Più della capacità di sviluppare una soluzione di sicurezza IT per ogni singolo scenario, per garantire la sostenibilità economica la vera abilità è nel riuscire ad applicare la giusta combinazione di strumenti generici.
Sotto questo punto di vista, anche in un settore delicato come la Sanità i pericoli possono essere tenuti sotto controllo, a prescindere da che e da dove possano arrivare, senza gravare più del necessario sui bilanci.
«Per mettere in sicurezza le strutture sanitarie è necessario prima di tutto fare il possibile per impedire accessi non autorizzati alla rete – spiega Morten Lehn, general manager Italy di Kaspersky -. Alcune regole base potrebbero essere sufficienti, a partire dall’utilizzare sempre password complesse per proteggere tutte le connessioni esterne. Le password dovrebbero essere utilizzate anche per difendere le applicazioni dei dispositivi medici della rete locale da accessi non autorizzati».
Responsabilità da condividere
Per quanto all’apparenza banale, anche solo per superficialità e carenza di consapevolezza nell’utente, le password restano infatti uno degli anelli più deboli nella catena della security. Dal canto loro però, anche i responsabili IT sono chiamati e non sottovalutare alcune regole base.
«È molto importante aggiornare sempre i criteri di sicurezza IT e gestire in modo efficiente l’aggiornamento delle patch in tempo reale – precisa Lehn -. Quando si parla di informazioni critiche, è fondamentale anche eseguire regolarmente il backup dati e mantenerne offline una copia».
A proposito di informazioni critiche, pochi altri scenari superano il settore della Sanità. Infatti, è relativamente facile considerare come il rischio più facilmente percepibile da parte degli operatori del mondo sanitario sia sicuramente il furto di informazioni sui pazienti. Dati da sfruttare per sferrare attacchi informatici verso obiettivi ben definiti.
Sicurezza, rischio distribuito
Il vero nodo però, è la combinazione con altri fattori di rischio. «Un ospedale moderno è un sistema complicato –riflette Lehn -. Dispone di sofisticati dispositivi medici, alcuni dei quali direttamente impiantati nel corpo umano, e di diversi sistemi collegati a Internet e gestiti da remoto, come i sistemi di controllo dell’aria e della temperatura dell’ospedale, gli ascensori e costosissime apparecchiature diagnostiche».
Tutti sistemi di vitale importanza. Se compromessi, potrebbero influire sull’operatività delle strutture e mettere a rischio la vita dei pazienti. Gli esempi non mancano, a partire da interruzioni totali delle attività all’interno di ospedali e strutture sanitarie colpite da cyberattacchi più o meno mirati. Non sono disponibili dati ufficiali sulla realtà italiana, ma non più tardi dello scorso giugno, ben quattro ospedali in Romania hanno subito un attacco ransomware, mentre casi simili sono avvenuti anche in Paesi come gli Stati Uniti, la Germania o l’Australia.
A moltiplicare l’esposizione intervengono inoltre alcuni fattori tipici degli ambienti medicali. «Un hacker potrebbe accedere a risonanze magnetiche, apparecchiature cardiologiche, apparecchiature radiologiche e altre collegate a Internet, sfruttando l’insufficiente competenza IT del personale – avverte il general manager di Kaspersky -. Molti di questi dispositivi funzionano ancora con il sistema operativo Windows XP e presentano quindi decine di vecchie vulnerabilità senza patch. Senza dimenticare il rischio di vecchie password di default invariate, facilmente reperibili nei manuali pubblicati su Internet».
Il peso del fattore umano
Alla base di tutto però, come vero primo fattore di rischia si ripropone il comportamento umano. Più ancora della maggiore incidenza a preoccupare sono le diverse situazioni in cui un operatore sanitario si trova a dover interagire con i sistemi informatici. «Da una nostra ricerca emerge come la principale vulnerabilità per le imprese sia costituita dal comportamento dei dipendenti. L’80% degli incidenti informatici è causato da un errore umano e questo ovviamente vale anche per il settore sanitario. Inoltre, l’assistenza sanitaria digitale consente a un numero sempre maggiore di personale medico, non adeguatamente formato in tema di sicurezza informatica, di accedere e condividere i dati personali dei pazienti».
Calibrare la giusta risposta in termini di difese, dal punto di vista Kaspersky significa prima di tutto concentrarsi sull’affidabilità dei dati, con relativa gestione e accessibilità. «Parlando di autenticazione, proponiamo tra l’altro una soluzione di Fraud Prevention capace di garantire autenticazione avanzata a protezione del perimetro esterno, per mettere al sicuro i repository di dati personali sensibili, tagliando anche i costi legati agli utenti non legittimi e mantenendo elevati i tassi di rilevamento delle frodi in tempo reale».
A un ulteriore modulo per la protezione da furti perdita o danneggiamento delle informazioni relative a pazienti e personale, è ormai diventato indispensabile dedicare attenzione a una questione emergente.
«Un’altra soluzione necessaria riguarda ormai i dispositivi IoT, aumentando anche la sensibilità legata al concetto di security-by-design, vale a dire un percorso progettuale che fin dall’inizio prenda in esame le potenziali criticità legate alla cybersecurity».
Per completare il quadro, resta da affrontare l’argomento sempre delicato della formazione. Nel caso della sanità, reso ancora più impegnativo dalla molteplicità di ruoli e dalla difficoltà di pianificare corsi accessibili a dipendenti distribuiti su turni e spesso in reperibilità.
«Al riguardo abbiamo messo a punto una serie di soluzioni computer-based – conclude Morten Lehn -. L’obiettivo è favorire una maggiore consapevolezza dei rischi dei problemi di sicurezza nello staff e fare in modo che si sviluppino competenze di carattere pratico, anche per una corretta gestione dei dati in ambito sanitario».
