi che si stanno insinuando. In questo contesto, i sistemi Endpoint Detection and Response (EDR), che raggruppano gli strumenti avanzati che hanno il compito di rilevare minacce su endpoint ed eseguire attività di indagine e risposta sono ormai sistemi indispensabili alla difesa informatica aziendale e in fase di adozione da parte di tutte le organizzazioni.
Il ransomware cripta i dati ed è quindi necessario cercare in tutti i modi di arginare la sua propagazione e quindi la raggiungibilità da parte del sistema infetto di altri sistemi – sia client che server. Le soluzioni applicative 4wardPRO interpretano un accesso dal client al server tramite web services, interfacce applicative che non possono essere sfruttate dal ransomware. In questo modo sono in grado di impedire l’introduzione di malware rispetto alla “cassaforte dei dati fisici”.
Prima di lanciare il ransomware i cybercriminali devono poter avere effettuato un breach serio, essere all’interno del server e accedere a tutta l’infrastruttura per criptare tutto. Il punto è che non devono poter arrivare all’intero ma fermarsi sul client. Per fare questo è necessario non utilizzare più file server ma sistemi documentali e tutto tramite interfacce web senza avere un accesso puro al dato.
Infine, esfiltrate dati che non possono essere letti implica una perdita di valore e porta gli hacker a rivolgersi verso altri obiettivi più facili da sfruttare. Per questo per alcuni clienti in ambito healthcare abbiamo anche crittografato i dati garantendo una tutela della privacy ancora maggiore, che rende non solo non sfruttabile il dato in caso di sottrazione, ma facilita tutte le operazioni amministrative, in quanto il sistema non è in grado di vedere il nome paziente.
Quali soluzioni concrete proponete alle organizzazioni sanitarie per migliorare la cybersecurity, alle prese con problemi critici come shadow IT, perimetro informatico polverizzato e protezioni preesistenti di molti vendor fra loro non sempre compatibili?
Le tematiche citate sono importanti: lo shadow IT tocca tutte le organizzazioni, non solo gli ospedali, e trova la sua controparte in quello che l’ospedale offre agli utenti. Quello che abbiamo notato è che la maggior parte delle volte si utilizzano sistemi diversi rispetto a quelli messi a disposizione dell’azienda solo perché non li si conosce veramente o non si ritiene che l’applicativo messo a disposizione dalla propria organizzazione sia produttivo come gli altri. Anche in questo caso il vero problema è la consapevolezza e la formazione degli utenti.
Spesso le organizzazioni IT si scontrano con abitudini radicate e con una mancanza di coscienza delle potenzialità delle varie soluzioni che vede i clienti in ambito healthcare, ad esempio, utilizzare sistemi consumer anche se hanno sistemi aziendali, un esempio sono le tante chat e sistemi di videochiamata utilizzati come alternativa a Microsoft Teams.
Per quanto riguarda la polverizzazione del perimetro, non si può più pensare di poter mantenere tutte le informazioni on premise, anche se molti dati critici rimangono ancora all’interno dell’infrastruttura una buona parte delle operation e dei dati che le riguardano risiede ormai fuori dal perimetro. Molte aziende hanno adottato Microsoft Office 365 e di fatto si sono aperte a sistemi enterprise certificati fuori dal proprio perimetro.
Di per sé non avere tutto all’interno non rappresenta un problema ma rende necessario compiere alcune azioni per garantire alla security di evolvere attraverso le metodologie più corrette e riuscire a individuare quello che succede su tutti i sistemi.
Un ruolo fondamentale lo deve giocare la cooperazione tra tutti gli interlocutori nel mondo della cybersecurity. Oggi i vendor si stanno rendendo conto che non possono pensare di essere unici, di non essere tra loro compatibili. Il cliente oggi preferisce avere un unico strumento che permetta di vedere tutto lo stack piuttosto che scegliere 10 vendor diversi con un impegno richiesto molto maggiore in termini di risorse e di costi. Per questo, ad esempio, Microsoft ha reso il suo SiEM (Security Information and Event Management) per il logging e l’analisi degli eventi di sicurezza collegabile a tantissimi vendor di terze parti.
4wardPRO non sceglie soluzioni specifiche per affrontare una singola esigenza di mercato, ma una tecnologia che garantisca una visibilità completa anche a livello applicativo. Il nostro Clinical Data Repository integra in un contenitore ampio e personalizzabile le informazioni cliniche provenienti da tutta la struttura sanitaria rendendo possibile accedere ai dati con un’unica interfaccia, un livello cybersecurity massimo, e creando una sorta di “cassaforte dei dati” che non si potrebbe realizzare su singoli sistemi legacy. Allo stesso tempo la nostra soluzione estende il sistema informativo della struttura sanitaria integrando anche i sistemi legacy, ai quali, gli operatori, potranno accedere quotidianamente in modo sicuro e nel rispetto degli standard di cybersecurity aziendali. La soluzione si pone un obiettivo importante: promuovere standard coerenti con le specifiche nazionali e regionali del Fascicolo Sanitario Elettronico e gestire al meglio la trasmissione dei referti, con l’obiettivo di supportare la condivisione dei dati clinici e la trasformazione digitale del settore dell’Healthcare.
