Nel 1983, il Dipartimento della Difesa degli Stati Uniti d’America diffuse a tutti gli enti militari e civili federali un manuale operativo chiamato Trusted Computer System Evaluation Criteria (TCSEC). Il documento, anche definito Orange Book, aveva lo scopo di fornire criteri tecnici di sicurezza hardware, firmware, software dei sistemi informatici utilizzati dal governo e dalle forze armate degli Stati Uniti.
Nel testo facevano per la prima volta la loro comparsa i tre principi chiave della cyber security, requisiti essenziali per la gestione dei rischi: Confidentiality (confidenzialità), Integrity (integrità) e Availability (disponibilità). Ogni soluzione e sistema di gestione di sicurezza delle informazioni tiene conto ancora adesso di questi principi cardine.
Facendo un salto in avanti di 40 anni, tra tutti ha risalto un settore che raggiunge il livello di guardia nella triade CIA, ovvero quello sanitario.
Indice degli argomenti
La cyber security in sanità
Si è ampiamente dibattuto sul tema della sicurezza cyber nella sanità, la cui importanza si è acuita a seguito della pandemia, a commento delle notizie di attacchi ransomware agli ospedali, o di data breach delle cartelle cliniche dei pazienti rivendute sul dark web a centinaia di dollari, o riportando le incursioni cyber ai danni alla catena del freddo per compromettere il trasporto di vaccini e la conservazione di campioni biologici. Il problema è reale e pressante.
A supporto di questa affermazione i dati del Clusit: le violazioni nell’healthcare a livello mondiale sono quasi raddoppiate negli ultimi quattro anni, passando da 161 nel 2018 a 304 nel 2022 – numeri che non tengono conto degli attacchi taciuti o non andati a buon fine. Nel 2022, la sanità ha rappresentato il 13% del totale degli obiettivi colpiti, in crescita del 24,8% rispetto ai dodici mesi precedenti.
Trattandosi a tutti gli effetti un settore strategico per lo Stato, oltre che di un erogatore di servizi critici per la comunità, l’impatto di un attacco (ad esempio ransomware) contro una struttura sanitaria può essere ancora più grave di quello causato un blocco aziendale: in gioco, oltre che informazioni sensibili di clienti, la vita stessa delle persone. Questo lo rende un campo particolarmente appetibile per i Threat Actor, che fanno leva sulla paralisi dei sistemi per costringere gli ospedali a ricatti milionari.
Per le sue particolari caratteristiche, l’healthcare era e resterà un target ambito dai cyber criminali. La sua protezione dovrà quindi rimanere una priorità. È necessario domandarsi se e quali misure siano state implementate per la protezione delle infrastrutture informatiche e quale grado di awareness abbia raggiunto la popolazione degli operatori sanitari che vive in prima persona i rischi di un congelamento del sistema.
La partita si gioca su tre livelli: adeguamento degli investimenti, formazione degli operatori da parte di aziende qualificate e compliance a standard del settore e regolamenti a livello Europeo.
Investimenti per combattere l’obsolescenza delle tecnologie
Occorre anzitutto fare un’esamina dello stato dell’arte delle aziende sanitarie.
Ad oggi, infatti, non diversamente da quanto avviene in altri settori, sono diverse le carenze e le lacune che concorrono a inficiare la gestione del rischio cyber, portando le aziende ad esporre il fianco ai threat actor, oltre che renderle sensibili ai ricatti condotti tramite ransomware: il TA può, infatti, chiedere ulteriori pagamenti per non rivendicare il data breach sui data leak site e non amplificare l’eco mediatica attorno a un attacco riuscito.
Tuttavia, vale la pena ricordare che è estremamente improbabile che le Pubbliche Amministrazioni paghino un riscatto in Italia; il discorso è diverso per le strutture private – italiane ma anche in paesi dove normalmente la sanità è privata come gli USA.
In totale, è stato stimato che la perdita economica dei data breach nel settore sanitario si aggira attorno ai 10,1 milioni di dollari (“Cost of a data breach” di IBM[1]).
L’obsolescenza della tecnologia esistente è un altro fattore da considerare.
Confindustria dispositivi medici, nel suo report annuale “Osservatorio Parco Installato”, fornisce la forbice media entro cui vengono introdotti aggiornamenti o nuove soluzioni sul mercato da parte dei produttori: il 95% dei mammografi convenzionali, ad esempio, è oltre il periodo di update, così come il 90% dei sistemi radiografici fissi convenzionali.
Stabilito che sistemi non aggiornati e senza patch espongono il perimetro a rischi, l’introduzione di nuove macchine e software per la gestione dei pazienti deve essere necessariamente accompagnata da un periodo di training per il personale che lo usa, per evitare che macchine all’avanguardia, collegate alla rete dell’ospedale e incautamente maneggiate, possano essere la porta d’ingresso per vettori di attacco.
Security Awareness Training
La formazione del personale, tra i livelli citati, è quello più immediato su cui intervenire. Il lockdown può essere indicato come lo spartiacque: la consapevolezza sui rischi è aumentata in modo significativo, frutto di una accelerazione sul fronte della digitalizzazione e della possibilità di far connettere quanti più utenti possibili da remoto ai sistemi informativi.
Come in ogni altro settore, è fondamentale la previsione di programmi strutturati – in presenza o tramite e-learning personalizzati- per istruire adeguatamente gli operatori sui rischi cyber. Il vantaggio più immediato è quello di far comprendere ai dipendenti che è necessario un cambio di passo nei comportamenti che adottano giornalmente, incorporare maggiore consapevolezza nel loro agire e consentire loro di correggere le pratiche scorrette.
I corsi per gli operatori non possono prescindere dai controlli livelli standard di accessi, da cui deriva la gestione dei dati in compliance ai regolamenti di riservatezza. A monte, con i fornitori IT per le strutture ospedaliere, si lavora per definire quali sono i servizi – e le informazioni – a cui il singolo utente dell’organizzazione può avere accesso.
Ogni richiesta non approvata in precedenza viene considerata non attendibile dal sistema per impostazione predefinita e quindi negata, e solo chi è autorizzato più accedere agli applicativi: è l’approccio Zero Trust. Il reparto IT, a guardia della rete, blocca in via preventiva qualsiasi attività sospetta monitorandola come potenziale minaccia.
Anche il training sul phishing è un passaggio obbligato in un percorso di digital security. Il social engineering è uno dei metodi principali con cui i criminali informatici ottengono accesso alla rete: il phishing è stato responsabile delle violazioni nel 14% dei casi, mentre le credenziali rubate o compromesse sono state responsabili del 12% delle violazioni. (“Cost of a data breach” di IBM).
È utile prevedere delle simulazioni periodiche di campagne di phishing per tenere sempre elevata l’attenzione, e monitorare le reazioni degli utenti per intervenire e correggere le pratiche scorrette senza colpevolizzare le vittime.
Dall’osservatorio di Yarix, le attività di sensibilizzazione erogate da specialisti in cybersecurity rivolte a questo target sono in crescita sia dal punto di vista reattivo che propositivo positivamente, prova che c’è apertura e interesse.
In questo scenario, anche le interazioni tra CISO e board stanno diventando sempre più frequenti: il 56% dei leader della sicurezza incontra mensilmente o più spesso il CdA (Global Cybersecurity Outlook 2023, Accenture), un segnale della maggiore importanza che la cybersecurity comincia a rivestire nel tavolo dei decisori aziendali.
Tuttavia, può accadere che soggetti a forte rischio intrinseco, tra cui proprio le strutture sanitarie, non si rivolgano ancora spontaneamente in via preventiva alla cyber security. Due le spinte a rivolgersi agli esperti: un attacco all’azienda sanitaria stessa o ad aziende nello stesso settore, sia andato a buon fine che bloccato, che fanno percepire il rischio come reale.
Regolamenti e normative
A livello legislativo nazionale, l’Agenzia per l’Italia Digitale definisce le misure di sicurezza ICT per le Pubbliche Amministrazioni, controlli di natura tecnologica, organizzativa e procedurale implementabili in modo graduale.
Indipendentemente dalla sua dimensione, ogni PA – e quindi ogni ospedale pubblico – deve necessariamente rendersi conforme a un livello minimo di sicurezza: queste forniscono un riferimento operativo direttamente utilizzabile (checklist), stabiliscono una base comune di misure tecniche ed organizzative; responsabilizzano le Amministrazioni sulla necessità di mantenere adeguato il proprio livello di protezione cibernetica e si pongono come uno strumento utile a verificare lo stato di protezione contro le minacce informatiche e poter tracciare un percorso di miglioramento.
L’obiettivo nell’era della tecnologia pervasiva, degli health wearable devices, delle cartelle cliniche online e dei gruppi ransomware a caccia di guadagno è portare le organizzazioni al maggior livello di protezione cyber, così come stabilito proprio dalle Linee guida AgID 2016: le strutture sanitarie pubbliche devono allinearsi al terzo livello di misure di sicurezza (“livello alto”).
Sul piano internazionale si sta delineando un parco normativo, ad esempio con la best practice ISO/IEC27001 che stabilisce i requisiti per il sistema di gestione delle informazioni, e delle sue consorelle 27032, 27036 e 27701 fra le principali.
Anche l’Europa tramite l’ENISA si sta organizzando con vincoli specifici e requisiti da seguire dal punto di vista della protezione di dati, sistemi e informazioni.
Sintetizzando, i capisaldi dell’argomento sono:
- Linee guida ENISA “Cloud Security For Healthcare Services” del 2021, che offre best practice per l’integrazione dei servizi cloud nel settore sanitario europeo;
- Linee guida ENISA “PROCUREMENT GUIDELINES FOR CYBERSECURITY IN HOSPITALS” del 2020, sull’integrazione olistica della cybersecurity nei diversi processi, componenti e fasi che influenzano l’ecosistema ICT sanitario;
- Linee guida NIST – National Institute of Standards and Technology (agenzia del governo degli Stati Uniti d’America che si occupa della gestione delle tecnologie) Cybersecurity Framework, un approccio scientifico e metodologico per l’operatore che deve affrontare le sfide attuali della cybersecurity, e SP800-53 Security and Privacy Controls for Information Systems and Organizations, sui controlli di sicurezza e privacy per le aziende; Provvedimento dell’Autorità Garante per la protezione dei dati personali sul Dossier Sanitario elettronico (DSE) del 2015.
- Provvedimento dell’Autorità Garante per la protezione dei dati personali “Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario – 7 marzo 2019”.
Le strutture sanitarie rientrano nell’ambito di applicazione della cd. Direttiva NIS (DECRETO LEGISLATIVO 18 maggio 2018, n. 65 – Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione) e della Direttiva NIS 2 (Direttiva UE 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 sulla sicurezza delle reti e delle informazioni) che ha esteso il perimetro di applicabilità oltre che agli operatori privati dei settori ritenuti “essenziali” dall’Unione europea, ovvero quelli dell’energia, dei trasporti, delle banche, delle infrastrutture dei mercati finanziari, dell’acqua potabile, della sanità e delle infrastrutture digitali (che comunque rimarranno soggetti alla Direttiva NIS fino alla sua abrogazione), anche ai fornitori di servizi digitali che operano nei seguenti settori, anch’essi ormai essenziali: e-commerce, motori di ricerca, cloud computing, gestione dei servizi ICT, della pubblica amministrazione e dello spazio.
NOTE
Il Cost of a Data Breach Report 2023 si basa su un’analisi approfondita delle violazioni dei dati di 553 organizzazioni su base mondiale, effettuata tra marzo 2022 e marzo 2023. ↑
