La pandemia da Coronavirus ha messo in evidenza la fragilità delle strutture sanitarie. Lo dimostrano, tra i tristi esempi, l’attacco informatico all’Ospedale San Giovanni Addolorata di Roma, il cui centro vaccinale era stato mandato in tilt nel luglio 2021 da un attacco ransomware, l´esfiltrazione e pubblicazione dei dati appartenenti all´ospedale di Schiavona da parte del gruppo LockBit 2.0, comprendente le buste paga dei medici, gli esiti dei tamponi del personale sanitario, i turni, la ripartizione del budget dei reparti, e tutti i referti medici dei pazienti, nonché il recente attacco ai danni del Fatebenefratelli Sacco di Milano, avvenuto a settembre 2022 e rivendicato dal gruppo criminale Vice Society, che ha esfiltrato ed esposto dati sensibili dei pazienti.
La fragilità delle strutture sanitarie non è tuttavia una sorpresa, e desta serie preoccupazioni tra gli esperti da diversi anni. In Italia è nata nel 2003 l’AISIS (Associazione Italiana dei Sistemi Informativi in Sanità), costituita da CIO e creata con lo scopo di accrescere l’attenzione verso le problematiche connesse all’impiego dell´ICT nel settore sanitario e ospedaliero. La consapevolezza sembra quindi essere già presente da tempo, almeno tra i professionisti del settore ma, da allora, una risposta coesa da parte delle istituzioni italiane si è fatta attendere ancora a lungo.
A livello europeo, a inizio 2020, l’ENISA ha pubblicato una guida che elenca le 10 migliori pratiche da attuare nelle istituzioni sanitarie per affrontare le minacce informatiche. In Italia, solo con l’adozione del D.L. n. 82 del 14 giugno scorso, è stata ridefinita l’architettura nazionale cyber e istituita l’ACN, Agenzia per la Cybersicurezza Nazionale, che promuove la realizzazione di azioni comuni volte a garantire la sicurezza e la resilienza informatica necessarie allo sviluppo digitale nel Paese, considerando ospedali e strutture sanitarie come parte essenziale del sistema. L’ACN ha pubblicato a maggio 2022 la nuova Strategia Nazionale e il relativo Piano di Implementazione, che prevede il raggiungimento di 82 misure di cybersicurezza entro il 2026. È dunque chiaro che gli ospedali non sono più abbandonati a sé stessi nella lotta alle minacce cyber. Ma le misure europee e nazionali sono davvero abbastanza?
Perché gli ospedali restano vulnerabili
Nonostante queste iniziative, le istituzioni sanitarie sembrano costituire ancora un obiettivo ambito dai cybercriminali. Le radici di questa tendenza affondano in primo luogo nel rinnovo estremamente lento delle strumentazioni IT, brecce attraverso cui spesso i cybercriminali guadagnano accesso all’infrastruttura ospedaliera.
Mentre i dispositivi IT impiegati nelle aziende di norma vengono sostituiti ogni 5 anni, i sistemi impiegati in ambito medico hanno un ciclo di vita di fino a 15 anni, con la grave conseguenza che macchinari o applicazioni obsolete possono funzionare solo se combinati a sistemi operativi altrettanto datati. Non è infatti raro trovare sistemi come Windows XP, non più supportato dal 2014 e, in alcuni casi, anche versioni più vecchie di Windows per le quali non esistono più patch di sicurezza – veri e propri “colabrodo” in termini di vulnerabilità. Inoltre, il marchio CE, requisito normativo imposto ai produttori, prevede in ambito sanitario restrizioni tali per cui non è consentito apportare alcuna modifica al software originale dei dispositivi. Anche il solo aggiornamento con patch di sicurezza comporta la perdita del marchio CE. Per evitare i rischi derivanti da un’obsolescenza quasi obbligata dei sistemi operativi in uso, la strategia per la messa in sicurezza dei dispositivi informatici e/o informatizzati deve essere flessibile, e contemplare quindi sia un piano per la continuità operativa e di disaster recovery, sia procedure di failover. Per garantire un adeguato livello di protezione delle risorse IT all’interno degli ospedali è inoltre auspicabile segmentare la rete e implementare modelli Zero Trust, in cui vengono verificati accessi, identità e permessi in ogni punto di accesso alla rete, oltre che direttamente sulla macchina, che si tratti di postazioni fisse o mobili. Per essere efficace, l’approccio Zero Trust, deve fare capo ad una strategia di protezione globale, che comprende l’identificazione di utenti e dispositivi, l’autenticazione a più fattori e la gestione degli accessi. Dato che il livello di fiducia concesso ad ogni utente varia in base al tipo di dispositivo utilizzato, al tipo di software della macchina e al suo livello di attualità, le soluzioni di protezione delle postazioni di lavoro devono essere flessibili e regolare il livello di sicurezza fornito in base al contesto d’uso. La soluzione Stormshield Endpoint Security (SES) costituisce un eccellente esempio.
Non da ultimo, anche il personale ospedaliero rappresenta una grande fonte di vulnerabilità a fronte di una sensibilizzazione ancora carente verso i problemi di cybersicurezza e della conseguente incapacità di prevedere ed evitare rischi informatici. La stessa divisione IT, spesso sottostaffata in ambito ospedaliero, è primariamente focalizzata sull’ottimizzazione delle infrastrutture per una trasmissione repentina delle informazioni tra i reparti, trascurando talvolta la segmentazione della rete e la messa in sicurezza dei singoli dispositivi con soluzioni che non ne inficino la certificazione o le prestazioni. In queste condizioni un attacco ransomware può diffondersi e paralizzare facilmente l’intera infrastruttura, costringendo il personale ospedaliero, privato dell’accesso ai dati e alla diagnostica, ad adottare un approccio da medicina di guerra, ovvero cartaceo / analogico, a detrimento della capacità di erogare cure adeguate.
Trasformare gli ospedali in spazi digitali sicuri
Obsolescenza delle apparecchiature, sensibilizzazione insufficiente ai rischi, mancanza di personale: sono ancora molti i problemi da risolvere all’interno degli ospedali per garantire un’efficace sicurezza informatica a un’infrastruttura così vitale. Le ragioni dietro alla vulnerabilità del settore sono tuttavia complesse ed ereditate da problemi strutturali e vincoli in termini di certificazione degli strumenti che non è possibile risolvere in pochi mesi. Per azzerare i debiti tecnici, affrontare i problemi di organico e ridurre la superficie di attacco, il settore sanitario deve dunque agire tempestivamente con l’obiettivo di trasformare gli ospedali in spazi digitali sicuri, certo del sostegno normativo europeo e dei governi nazionali.