Paolo Spreafico, Director, Customer Engineering, Italy di Google Cloud, spiega perché SBOM e SLSA sono la ricetta per un sistema sanitario resiliente.
L’assunzione di farmaci prescritti da chiunque non sia un medico esperto è estremamente rischiosa. Lo stesso si può dire per quanto riguarda il processo e la selezione della tecnologia utilizzata per gestire un ospedale o un impianto di produzione di farmaci.
Nella scelta del farmaco idoneo, i medici tengono attentamente in considerazione gli ingredienti che lo compongono, il valore terapeutico che esso fornisce complessivamente e le condizioni del paziente. Allo stesso modo, i responsabili di cybersecurity in ambito sanitario, al fine di proteggere i dati da eventuali minacce e quindi di garantire la sicurezza dei pazienti creando un sistema sanitario davvero resiliente, hanno bisogno di conoscere a fondo e compiere un’attenta verifica e selezione della tecnologia utilizzata per gestire le cartelle cliniche.
Solitamente, le priorità della cybersecurity per l’healthcare si focalizzano sulla protezione delle informazioni sensibili, come le informazioni sanitarie protette (Protected Health Information). Il mantenimento della privacy delle cartelle cliniche dei pazienti, in questo senso, è un obiettivo importante e la protezione dei dati e dei sistemi svolge un ruolo fondamentale.
I responsabili dei sistemi sanitari dipendono, quindi, dagli esperti di cybersecurity per selezionare tecnologie e service provider in grado di soddisfare le norme di protezione dei dati. Spesso questa è la loro prima (e talvolta unica) priorità e la tendenza è quella di affidarsi alla notorietà dei fornitori e ai loro programmi di compliance senza effettuare ulteriori controlli.
SBOM e SLSA, la ricetta di Google Cloud
I dirigenti dovrebbero affrontare ogni scelta come una decisione ad alto rischio e ad alte conseguenze. Il controllo dovrebbe comprendere un’analisi approfondita di tutti gli aspetti del software e dell’hardware, della loro architettura e qualità ingegneristica, della provenienza di tutte le parti di cui sono composti e della valutazione del rischio di ciascun componente. Spesso questo richiede competenze tecniche approfondite e una conoscenza avanzata delle minacce che prendono di mira le apparecchiature mediche che, nella maggior parte dei casi, non è di facile acquisizione. In effetti, sono poche le organizzazioni sanitarie che possiedono le competenze, le risorse e il tempo per vagliare minuziosamente la sicurezza incorporata nella tecnologia che acquistano prima che venga utilizzata all’interno delle strutture di cura.
In questo scenario, riteniamo sia opportuno focalizzare l’attenzione su due elementi chiave per rendere sicura la tecnologia utilizzata e costruire un sistema resiliente: il Software Bill Of Materials (SBOM) e il framework SLSA (Supply chain Levels for Software Artifacts).
La National Telecommunications and Information Administration definisce lo SBOM come un elenco di ingredienti che costituiscono i componenti del software. Ma a differenza di una ricetta utilizzata per produrre un farmaco, ad esempio, un SBOM tiene traccia anche delle versioni software dei componenti e dei sottocomponenti. Grazie alla continua attenzione al miglioramento e all’utilizzo degli SBOM, si prevede che sarà molto più facile sfruttarli per tenere traccia del software e dei suoi componenti, della loro provenienza e delle vulnerabilità di sicurezza che contengono. Questo doterà i professionisti della sicurezza della capacità di impedire che tali vulnerabilità vengano sfruttate, con ampia scalabilità e prima che abbiano un impatto sulle cure dei pazienti.
I produttori di tecnologia, i responsabili e gli operatori di qualsiasi settore possono utilizzare queste informazioni per comprendere a fondo i rischi che i prodotti comportano per i pazienti e il sistema sanitario. Un SBOM, in questo caso, può mostrare se il software utilizzato su un dispositivo medico è semplicemente obsoleto oppure se è vulnerabile a un attacco informatico che potrebbe comprometterne l’utilizzo sicuro.
Come misura aggiuntiva, le organizzazioni sanitarie che utilizzano gli SBOM devono assicurarsi di poter contare sul fatto che gli SBOM su cui fanno affidamento non siano stati modificati da quando il produttore li ha prodotti. I produttori di software, per difendersi da questo problema, possono firmare crittograficamente i loro SBOM, rendendo più facile identificare se uno di questi è stato alterato in modo doloso dalla sua prima pubblicazione.
L’uso degli SBOM aiuterà quindi le organizzazioni a ottenere una completa visibilità sulle tecnologie implementate nelle strutture sanitarie e consentirà ai difensori di proteggere in modo più efficace la sicurezza e la privacy dei dati dei pazienti.
Lo SBOM da solo però non è sufficiente a rendere l’intera supply chain del software resiliente. Per venire incontro a questa problematica in Google Cloud abbiamo creato il framework SLSA e servizi come Assured Open Source Software.
SLSA è una guida per la sicurezza delle software supply chain che utilizza un insieme di istruzioni incrementali e applicabili, in grado di creare automaticamente metadati verificabili. Questi metadati daranno luogo a una “certificazione SLSA” per un particolare pacchetto o piattaforma di compilazione: una conferma verificabile per i consumatori – mai esistita prima su larga scala – che il software che utilizzano non sia stato manomesso.
Inoltre, Assured Open Source Software offre alle organizzazioni la possibilità di utilizzare gli stessi pacchetti software regolarmente testati e protetti che Google utilizza per creare il proprio software proprietario. In combinazione con uno SBOM, i produttori di tecnologia possono realizzare prodotti affidabili, sicuri e verificabili. Allo stesso modo, la maggior parte degli acquirenti di tecnologie, come quelli che gestiscono il sistema sanitario locale, possono utilizzare gli stessi meccanismi per ottenere visibilità sulla sicurezza e sull’idoneità all’uso di una tecnologia.
In definitiva, non è possibile costruire un sistema sanitario resiliente focalizzandosi esclusivamente sulla privacy dei dati, bensì occorre dare vita a un cambiamento e a uno shift di priorità verso la sicurezza e la trasparenza della tecnologia alla base delle reti dei sistemi sanitari. SBOM e SLSA hanno il compito di aiutare a realizzare questo cambiamento.
