Cybersecurity e sanità. Un binomio tanto delicato quanto importante sia dal punto di vista delle infrastrutture sia per quanto riguarda la tutela dei cittadini. Il settore è infatti una rara combinazione di complessità, valore dei dati trattati e importanza nei rapporti con gli utenti. Intesi sia come sia addetti ai lavori sia come pazienti.
Un compito decisamente impegnativo per i responsabili IT chiamati a uno sforzo superiore alla media su più fronti. Dalla gestione ai sistemi a apparati alla tutela di personale e pazienti, fino alla formazione. Il tutto, con risorse per definizione sempre inferiori alle reali disponibilità.
Utile quindi una panoramica sulla cybersecurity nella sanità. Per conoscere il punto di vista, le proposte e le risposta degli specialisti del settore offrendo loro quattro spunti su cui confrontarsi.
Per Sophos, un compito affidato a Marco D’Elia – country manager dell’azienda.
Quali sono le sfide attuali per la cybersecurity, globali e specifiche del settore, nel mondo della Sanità?
Il mondo ospedaliero e sanitario rappresenta per i cybercriminali un obiettivo particolarmente interessante in quanto caratterizzato da un elevato volume di informazioni e dati sensibili che vengono salvati, condivisi e archiviati all’interno della rete e, naturalmente, l’elevato numero di processi sensibili che se compromessi possono avere conseguenze estremamente gravi dato che riguardano uno degli ambiti più importanti e complessi: la salute. Proprio per questo la minaccia più preoccupante è rappresentata dal ransomware, che può compromettere il funzionamento di macchinari salvavita e rallentare lo svolgimento di visite e interventi, bloccando i sistemi informatici e non, consentendo l’accesso e la consultazione delle cartelle dei pazienti e dei software per la gestione degli appuntamenti. Come sottolineato dal nostro Rapporto “The state of ransomware”, il 34% degli IT manager del settore sanitario intervistati ha confermato che la propria organizzazione è stata colpita dal ransomware e di queste il 41% ha dichiarato che si aspetta di subire un simile attacco in futuro, mentre solo il 24% è convinto di essere adeguatamente protetto contro gli attacchi.
In particolare, come consigliate di gestire aspetti particolari quali privacy, cartelle cliniche digitali e la gestione dei dati del paziente in generale?
La chiave sta nel cambio di approccio alla gestione della sicurezza informatica, indispensabile per fronteggiare scenari sempre più complessi. Non si tratta più di rispondere agli attacchi, bensì di monitorare costantemente e senza interruzioni ciò che sta accadendo intorno al perimetro aziendale al fine di prevenire il più possibile l’insorgere di incidenti informatici ed intervenire tempestivamente bloccando tentativi di accesso e di compromissione delle reti. Ma non sono solo le aziende a dover modificare il proprio approccio bensì anche i vendor di sicurezza che devono cambiare il modo di porsi nei confronti dei clienti, offrendo un supporto 24 ore su 24 e 7 giorni su 7, anticipando il più possibile il comportamento dei cybercriminali ed identificando nuovi indicatori di attacco e compromissione. Noi rispondiamo a questa esigenza con la soluzione di Managed Threat Response (MTR). Unendo tecnologie di Machine Learning e le analisi effettuate dai nostri esperti, ottimizziamo l’intercettazione e il rilevamento delle minacce al fine di indagare con maggiore accuratezza sull’origine degli alert di sicurezza e intraprendere azioni mirate volte a eliminare le minacce con la massima rapidità e precisione. Il team di esperti con il quale affianchiamo le aziende investiga e convalida in modo proattivo potenziali pericoli, oltre a indagare su eventi casuali e adiacenti per scoprire nuove minacce che in precedenza non potevano essere rilevate.
Come bisogna comportarsi in caso di attacchi, o sospetti tali, per difendere la salute del paziente e il patrimonio dei dati riservati? Per esempio, di fronte a una richiesta di riscatto per non divulgare gli archivi o a dati clinici cifrati da ransomware?
Secondo il nostro Rapporto, quello della sanità è il settore più propenso a pagare il riscatto: il 34% degli intervistati che ha subito la cifratura non autorizzata dei dati ammette infatti di aver pagato il riscatto, rispetto alla media del 32% per tutti i settori. Questo potrebbe essere dovuto alle pressioni che gravano sui team del settore sanitario, che devono garantire la continuità dei servizi. Come detto, la parola chiave resta indubbiamente il monitoraggio e la prevenzione degli attacchi, la messa a punto di una strategia di recovery ben definita e strutturata e, naturalmente, restano valide le regole di un efficace backup dei dati che per essere tale deve prevedere un backup offline, quindi in una posizione che non sia in alcun modo collegata all’endpoint o alla rete nella quale sono salvati i dati originali poiché se un ransomware dovesse colpire l’intera rete allora il backup andrà perso. Per questo motivo, un backup online deve essere affiancato da copie di backup offline.
Quali benefici potrà ottenere secondo voi la Sanità in materia di cybersecurity dal PNRR? Come potrà essere sfruttato?
Il fatto che il PNRR preveda un capitolo che punta all’innovazione, alla ricerca e alla digitalizzazione del servizio sanitario nazionale e di conseguenza al rinnovamento e ammodernamento delle strutture tecnologiche e digitali esistenti, indica indubbiamente che l’accelerazione nella digital transformation riguarda anche il comparto sanitario e ha acceso i riflettori sull’importanza di adeguare i sistemi IT ai nuovi scenari e alle nuove esigenze. Oltre naturalmente ad un aggiornamento dei processi e delle soluzioni implementate per la gestione della cybersecurity, sarà importante investire anche nella formazione dei responsabili di tali aspetti e in quella del personale sanitario. Non va mai dimenticato che è sempre l’utente l’anello debole che può, involontariamente, aprire la porta agli attacchi informatici. Diffondere la cultura della cybersecurity è dunque una priorità assoluta in qualunque ambito.
