Oggi, nei moderni ambienti sanitari interconnessi, il confine tra assistenza al paziente e tecnologia si è progressivamente assottigliato. Dietro ogni organizzazione che eroga servizi sanitari (Healthcare Delivery Organization, HDO), infatti, si trova un complesso ecosistema di tecnologie operative (Operational Technology, OT), parte integrante sia delle funzioni di cura critica sia dei sistemi di gestione degli edifici (Building Management Systems, BMS). Se da un lato queste tecnologie abilitano nuovi livelli di connettività per gli operatori sanitari, dall’altro pongono sfide significative per i team IT e di sicurezza, chiamati a garantire un equilibrio costante tra resilienza informatica e continuità dell’assistenza ai pazienti.
A rendere questo quadro ancora più complesso contribuisce la natura intrinsecamente articolata dell’OT in ambito sanitario. A differenza dell’IT aziendale, l’OT sanitario può comprendere decine di fornitori differenti di dispositivi medici e centinaia di configurazioni diverse da monitorare e gestire. Questa complessità, inoltre, si intreccia con rigorosi requisiti normativi e con le attività operative quotidiane, nelle quali la compromissione di un dispositivo può dare origine a situazioni potenzialmente letali. In questo contesto, è importantissimo analizzare il ruolo cruciale dell’OT negli ambienti sanitari e comprendere le possibili strategie per costruire una resilienza efficace, in grado di proteggere i sistemi critici e, soprattutto, la vita dei pazienti.
Che cos’è la Tecnologia Operativa (OT) nella sanità?
L’OT in ambito sanitario comprende i sistemi hardware e software che monitorano e controllano i dispositivi fisici e le infrastrutture a supporto dei processi e dell’assistenza ai pazienti. A differenza dei sistemi tradizionali incentrati sull’IT, focalizzati principalmente sulle funzioni di business, l’OT sanitario interagisce direttamente con il mondo fisico. Nella maggior parte dei casi, tali interazioni hanno implicazioni immediate sulla qualità dell’assistenza e sulla sicurezza dei pazienti.
Tra gli esempi di sistemi OT in ambito sanitario rientrano i dispositivi medici, i sistemi di ingegneria clinica, i sistemi di gestione degli edifici e le apparecchiature di laboratorio. Tutti questi elementi evidenziano la diversità e la complessità dell’OT sanitario. Un singolo ospedale può, infatti, ospitare centinaia di dispositivi distribuiti tra diversi reparti clinici, ciascuno con configurazioni, versioni firmware e profili di sicurezza differenti.
Il ruolo della Tecnologia Operativa nell’assistenza moderna
Negli ultimi anni, l’erogazione dell’assistenza sanitaria è diventata sempre meno dipendente dai processi manuali e sempre più fondata sui sistemi OT. Come conseguenza di questa trasformazione, la resilienza dell’OT ha assunto un ruolo direttamente connesso alla sicurezza dei pazienti. I sistemi di monitoraggio, ad esempio, rilevano in modo continuo i parametri vitali dei pazienti e avvisano automaticamente il personale clinico in presenza di variazioni critiche, mentre i dati vengono registrati nelle cartelle cliniche elettroniche. Le apparecchiature diagnostiche acquisiscono e trasmettono immagini e misurazioni dettagliate a supporto di decisioni cliniche fondamentali, mentre i sistemi di gestione dei farmaci, come le pompe di infusione intelligenti, contribuiscono a garantire che ogni paziente riceva il corretto dosaggio dei medicinali.
Oltre a incidere direttamente sui trattamenti, i sistemi OT — come i BMS — controllano il flusso d’aria nelle sale operatorie e regolano temperatura e umidità per assicurare il comfort dei pazienti e il corretto funzionamento delle apparecchiature. Inoltre, la gestione ambientale tramite i sistemi BMS, inclusi HVAC e altri impianti, influisce in modo diretto sulla capacità di un ospedale di contenere eventuali infezioni, sulla stabilità dei prodotti farmaceutici e sulle prestazioni delle apparecchiature salvavita. Con un numero così elevato di funzioni critiche strettamente dipendenti dall’OT negli ambienti sanitari, una singola violazione della sicurezza può generare un effetto a cascata potenzialmente devastante su quasi ogni aspetto dell’assistenza ai pazienti.
L’OT nelle organizzazioni sanitarie è sempre più vulnerabile
La complessità rappresenta uno dei principali ostacoli alla resilienza negli ambienti sanitari. Un ecosistema eterogeneo di dispositivi e sistemi amplia la superficie di attacco, rendendola potenzialmente sfruttabile dagli aggressori, soprattutto quando alcuni asset non sono pienamente visibili ai team di sicurezza. Per questo motivo è fondamentale disporre di un inventario completo e accurato di tutti i dispositivi presenti all’interno di un’organizzazione sanitaria: ciò che non è visibile, infatti, non può essere protetto.
Analogamente a quanto avviene negli ambienti industriali, i Programmable Logic Controllers (PLC) svolgono un ruolo chiave sia nell’assistenza ai pazienti sia nelle operazioni quotidiane di un ospedale. Un attacco a un singolo PLC può avere conseguenze gravi, come dimostrano i seguenti scenari:
Apparecchiature HVAC e sistemi di refrigerazione – Un PLC compromesso che controlla il flusso d’aria e/o la temperatura potrebbe causare il deterioramento di colture di laboratorio o di farmaci che richiedono una refrigerazione rigorosa.
Ascensori e tubi pneumatici – Il trasporto di pazienti e di attrezzature chirurgiche critiche all’interno di un ospedale deve essere garantito 24 ore su 24, 7 giorni su 7. Un attacco all’OT che governa tali sistemi potrebbe bloccare il trasferimento di pazienti in emergenza o di campioni di sangue tra i diversi piani, dando origine a situazioni potenzialmente letali.
Alimentazione elettrica e sistemi di backup – Gli aggressori potrebbero colpire i sistemi di gestione dell’energia e i relativi meccanismi di backup, impedendo l’avvio dei generatori in caso di blackout. Una fornitura elettrica inaffidabile o compromessa potrebbe facilmente danneggiare apparecchiature diagnostiche o chirurgiche particolarmente delicate.
Oltre a questi esempi, i sistemi legacy e obsoleti rappresentano un’ulteriore sfida. La maggior parte dei dispositivi medici ha una vita operativa compresa tra i 10 e i 15 anni e, come accade per altre infrastrutture critiche, le reti ospedaliere sono state progettate privilegiando longevità e affidabilità. Di conseguenza, è altamente probabile che numerosi dispositivi presenti all’interno delle reti ospedaliere utilizzino sistemi operativi obsoleti, caratterizzati da vulnerabilità non corrette.
Costruire ambienti sanitari resilienti attraverso la sicurezza OT
Per rendere la resilienza effettivamente operativa in un ambiente sanitario, le organizzazioni devono sviluppare sistemi capaci di resistere alle interruzioni, adattarsi e riprendersi da esse, garantendo al contempo elevati standard di assistenza ai pazienti. In questo contesto, la resilienza negli ambienti sanitari si fonda su tre obiettivi chiave:
Sicurezza dei pazienti – Garantire che i sistemi di terapia critica operino in modo affidabile e accurato è un elemento essenziale della resilienza. Un loro malfunzionamento — o, peggio, una violazione della sicurezza — metterebbe direttamente a rischio la vita dei pazienti.
Continuità operativa – Anche in presenza di incidenti che coinvolgano tali sistemi, è fondamentale assicurare la continuità dell’erogazione dell’assistenza sanitaria. L’adozione di controlli compensativi rappresenta un approccio efficace per affrontare le debolezze legate a specifici requisiti di sicurezza e mitigare i rischi.
Conformità normativa – Tutte queste attività devono essere svolte nel rispetto dei requisiti normativi previsti, tra gli altri, dalla FDA e dall’HHS.
Un inventario completo degli asset costituisce un solido punto di partenza per raggiungere la resilienza dell’OT in ambito sanitario. Tuttavia, per allinearsi pienamente a questi tre obiettivi chiave, le organizzazioni sanitarie devono adottare un approccio zero trust basato sul principio del “non fidarsi mai, verificare sempre”. Questo modello prevede la verifica continua di ogni dispositivo che accede alla rete ospedaliera ed è particolarmente efficace in contesti che si basano su un numero elevato di dispositivi salvavita gestiti da fornitori esterni.
Con una posta in gioco così elevata, le HDO necessitano di soluzioni di cybersecurity in grado di proteggere i sistemi critici direttamente connessi alla sicurezza dei pazienti. La piattaforma Claroty supporta le HDO a livello globale grazie a funzionalità di scoperta degli asset leader di settore e a un approccio zero trust progettato per ridurre al minimo la superficie di attacco dell’ambiente.
A cura di Claroty