Affrontare su larga scala insieme ai fornitori di soluzioni il tema sicurezza nel settore Sanità, con particolare attenzione ai rischi legati agli errori umani, permette di ricavare diverse considerazioni interessanti.
La principale: uno sgravio almeno parziale di responsabilità dei diretti interessati.
A rendere tra i più appetibili per i cyberattacchi le strutture IT della Sanità non sono necessariamente i dipendenti, quanto invece la natura stessa di organizzazioni molto estese, articolate e soprattutto ricche di informazioni appetibili.
«Il settore è spesso preso di mira dai criminali con ransomware molto più aggressivi rispetto ad altri – conferma Denis Cassinerio regional sales director SEUR di Bitdefender –. La grande quantità di attacchi è opportunistica: i fornitori di assistenza sanitaria di solito hanno una vasta superficie di attacco, un ambiente eterogeneo con diversi sistemi operativi, così come i servizi cruciali forniti alla comunità».
Vulnerabili per scelta
A tutto questo, si aggiunge sì un atteggiamento spesso pericoloso in modo inconsapevole, però non solo da parte del personale. «La maggior parte degli ospedali adopera ancora scanner CT, macchine a raggi X e altre costose apparecchiature mediche con sistemi operativi non supportati come Windows XP – prosegue Cassiniero-. Anche quando si tratta di sistemi operativi moderni e supportati, i team IT sono restii ad adottare le soluzioni di sicurezza più recenti per paura di danneggiare i dispositivi e non poterli più usare fino a quando non vengano aggiornato direttamente dal fornitore».
Uno degli elementi in grado di aumentare il livello di esposizione diventa quindi una finestra di vulnerabilità più ampia rispetto a strutture dove è più facile definire policy di aggiornamento centralizzate.
D’altra parte, caso mai ci fosse bisogno di una conferma, il Verizon Data Breach Investigations Report (DBIR) del 2019 evidenzia come la motivazione più comune degli aggressori (83%) sia ormai quasi esclusivamente il guadagno economico. Solo a grande distanza seguono Divertimento (6%), Comodità (3%), Rancore (3%) e Spionaggio (2%). Non stupisce quindi in grande interesse per i cyber criminali verso le infrastrutture IT della Sanità.
La sicurezza non è solo formazione
Un altro potenziale errore è pensare di ridurre la questione a formazione e consapevolezza dei dipendenti. Fermo restando la necessità di procedure rigorose e in grado di non interferire con l’attività assistenziale, i punti di intervento sono diversi.
«Prima di tutto, valutare l’intero ambiente IT sanitario – osserva Cassiniero-. Identificare i dati critici e regolamentati, nonché come i relativi sistemi interagiscono o memorizzano i dati sensibili e regolamentati». Parte di questo processo comprende una valutazione approfondita della rete per identificare tutte le connessioni, i segmenti, i server, i servizi cloud, le postazioni remote e i terminali che catturano, gestiscono, archiviano o trasmettono i dati sanitari protetti in formato elettronico.
A questo punto, diventa possibile pensare ad azioni di monitoraggio continuo. Per proteggere adeguatamente i sistemi, gli operatori sanitari saranno chiamati a controllare più di quanto richiesto dalla normativa, monitorando l’accesso alle applicazioni e il traffico di rete molto più da vicino di quanto non faccia attualmente la maggior parte di loro. Ciò include tutti i perimetri di rete, l’infrastruttura di rete interna, le applicazioni web, le connessioni con entità coinvolte e terze parti.
In ogni caso, esattamente come succede con i pazienti, è fondamentale farsi trovare preparati in caso di emergenza. Non è infatti possibile rispondere adeguatamente a qualsiasi tipo di violazione senza un piano di risposta agli attacchi testato e collaudato. «Quando tocchiamo questo tema, molte aziende del settore sanitario affermano di avere un piano di risposta in caso di violazione. In realtà, spesso questi piani non sono adeguati o abbastanza efficaci. Senza un piano aggiornato, non c’è modo di rispondere efficacemente».
Sempre in parallelo a quanto viene richiesto abitualmente al personale sul piano professionale, anche in tema di sicurezza IT l’aggiornamento è fondamentale. Quando si introducono nuove tecnologie, come applicazioni mobile, sensori remoti, connessioni a nuovi uffici e nuovi portali Web per i clienti, è fondamentale siano modellate e valutate in base al rischio.
«Bisogna capire come ogni nuovo strumento possa influire sul livello di rischio dell’azienda e quale sia il potenziale di esposizione ai dati. Inoltre, porsi diverse domande, a partire da chi siano gli aggressori in grado di commettere violazioni e quali azioni potrebbero intraprendere dopo e come vengono attenuati i rischi. Se l’applicazione sia sicura e priva di anomalie software, come viene monitorato l’accesso e garantita l’integrità dei dati e quali garanzie di sicurezza sono necessarie per assicurarsi che sia tutto a posto».
Alla ricerca delle competenze
Solo a questo punto si può affrontare con successo il nodo spesso considerato invece il vero e proprio capro espiatoria della sicurezza IT in ospedali e cliniche. «La carenza di competenze in materia di sicurezza delle informazioni rende difficile per tutte le aziende trovare e assumere persone preparate a proteggere le loro applicazioni, i dati e i dispositivi clinici».
Nel caso specifico, la strada indicata da Bitdefender prevede un percorso di trasformazione digitale, fornendo formazione sulla sicurezza agli operatori interni che si occupano di tecnologia, lavorando con le università locali e formando amministratori, sviluppatori e altre figure aziendali.
L’obiettivo non è solo rendere consapevole il personale dei rischi di atteggiamenti a rischio. Altrettanto importante è metterlo al corrente dello scomodo ruolo di obiettivo principale da parte degli hacker. «Gli attacchi di phishing per ottenere informazioni attraverso un dipendente inconsapevole sono più semplici delle violazioni attraverso difese di rete consolidate. Uno degli errori più frequenti commessi dai dipendenti è inviare documenti sensibili a destinatari non voluti. Oppure, trasferire documenti di lavoro su e-mail personali, caricarli su siti di condivisione dati o copiarli su supporti rimovibili come le chiavette USB, tutte azioni che potrebbero portare alla violazione delle norme GDPR».
Dal canto loro, anche amministratori di sistema qualificati ed esperti a volte commettono sbagli. Diversi report mostrano come gli errori di configurazione del sistema, le cattive pratiche nella gestione delle patch e l’uso di nomi utente e password predefiniti siano ancora troppo comuni. Per ridurre gli errori umani nell’assistenza sanitaria, un’azienda dovrebbe iniziare a implementare controlli di sicurezza per monitorare chi ha accesso ai dati dei pazienti.
Soluzione di sicurezza su misura
Vastità e complessità del problema lo rendono uno di quelli impossibili da risolvere con un’unica soluzione. Ai responsabili IT è quindi richiesta anche l’abilità di individuare e combinare i singoli moduli. «La soluzione dovrebbe essere facilmente scalabile utilizzando un’architettura a container virtuale ed essere eseguibile su qualsiasi piattaforma di virtualizzazione, accelerando il processo di distribuzione. Rafforzando il controllo di sicurezza tra endpoint fisici, virtualizzati e mobile attraverso una console amministrativa unificata, le attività possono essere ottimizzate, eliminando soluzioni singole non integrate».
La stessa normativa, indica proprio questa come direzione da intraprendere. «I requisiti HIPAA/HITECH per la privacy e la sicurezza si estendono a una vasta gamma di settori tecnologici all’interno delle aziende sanitarie, inclusi siti Web, dispositivi medici, cartelle cliniche elettroniche e sistemi di archiviazione e comunicazione (PACS) – conclude Cassiniero -. È improbabile che esista una singola soluzione tecnologica in grado di soddisfare tutti i requisiti di conformità. Tuttavia, esistono strumenti pronti ad aiutare le aziende nell’affrontare e rispettare alcune delle direttive richieste».
