Cybersecurity e sanità. Un binomio tanto delicato quanto importante sia dal punto di vista delle infrastrutture sia per quanto riguarda la tutela dei cittadini. Il settore è infatti una rara combinazione di complessità, valore dei dati trattati e importanza nei rapporti con gli utenti. Intesi sia come sia addetti ai lavori sia come pazienti.
Un compito decisamente impegnativo per i responsabili IT chiamati a uno sforzo superiore alla media su più fronti. Dalla gestione ai sistemi a apparati alla tutela di personale e pazienti, fino alla formazione. Il tutto, con risorse per definizione sempre inferiori alle reali disponibilità.
Utile quindi una panoramica sulla cybersecurity nella sanità. Per conoscere il punto di vista, le proposte e le risposta degli specialisti del settore offrendo loro quattro spunti su cui confrontarsi.
Per WatchGuard Technologies, un compito affidato a Fabrizio Croce, regional vice president, sales South Europe, dell’azienda.
Quali sono le sfide attuali per la cybersecurity, globali e specifiche del settore, nel mondo della Sanità?
I problemi e un’arretratezza sistemica riguardo la cybersecurity in Italia colpiscono indifferentemente il segmento privato e quello pubblico, ma nel settore sanitario tutto ciò ha avuto un impatto mediatico enorme e inquietante a causa degli attacchi ransomware che hanno colpito questo settore e alle richieste di riscatto per non pubblicare dati riservati di pazienti o semplicemente per rientrarne in possesso. Questo ha messo in risalto una fragilità intrinseca, non solo per la mancanza di strumenti di protezione adeguati, ma anche di formazione e consapevolezza del rischio e della sua gestione. L’impatto della pandemia ha causato una accelerazione sulla digitalizzazione del settore sanitario, spesso affrontata in modo non omogeneo a causa della regionalizzazione della sanità e, quindi, con sistemi spesso non tra loro interconnessi e con formati dati non compatibili. Un altro aspetto, una novità in Italia, è la ‘remotizzazione’ del paziente e la necessità di introdurre sistemi di telemedicina e cartelle cliniche digitali, conseguenza diretta della impossibilità di effettuare visite in loco per evitare contagi da Covid. Dai dati dell’Osservatorio Innovazione Digitale del Politecnico di Milano, nel periodo pre-Covid la percentuale di pazienti assistiti in telemedicina era del 10%, mentre ora supera il 30%.
In particolare, come consigliate di gestire aspetti particolari quali privacy, cartelle cliniche digitali e la gestione dei dati del paziente in generale?
I punti focali che impattano sulla cybersecurity nella sanità sono molteplici. A mio parere il più importante riguarda la verifica forte della identità del personale sanitario e di chi è autorizzato all’accesso ai dati, agli strumenti di controllo e ai sistemi. La verifica dell’identità si può attuare tramite sistemi di autenticazione MFA (Multi Factor Authentication), mentre le connessioni devono essere necessariamente e obbligatoriamente cifrate in una VPN. La sicurezza deve essere stratificata e non basarsi su un singolo strumento. Il 38% del malware non viene riconosciuto dai normali sistemi antivirus e IPS basati su firme statiche. Bisogna quindi introdurre dispositivi più sofisticati basati su machine learning, sandboxing e intelligenza artificiale che utilizzino la metodologia zero trust assumendo l’assenza di un perimetro di rete affidabile. Ogni transazione e applicazione deve essere autenticata prima dell’utilizzo, a difesa dagli attacchi fileless che non implicano l’invio di un codice ma utilizzano uno strumento validato del sistema operativo per compiere azioni malevoli.
Come bisogna comportarsi in caso di attacchi, o sospetti tali, per difendere la salute del paziente e il patrimonio dei dati riservati? Per esempio, di fronte a una richiesta di riscatto per non divulgare gli archivi o a dati clinici cifrati da ransomware?
Qualsiasi soluzione di sicurezza non può dare la certezza di una protezione al 100%, rimarrà sempre una minima frazione di rischio. La sfida è rendere questa percentuale minimale con gli strumenti della autenticazione MFA e della Sicurezza Stratificata, e gestire anche il fattore umano, sempre più centrale, come hanno evidenziato i recenti attacchi ransomware partiti da postazioni remote non protette o non utilizzate adeguatamente. La formazione è fondamentale. Bisogna però sempre avere pronto il cosiddetto piano “B”, quindi la gestione del disaster recovery. E non solo come rimedio per un attacco ransomware, ma anche per un evento inatteso come un incendio o altro evento naturale disastroso. Serve prevedere l’utilizzo della virtualizzazione, una strategia di backup, puntare sull’utilizzo del cloud, eseguire copie su elementi fisici posti in un caveau. E se si cade vittima di un ransomware, l’ultima cosa da fare è pagare il riscatto perché crea un precedente e rafforza queste organizzazioni criminali che traggono vantaggio da questa tipologia di attacchi.
Quali benefici potrà ottenere secondo voi la Sanità in materia di cybersecurity dal PNRR? Come potrà essere sfruttato?
Ovviamente i 200 miliardi di euro previsti dal PNNR sono un’occasione irripetibile per il sistema Italia per modernizzarsi dal punto di vista infrastrutturale ed organizzativo. Solo per la sanità verranno stanziati 20 miliardi, uno dei quali dedicato alla telemedicina. Prima di tutto, però, va fortemente ridotto il digital divide, anche degli stessi operatori sanitari, e la mancanza di banda larga in gran parte del Paese, soprattutto nei piccoli centri: meno del 50% delle famiglie italiane, infatti, ne sono dotate. Si parla di fantastici sistemi remoti di telemedicina, ma se l’utente non ha una connettività stabile diventano scarsamente utilizzabili. A oggi, 620 milioni sono allocati per la cybersecurity nella pubblica amministrazione per potenziare strutture e personale. Il personale deve essere messo al centro, con assunzioni di nuove risorse ma anche upskilling del personale già presente nelle organizzazioni. Esistono molti strumenti informatici, hardware, software, che possono aiutare a proteggerci da attacchi informatici, esfiltrazione dati, ransomware, intrusioni etc. ma esserne in possesso non significa saperli usare e integrare. Occorre istruire gli utilizzatori alle best practice nel campo della sicurezza informatica, dalla banale capacità di riconoscere un phishing, al non farsi ingannare dal social engineering. Il premier annunciando il PNRR ha dichiarato verrà utilizzato per “Digitalizzazione, Innovazione, Competitività, Cultura”; non possiamo che sperarlo con tutte le forze.
