La cybersecurity nel settore sanitario, un tema tanto importante quanto troppo spesso sottovalutato, secondo Stormshield. Almeno fin quando i criminali informatici colpiscono e i danni causati sono spesso ingentissimi.
Il trend 2021 per la sicurezza informatica nell'healthcare presenta una tendenza drammatica, con numero di ospedali attaccati almeno doppia rispetto al 2020; quest’ultimo già un vero annus horribilis da questo punto di vista.
Abbiamo affrontato l'argomento con il supporto di Alberto Brera, Country Manager di Stormshield.
Il manager ci ha raccontato la filosofia che guida le strategie e le scelte della società di cybersecurity.
Stormshield fra Europa e sovranità del dato
Prima di tutto, il forte radicamento nel territorio europeo. Un fattore che unisce senso di appartenenza a motivazioni molto concrete.
Infatti, il mercato della sicurezza è quasi interamente composto da società statunitensi.
Avere un player di spessore, in grado di competere ad armi pari con i pesi massimi del settore, ha un valore strategico rilevante per l’Europa.
Brera ha voluto anche ricordare l’importanza della crittografia per bilanciare il ruolo dei grandi cloud provider. Se è vero che i dati delle organizzazioni sono spesso gestiti nel cloud, le aziende possono e devono mantenere il pieno controllo delle informazioni.
I dati crittografati, e i recenti attacchi ransomware lo hanno fatto capire bene, sono inintelligibili.
Grazie alla crittografia, in cui Stormshield crede fermamente, la sovranità delle informazioni rimane sempre e comunque nelle mani dei legittimi proprietari.
La società francese tiene in modo particolare ad offrire ai propri clienti soluzioni non solo performanti, ma anche (e soprattutto) estremamente affidabili. Nessuno, sottolinea Brera, vorrebbe scoprire di aver affidato la propria cybersecurity a prodotti non sicuri al 100%.
Per questa ragione, i prodotti Stormshield sono certificati e qualificati dall’Agenzia nazionale per la sicurezza dei sistemi informativi (ANSSI). Il massimo ente certificante nazionale francese, la cui evidente autorevolezza è uno dei migliori biglietti da visita che Stormshield possa presentare ai propri clienti e partner.
Il mondo healthcare sotto attacco: l'analisi di Stormshield
Con questa politica ben presente, è facile immaginare che il settore sanitario sia un naturale mercato di riferimento per Stormshield.
Il manager italiano ha condiviso con noi la propria preoccupazione sulla grave situazione in cui versa l’healthcare a livello globale.
L’emergenza coronavirus, di cui i cybercriminali hanno approfittato sin da subito per sferrare i propri attacchi, e che da oltre un anno sta mettendo a durissima prova gli ospedali di tutto il mondo, non è l’unica sfida da affrontare.
Quale servizio primario e infrastruttura critica per eccellenza, sottolinea il manager, il settore sanitario è un mix esplosivo dal punto di vista della sicurezza informatica, poiché vi coesistono due anime, sempre più interconnesse.
Una è l’infrastruttura IT mediamente matura paragonabile a una large enterprise, pur non essendo ancora al top delle possibilità tecnologiche, ovvero tutta la dotazione IT di uffici e personale (estesa, se vogliamo, a fronte del BYOD), gli applicativi ospedalieri, e similia.
La seconda anima è composta dalla gestione dei macchinari impiegati per l’erogazione dei trattamenti sanitari, dalla building automation che include gli impianti di climatizzazione o sterilizzazione automatizzata delle apparecchiatore, all’interconnessione di sistemi spesso basati su SCADA fino al monitoraggio e alla manutenzione spesso remota di tali macchinari e sistemi: in altre parole l’OT, operational technology.
I rischi del perimetro informatico polverizzato, IoT e device personali
In un ambiente ospedaliero il numero di device connessi è semplicemente enorme. Il perimetro informatico è ormai privo di consistenza, e sempre più dispositivi personali vengono utilizzati per mansioni lavorative, sia in ospedale che da remoto.
Un contesto ad altissimo rischio, per il quale, sottolinea Brera, non esiste una risposta unica e semplice, la complessità di questi ecosistemi richiede analisi attente e profonde poiché fermare i sistemi di una sala operatoria comporta evidenti pericoli per la salute del paziente, e lo stesso vale per un fermo di qualsiasi servizio sanitario.
Il problema si aggrava quando si pensa che molti device sanitari sono nati attorno a protocolli di comunicazione vecchi di almeno 20 anni.
Strumenti pensati per comunicare attraverso porte seriali, privi di qualsiasi tipo di autenticazione. Una volta adeguata l'interfaccia delle apparecchiature allo standard Tcp/ip, sono diventati milioni in tutto il mondo gli apparati IoT attaccabili nel mondo sanitario.
In grandissima parte privi di qualsiasi forma di sicurezza intrinseca e spesso gestiti tramite PC dotati di sistemi operativi non più manutenuti dallo stesso produttore e quindi estremamente vulnerabili alle moderne minacce informatiche.
L’eterogeneità e la fragilità dell'ecosistema informatico, oltre che la delicatezza dei dati esfiltrati o oggetto di ransomware, sono un invito a nozze per i criminali, le cui azioni vanno contrastate erigendo barriere affidabili.
Insieme alla soluzione Stormshield Endpoint Security per la tutela di qualsiasi workstation, indipendentemente dal sistema operativo in uso, i firewall di Stormshield forniscono una risposta multilivello contro APT, attacchi mirati e di massa grazie a strategie di identificazione e prevenzione delle minacce note e zero day del tutto differenti dall’approccio adottato dalla maggior parte dei produttori.
Un plus che ha assicurato al vendor negli anni un’importante base installata nel settore ospedaliero nazionale.
Cambiamento culturale e approccio secured by design non sono più rinviabili
Brera ci ha spiegato che gli amministratori IT sono ben consci del problema. Tuttavia, pensare di aggiornare un'intera flotta di strumenti sanitari è impensabile, quantomeno in tempi brevi.
Ad aggravare la situazione c’è il fatto che tutti i dati gestiti nelle istituzioni sanitarie sono sensibili. Difficile immaginare un fronte GDPR più ampio di quello relativo alle informazioni sulle condizioni di salute di un individuo.
Le ragioni del manager di Stormshield sono assolutamente condivisibili, soprattutto la sua riflessione sull'importanza di un approccio secured by design che deve essere recepito dai produttori di apparecchiature sanitarie.
A oggi non esiste ancora uno standard, e questo costituisce un ulteriore ostacolo alla sicurezza informatica. Ridurre la complessità è fondamentale.
Infine, ma non per questo meno importante, la formazione e la consapevolezza degli utenti può è e deve essere la prima forma di difesa. Essere consci di quali comportamenti possono esporre sé stessi e la propria organizzazione a rischi informatici evitabili è fondamentale. In questo senso, formare adeguatamente il personale non è un costo, ma un investimento molto remunerativo, sia nel breve che nel lungo periodo.
Del resto, come ha sottolineato il manager in chiusura, la sicurezza non è un prodotto ma un processo.
Rimani in contatto con Stormshield
