La cybersecurity è uno dei temi più caldi e sotto pressione per il settore sanitario. Le notizie di cronaca hanno messo in evidenza le difficoltà e le lacune delle organizzazioni e degli ospedali.
Uno dei punti deboli è la vastità del perimetro di attacco, rappresentato da un numero enorme di device IoT. Questi dispositivi, irrinunciabili per la loro funzione medicale e diagnostica, rappresentano anche un’opportunità di attacco per i cybercriminali.
Ne parliamo con Davide Pala, Senior Presales Engineer di Stormshield Italia, che segue la tematica da vicino.
Quali sono le considerazioni da fare per avere una visione olistica in ambito ospedaliero?
In ambito ospedaliero i device IoT sono spesso considerati come asset. La loro compromissione ha due possibili conseguenze: l'indisponibilità dell’apparecchiatura, fatto già di per sé potenzialmente grave a dipendenza della funzione ascrittale, e – nel peggiore dei casi – l’integrazione indebita del device in una delle molteplici botnet che, sull'onda di Mirai, caratterizzano il panorama dell'offerta DDoS nei marketplace del dark web.
Assegnare ruoli essenziali a questo tipo di apparecchiature può quindi rivelarsi oltremodo pericoloso, ma prima di entrare nel merito di questa affermazione occorre analizzare il concetto di IoT e per quale motivo i device afferenti a tale categoria diventano oggettivamente elementi meritevoli di attenzione in un contesto di cybersecurity.
L'acronimo IoT sta per Internet of Things, una categoria in cui ricadono oggetti aventi funzioni specifiche (ventilatori, luci, allarmi, macchinari in genere, apparecchiature elettromedicali e molto altro) di comunicare con altri dispositivi o elementi di controllo. Lo scopo di queste comunicazioni può andare dall'automazione al telecontrollo.
Questa integrazione tra sistemi è frutto in generale della necessità di semplificare, automatizzando, la gestione di infrastrutture sempre più complesse. Proprio la complessità ha reso necessario questo sviluppo tecnologico, che a sua volta ha aperto la strada a nuovi scenari e sempre più articolati, creando di fatto un meccanismo che si autoalimenta e che è destinato a cambiare l’erogazione dei servizi sanitari.
Sebbene i primi passi nell'interconnessione delle cose fossero poco più che meccanismi basati sul rapporto causa/effetto, dove sensori innescavano attuatori in corrispondenza di soglie date, si è presto giunti a interfacce di comunicazione potenti, a strumenti dotati di capacità di calcolo paragonabili a quelle dei PC che tutti conosciamo.
Parliamo quindi di veri e propri terminali, ma con importanti differenze, rispetto all’endpoint tradizionale, che in questo specifico contesto corrisponde ad una qualsiasi postazione operatore, ossia a quello che, al netto di eventuali servizi esposti ad internet, è nella cybersecurity uno dei punti di accesso alla rete dell’organizzazione maggiormente sfruttati se non addirittura il principale.
In sostanza possiamo dire che la maggior parte degli attacchi ai danni di infrastrutture informatiche vede come primo step la compromissione di una postazione utente. Il perché di questa statistica trova spiegazione nel fatto che l'operatore, in quanto umano e fallibile, è spesso l'anello debole della catena.
Questo trend ha portato nel tempo alla definizione di modelli di difesa sempre più sbilanciati verso la protezione degli endpoint, il che significa che buona parte degli sforzi delle organizzazioni in tema di cyberdifesa è concentrata sull'analisi e la protezione di queste postazioni tramite anti-malware, sistemi di identificazione delle anomalie e di controllo del traffico dati.
Come già menzionato, in termini di capacità di calcolo i device IoT non sono molto dissimili dagli endpoint, essendo di fatto spesso dotati di veri e propri sistemi operativi. Certo non potranno eseguire calcoli particolarmente complessi ma hanno tutte le carte in regola per poter essere utilizzati come ponti di comunicazione tra un'attaccante e l'infrastruttura attaccata. In questo scenario il device IoT entra appieno in nuove strategie che lo vedono parte integrante dell'attacco all'organizzazione.
La gravità di questa potenzialità da un punto di vista di security è che a differenza della normale postazione di lavoro il device IoT non è presidiato, non è dotato di anti-malware o di sistemi di analisi, è raramente aggiornato e non rientra nella visibilità su client e host tipicamente appannaggio dell'amministratore di sistema. Questa condizione rende i device IoT vittime ideali di un qualsiasi attaccante. Una situazione ad oggi ampiamente sottovalutata.
Come spesso ricordato, la sicurezza informatica non è un prodotto ma bensì un processo. Quali sono i consigli di Stormshield per elevare il livello di consapevolezza sulla cybersecurity nelle organizzazioni sanitarie?
Il problema della consapevolezza è un tema che risale agli albori della sicurezza informatica, ne parliamo da decenni in maniera trasversale, poiché non riguarda esclusivamente le organizzazioni sanitarie, pur assumendo in questo ambito un’importanza capitale: qualsiasi organizzazione afferente al mondo della sanità tratta dati la cui rilevanza a livello giuridico è di diversi ordini di grandezza superiore al normale dato generico.
Occorre costruire quindi una consapevolezza relativa al trattamento e alla messa in sicurezza generale dei dati sensibili, dalla loro iniziale raccolta alla gestione quotidiana. Inoltre, gli operatori deputati a gestire determinati tipi di dati, devono avere una profonda comprensione di quello che è il valore degli stessi in termini legali, processo che spesso può risultare complesso e di difficile misurazione. È quindi importante che la stessa organizzazione riduca al minimo le funzionalità disponibili nelle singole postazioni di lavoro in piena ottemperanza al principio dei minimi privilegi, secondo cui un operatore deve essere dotato solo dei privilegi essenziali allo svolgimento delle proprie funzioni, concetto semplice ma raramente applicato. Il mercato offre soluzioni in grado di agevolare questo processo, si tratta di soluzioni che implementano restrizioni specifiche sulla base di criteri definiti dagli amministratori.
Dato che le strategie di sicurezza in contesto sanitario sono palesemente dato-centriche è inevitabile affrontare il tema della data protection. Oggi la protezione del dato è un tema che andrebbe trattato partendo dalla stessa definizione del concetto di dato fino ad arrivare alle varie forme dello stesso e alle piattaforme di archiviazione e conservazione, un tema che viene tralasciato proprio a fronte della sua complessità.
Tuttavia, le organizzazioni sanitarie non possono prescindere dalla messa in sicurezza dei propri dati, un compito che soluzioni disponibili sul mercato possono semplificare. Calando le stesse in un processo multidisciplinare è possibile abbassare il livello di rischio legato alla garanzia di confidenzialità delle informazioni fino a renderlo accettabile. Ciò conferma il beneficio intrinseco di un approccio al tema della sicurezza come processo.
Adottare le migliori soluzioni è fondamentale, per proteggere un ecosistema immenso ed eterogeneo come quello di un ospedale. Quali sono le vostre proposte tecnologiche per aiutare i team IT a mettere in sicurezza la propria organizzazione?
Le soluzioni migliori sono a nostro avviso quelle che si rivelano più idonee a soddisfare le esigenze di sicurezza avendo cura di non inficiare il regolare decorso dei processi aziendali. Proprio per questo motivo da sempre ci focalizziamo sullo sviluppo di prodotti in grado di adeguarsi al contesto in cui vengono impiegati e ai processi da tutelare e quindi altamente compatibili con gli ambienti preesistenti, inclusi scenari di second line of defense.
Questa filosofia è traslata in tutte le nostre linee di prodotto. Nell’ambito del firewalling e dell’intrusion prevention le nostre soluzioni Stormshield Network Security possono essere implementate in maniera del tutto trasparente senza modificare in alcun modo la struttura della rete, che viene comunque tutelata attraverso tecnologie allo stato dell’arte certificate ai massimi livelli in Europa. In un contesto di telemedicina o di erogazione di servizi sanitari digitali, ad esempio, è possibile cifrare le comunicazioni in maniera trasparente utilizzando meccanismi di autenticazione forte come certificati digitali emessi dall’organizzazione e quindi anche immediatamente revocabili in caso di compromissione.
In ambito endpoint offriamo con Stormshield Endpoint Security una soluzione di derivazione militare dal fingerprint estremamente ridotto, nonostante l’elevata visibilità dei processi in atto sul terminale grazie anche alla possibilità di raccogliere gli eventi generati dalla componente antimalware di Windows.
La soluzione “hardenizza” l’endpoint e convive perfettamente con soluzioni antivirus di terzi poiché agisce a livello kernel, bloccando comportamenti anomali a livello di processo. Infine, la stessa filosofia è applicata anche alla nostra soluzione per la cifratura dei dati Stormshield Data Security. Questa integra il meccanismo di protezione del dato nel dato stesso ed è quindi agnostica alla piattaforma di storage impiegata o al mezzo di trasmissione dell’informazione.
