Acquisti digitali

Sanità, il procurement per la prevenzione dei rischi cyber: ecco come

L’ente Enisa ha pubblicato le best practice in ambito procurement per dotare gli ospedali di strumenti affidabili, con lo scopo di preservare gli aspetti privacy ma anche la sicurezza dei sistemi aziendali

09 Apr 2020
Marina Rita Carbone

Consulente privacy


La Sanità è uno dei settori più a rischio dal punto di vista della data protection, in quanto ogni struttura ospedaliera, sia privata che pubblica, effettua una raccolta di dati di elevatissima sensibilità a cui le normative, sia a tema privacy che a tema cyber security, prestano particolare attenzione. Enisa ha cercato soluzioni per evitare rischi: a febbraio 2020 è stato pubblicato il documento “Procurement guidelines for cyber security in hospitals”, che si occupa di raggruppare alcune delle best practice applicabili a livello ospedaliero per garantire la sicurezza dei propri sistemi e, conseguentemente, dei dati dei pazienti. Vediamo che cosa prevede.

I rischi cyber per la Sanità

La progressiva e fondamentale digitalizzazione ed interconnessione del sistema sanitario espone le strutture a rischi di cyber security sempre più elevati: si pensi soltanto a quanto apparecchiature mediche, al giorno d’oggi, monitorano il paziente 24h su 24 allo scopo di tutelarne la salute, all’utilizzo degli smartphone e di applicativi web per accedere alle proprie informazioni sanitarie. Ognuno di questi trattamenti richiede, però, ingenti risorse economiche per poter funzionare al meglio delle proprie possibilità, ed i tagli ai budget delle strutture ospedaliere hanno, negli anni, fatto emergere enormi e pesantissime falle nelle infrastrutture tecnologiche, spesso private di aggiornamento e confinate all’obsolescenza per via della mancanza di fondi.

Si pensi all’attacco ransomware Wannacry avvenuto nel 2017, esempio lampante delle vulnerabilità presenti negli ospedali, le quali avrebbero potuto essere prevenute ed evitate semplicemente aggiornando i software in uso. Detto ciò, come è possibile monitorare ed implementare misure efficaci di contenimento del rischio all’interno di strutture tanto complesse? E soprattutto come capire se i prodotti medici sono sicuri? A questa domanda cerca di fornire una proprio risposta Enisa, con il suo documento.

Le normative europee applicabili

In apertura, Enisa si occupa di fornire un quadro sulle principali normative europee che dettano le indicazioni e i principi alle strutture ospedaliere:

  • NISD (Direttiva 2016/1148/EU, o Network and Information Security Directive): la direttiva si occupa in modo specifico di sanità e strutture ospedaliere, in quanto rientranti negli operatori di servizi essenziali (OSE). Recepita in Italia con il D.lgs. 18 maggio 2018, n. 65, definisce le misure essenziali per conseguire un livello adeguato di sicurezza delle reti e dei sistemi informativi. Si richiede che le misure di sicurezza adottate, sia a livello tecnico che organizzativo, siano proporzionate al rischio oltre che adeguate a prevenire e ridurre l’impatto che ogni incidente informatico potrebbe avere sulle reti e sui sistemi informatici in uso, garantendo la continuità del servizio offerto. Si prevede altresì un obbligo di notifica a carico degli OSE al Computer Security Incident Response team (CSIRT) italiano e all’autorità pubblica NIS di riferimento (il Ministero della Salute nel caso delle strutture ospedaliere) a carico degli OSE, qualora l’incidente abbia un impatto rilevante sulla continuità del servizio;
  • MDR (Medical Device Regulation): in vigore dal 25 maggio 2017, prevede nuovi standard minimi di sicurezza per i dispositivi medici, soprattutto dal punto di vista della loro affidabilità in base allo scopo per il quale sono creati, della verifica del processo di creazione e controllo degli stessi, dell’utilizzo combinato di software e piattaforme mobili, oltre che della previsione di misure di sicurezza minime che tutelino i sistemi dall’accesso non autorizzato;
  • GDPR (Regolamento UE 679/2016, o General Data Protection Regulation): il quale presta particolare attenzione ai dati sanitari in quanto appartenenti ad una categoria naturalmente sensibile, richiedendo ai Titolari e ai Responsabili del trattamento di fornire misure di sicurezza maggiori. Non solo, il Regolamento si occupa anche di responsabilizzare il Titolare chiedendogli di condurre una valutazione del rischio analitica e approfondita per parametrare meglio le relative misure tecniche ed organizzative da adottare, ossia la DPIA (data protection impact assessment). Di particolare rilevanza anche i principi, della privacy by design e by default, fondamentali nella fase di progettazione di ogni prodotto e/o servizio che riguardi il trattamento di dati.

Alle normative europee si aggiungano i numerosi standard elaborati da ISO in materia di Informatica Medica. Tra queste, ENISA pone in risalto, in quanto maggiormente pertinenti:

  • ISO/DTR 22696 (Health informatics — Guidance for identification and authentication for connectable personal healthcare devices);
  • ISO/DTR 21332 (Health informatics — Cloud computing considerations for health information systems security and privacy);
  • ISO/WD 13131 (Health informatics — Telehealth services — Quality planning guidelines);
  • ISO/AWI 22697 (Health informatics — Application of privacy management to personal health information).

L’importanza del procurement

Il settore Procurement, conosciuto anche come settore acquisti, ha il compito strategico, all’interno di qualsiasi struttura, di gestire efficacemente il budget provvedendo all’approvvigionamento di tutte le risorse fondamentali per il perseguimento degli obiettivi aziendali. Tale funzione riveste ancora maggiore importanza in una struttura ospedaliera. Affinché operi al meglio, occorre che, in ogni fase della stessa, si abbia quale obiettivo principale quello di garantire il rispetto dei principi in materia di cybersecurity. Enisa divide il processo di Procurement in tre fasi principali:

  • Plan (Pianificazione): ricomprendente l’identificazione, per ogni divisione interna, delle necessità e dei bisogni propri della stessa, in modo da parametrare anche il prodotto da acquistare agli usi che se ne potrebbero fare;
  • Source (Ricerca e Valutazione): la fase di ricerca e valutazione delle offerte da parte dei fornitori, per selezionare il prodotto più appropriato ed aprire la fase di negoziazione con gli stessi;
  • Manage (Gestione e Supervisione): concluso il contratto, monitoraggio delle effettive performance dei sistemi/servizi/dispositivi al fine di poter porre in essere eventuali misure correttive (quali, in extremis, quella di risolvere il contratto).

Tra i sistemi e/o dispositivi cui prestare maggior attenzione nel processo di ricerca e selezione, Enisa individua, in particolare:

  • Sistemi di Informazione Clinica (Clinical Information systems): ogni tipo di software utilizzato dall’ospedale per fornire cure mediche, dai sistemi di radiologia agli archivi dei farmaci;
  • Dispositivi medici (Medical devices): ogni tipo di hardware destinato al trattamento, al controllo o alla diagnosi (tra cui figurano anche dispositivi impiantabili largamente utilizzati come il pacemaker o i defibrillatori);
  • Apparecchiature di rete (Network Equipment): cavi, routers, firewalls, reti VPN, ed altro;
  • Sistemi di assistenza remota (Remote care systems): dispositivi che consentono di accedere all’assistenza medica da remoto, come i dispositivi SOS utilizzati per gli anziani;
  • Dispositivi mobili Client (Mobile client devices): software che forniscono assistenza o raccolgono dati medici direttamente dalla rete dell’ospedale, come le app di telemedicina.
  • Sistemi Identificativi (Identification Systems): dispositivi che consentono l’identificazione di pazienti o medici, per garantire che l’accesso ai sistemi informatici sia differenziato e non vi siano accessi non autorizzati;
  • Sistemi di gestione degli immobili (Building Management Systems): linee elettriche, tubature, forniture connesse a strutture nelle quali sono conservate strumentazioni mediche;
  • Sistemi di controllo industriale (Industrial control systems): tutti i software che controllano impianti fisici dell’ospedale, quali ascensori, sistemi di allarme, unità di energia ausiliaria, blocco delle porte, ecc.
  • Servizi professionali (Professional services): tutti i servizi offerti all’ospedale da professionisti o Società, come servizi medici, di ingegneria, IT, legali, ecc;
  • Servizi Cloud (Cloud services): sistemi informatici non localizzati nella struttura ospedaliera o in data centre sui quali la funzione IT non può intervenire o dei quali non ha il pieno controllo.

Ognuno di questi sistemi e dispositivi porta con sé fattori di rischio propri, individualmente esaminati da Enisa, legati soprattutto ad errori nella programmazione o nella progettazione, all’uso di protocolli non sicuri (per i sistemi interconnessi), a difetti di autenticazione che comportano accessi non autorizzati o, talvolta, ad una impropria implementazione degli stessi all’interno della propria struttura.

Le possibili minacce

Enisa, al fine di fornire un quadro quanto più completo delle possibili minacce nelle quali ogni struttura ospedaliera può incorrere, raggruppa quest’ultime in 5 macrocategorie, in base all’origine della minaccia:

  • Fenomeni naturali (Natural Phenomena): sebbene rappresentino i rischi più remoti, ricomprende tutti gli eventi disastrosi legati a incendi, allagamenti o terremoti. Non è raro, infatti, che spesso gli strumenti elettronici siano conservati o localizzati ai piani interrati (per disposizioni di legge o a causa della mole degli stessi), divenendo più esposti a tali fenomeni;
  • Azioni dolose (Malicious Actions): malware, blocco dei sistemi, attività di social engineering, furti, attacchi web, manipolazioni fisiche dei sistemi, furto di identità, spionaggio digitale, nonché le ulteriori attività dolose poste in essere da soggetti il cui scopo è quello di estorcere denaro o rivendere le informazioni;
  • Falle nella catena di fornitura (Supply Chain Failure): errori di programmazione, interruzioni di servizio, nonché mancanza di affidabilità di sistemi (sia fisici che immateriali) forniti da strutture terze esterne all’ospedale, come i fornitori di servizi in cloud o di rete;
  • Errori umani (Human errors): notoriamente tra i più difficili da prevedere, sono tipicamente minacce connesse ad una mancanza di policies e processi efficaci, accessi non autorizzati e non controllati, password deboli, sistemi BYOD mal gestiti e vulnerabili, nonché ad errori di inserimento dei dati da parte del personale medico o del paziente;
  • Falle di sistema (System Failures): legate a errori nei software utilizzati dall’ospedale, al mancato aggiornamento dei firmware, alla non disponibilità dei sistemi per sovraccarichi di rete o a insufficiente manutenzione.

È importante conoscere e parametrare le possibili minacce sulla struttura ospedaliera di riferimento, al fine di poter dare priorità a forniture di prodotti e/o servizi che, a causa della loro obsolescenza o della elevata esposizione a minacce (interne o esterne), si rivelano particolarmente sensibili.

Le good practices applicabili al procurement

Svolte le premesse di cui sopra, Enisa si occupa di fornire delle indicazioni sul sulla corretta implementazione delle stesse all’interno del processo di acquisiti e fornitura:

  • In primis, identificare la tipologia di fornitura della quale si sta pianificando l’acquisto, anche sulla base della preliminare indagine interna della quale si è parlato precedentemente;
  • Identificare le minacce che s’intende mitigare;
  • Identificare quali delle good practices siano rilevanti per la tipologia di fornitura e minaccia;
  • Valutare in quale fase del ciclo di procurement (plan, source, manage) e su quali prodotti la pratica deve essere attuata dalla struttura o dal fornitore, anche per mezzo dei grafici forniti dalla stessa Enisa;
  • Implementare le prassi consigliate all’interno dei propri sistemi di fornitura, anche sulla base degli esempi forniti da Enisa per ognuna delle stesse.

Le quattro macroaree

Le good practices sono poi suddivise in 4 macroaree: General Good Practices, Plan Phase Practices, Source Phase Practices, Manage Phase Practices. Appartengono alla categoria delle General Practices:

  • Coinvolgere il dipartimento IT nella scelta e nella valutazione delle forniture di beni e servizi, rendendo la cybersecurity un requisito imprescindibile per ognuna di esse;
  • Implementare un processo di identificazione e gestione delle vulnerabilità dei sistemi, prima del loro acquisto e nel corso del loro utilizzo;
  • Sviluppare una policy di aggiornamento delle strutture hardware e software che assicuri l’installazione delle patch più recenti sui sistemi (sia sistemi operativi che antivirus, firewall, ecc.);
  • Assicurare che siano attuati dei controlli di sicurezza sulle comunicazioni effettuate tramite la rete Wi-Fi della struttura ospedaliera;
  • Programmare dei periodici test di sicurezza dei prodotti e dei sistemi;
  • Progettare dei piani di azione a garanzia della Business Continuity;
  • Valutare i problemi di interoperabilità dei sistemi e le possibili soluzioni;
  • Programmare test periodici dei sistemi per verificare che le funzionalità e le misure di sicurezza garantite dal fornitore siano effettive;
  • Garantire la sicurezza dei log di accesso ai sistemi per prevenire e intervenire sugli eventuali accessi non autorizzati all’interno dei sistemi;
  • Criptare i dati personali sensibili conservati e diffusi o comunicati.

Tra le pratiche inerente alla Plan Phase abbiamo invece:

  • Condurre una valutazione del rischio prima di iniziare un processo di acquisto di un servizio e/o di un prodotto;
  • Pianificare in anticipo gli acquisti delle licenze inerenti alla rete e ai software in utilizzo, nonché garantire il rispetto dei requisiti hardware dagli stessi richiesti per funzionare correttamente;
  • Identificare le specifiche minacce connesse al prodotto o al servizio che si intende acquistare;
  • Proteggere gli strumenti informatici anche attraverso la segmentazione e l’isolamento di parte degli stessi, in particolare quelli che non possono essere aggiornati a nuovi sistemi operativi;
  • Determinare in anticipo quali siano i requisiti minimi di rete per garantire a ogni settore ospedaliero l’interoperabilità dei sistemi ed evitare che vi siano dei vuoti nella stessa;
  • Stabilire dei criteri di selezione dei fornitori;
  • Creare degli specifici RfP (Request for Proposal) per i fornitori di servizi cloud.

Nella Source Phase è possibile adottare le seguenti prassi:

  • Richiedere ai fornitori di aver ottenuto specifiche certificazioni in materia di cybersecurity;
  • Condurre una Valutazione di Impatto ai sensi dell’art. 35 GDPR per prodotti e servizi innovativi;
  • Prevedere dei gateways per mantenere i sistemi e le macchine interconnessi, nel rispetto dei principi di protezione dei dati;
  • Formare i dipendenti in materia di cybersecurity ed affidarsi a consulenti esterni esperti;
  • Implementare dei piani di risposta e gestione degli incidenti informatici connessi a prodotti e/o servizi nuovi;
  • Coinvolgere il fornitore nella gestione degli incidenti;
  • Organizzare periodiche operazioni di aggiornamento e manutenzione per tutti gli strumenti e i sistemi in uso;
  • Ridurre e amministrare attentamente l’accesso remoto ai sistemi;
  • Richiedere l’installazione periodica di patch correttive per tutti gli strumenti informatici.

In ultimo, si enunciano le principali good practices relative alla Manage Phase:

  • Aumentare la sensibilità sul tema cybersecurity dell’intero personale che si trova a dover utilizzare gli strumenti informatici, specie ove questi ultimi siano innovativi;
  • Implementare un sistema di asset management tramite cui poter anche monitorare l’aggiornamento delle strutture IT in uso, secondo un principio di gestione efficace ed efficiente delle stesse;
  • Al fine di proteggere per mezzo di misure di sicurezza fisiche anche la strumentazione sanitaria (come i robot chirurgici o gli scanner), prevedere che l’accesso alle stanze nei quali gli stessi sono collocati siano limitati al personale specializzato che ne deve far uso;
  • Svolgere frequentemente, o dopo che vi sono stati dei cambiamenti nei sistemi e/o nell’infrastruttura informatica, dei penetration test: a tal fine è opportuno prevedere nel contratto di fornitura una clausola ad hoc per lo svolgimento di tale attività.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3