Uno dei principali problemi che affligge il settore sanitario è senza dubbio la carenza di personale, sia per quanto riguarda lo staff medico sia per i professionisti che si occupano della sicurezza informatica delle strutture, oggi sempre più esposta a potenziali minacce.
Sicurezza informatica in Sanità: perché è cruciale la formazione degli utenti
Digitale in Sanità, un’arma a doppio taglio
In questo senso, il digitale ha dimostrato essere un punto di svolta. Come si è visto dopo la pandemia, si è assistito a un aumento dell’assistenza da remoto, che può andare incontro alla scarsità di personale medico, ma dall’altro lato presta il fianco ad attacchi informatici.
Il governo italiano mira a sviluppare la sanità digitale, come testimoniato attraverso la “Missione 6 Salute” del Piano nazionale di ripresa e resilienza (PNRR), e ciò lo si evince anche dall’evoluzione delle tecnologie IoT e IoMT presenti all’interno delle strutture sanitarie. Tuttavia, questa progressione non è accompagnata da investimenti adeguati in termini di responsabilità dei sistemi informatici.
Sicurezza in sanità: l’ascesa e le responsabilità dei CIO
In questo ambito, tutte le aziende ospedaliere dovrebbero avere una serie di esperti in grado di poter controllare la struttura informatica e intervenire in caso di malfunzionamenti. Spesso si riscontra un problema anche di responsabilità in quanto i sistemi OT e le periferiche di base sono di competenza della gestione delle strutture, mentre i dispositivi medici spesso rientrano nell’area di ingegneria biomedica. È importante che ci sia coerenza organizzativa e che tutti i sistemi digitali siano sotto un unico punto di responsabilità.
Infatti, le figure sono molteplici, come il DPO (Data Protection Officer), RTD (Responsabile della Transizione Digitale), il CMIO (Chief Medical Information Officer) e si potrebbe continuare, ma queste dovrebbero riportare al CIO – Chief Information Officer.
Cosa fa il CIO in Sanità e i vantaggi della sua presenza nelle strutture sanitarie
Per definizione, il CIO è la persona responsabile della gestione e dell’uso della tecnologia informatica all’interno dell’azienda. Nel quadro sanitario, questa figura dovrebbe essere in grado in coordinare e di essere il responsabile unico della struttura informatica sanitaria per gestire al meglio le scelte legate alla sicurezza del proprio sistema.
I vantaggi derivanti dall’avere il CIO come unico responsabile per la sicurezza digitale sono molteplici. In primo luogo, questa figura è in grado di avere visibilità su tutte le aree tecnologiche, dall’esperienza del paziente, all’azienda o alla ricerca, indipendentemente dal dispositivo in questione. Il CIO non limiterebbe le considerazioni sulla sicurezza solo agli asset aziendali e infrastrutturali tradizionali, ma anche ai dispositivi medici, spaziando tra vecchie workstation e nuovi dispositivi IoT a ultrasuoni. Il CIO non si limita a parlare degli elementi di sicurezza di questi dispositivi ma ha anche giurisdizione in tema di privacy, spesso trascurato se messo in relazione alle esigenze di cybersecurity delle soluzioni.
Questo approccio consentirà di standardizzare le pratiche di sicurezza e di ridurre i punti ciechi che i team di cybersecurity si impegnano a eliminare. Adottando questa struttura, con i vantaggi associati all’espansione e all’applicazione delle politiche di sicurezza a tutti i tipi di dispositivi, progetti e team, il settore sanitario può beneficiare di una maggiore sicurezza informatica, della sicurezza dei pazienti e della disponibilità di servizi di assistenza più completa.
Cybersecurity per la Sanità digitale, l’arma strategica è la formazione
I problemi legati all’aumento di servizi gestiti e in hosting
Un elemento estremamente sottovalutato è la gestione dei dispositivi non gestiti; è prioritario, infatti, avere completa visibilità di tutti i device connessi, senza sottovalutare nessun accesso. Spesso accade che anche il dispositivo più marginale può essere soggetto a un attacco informatico, esponendo le vulnerabilità di tutta la struttura.
Un altro tema molto delicato riguarda i dispositivi medici, in quanto molti non possono accogliere un security agent tradizionale e le scansioni potrebbero interferire con ambienti sensibili. L’approccio migliore è quello di dotare le strutture sanitarie di una piattaforma di asset visibility e security, che consente di generare un inventario per ogni dispositivo medico e non (Smart TV, badge reader, videocamere di sicurezza ecc.); una soluzione di questo genere consente di identificare i rischi e le vulnerabilità dell’ambiente, oltre che garantire una risposta automatizzata agli incidenti. Se la digitalizzazione è una priorità, e con essa anche avere macchine all’avanguardia per prevenire e curare eventuali patologie, allora è importante gestire i sistemi informatici con la stessa cura con cui vengono affrontati i temi più importanti nel mondo sanitario.
Stabilito ciò, la soluzione ideale è quella di avvalersi di servizi gestiti per controllare i sistemi informatici, ossia concedere in outsourcing determinati processi e funzioni per migliorare le operazioni e ridurre le spese. Il vantaggio di questa azione è alleggerire il carico dalle aziende ospedaliere con riferimento agli aspetti tecnici; nuovamente, la figura di raccordo tra l’azienda esterna e l’organizzazione sanitaria deve essere il CIO. I servizi gestiti in generale offrono coerenza, responsabilità e prevedibilità, liberando così risorse preziose per concentrarsi sul personale sanitario.
Anche in termini economici, questa soluzione risulta la più efficace, in quanto non sempre le strutture sanitarie riescono ad allocare un budget adeguato a garantire la presenza di personale qualificato e in grado di gestire i sistemi IT. Esternalizzare questa attività presso grandi organizzazioni high tech può risultare un approccio vincente perché grazie a una maggiore disponibilità economica sono in grado di attrarre personale qualificato. Inoltre, l’esperienza è molto preziosa e costituisce un importante requisito per comprendere il complicato mondo della sicurezza informatica e della gestione delle vulnerabilità in ambito sanitario.
La maggior parte di dati e informazioni si sta spostando nel cloud, e per le organizzazioni sanitarie risulta meno rischioso affidare questa responsabilità ai fornitori di cloud e utilizzare i servizi gestiti per il provisioning, la gestione, il monitoraggio e la sicurezza dei dati.
Crescita della Zero Trust Security
La Zero Trust è un modello di sicurezza che cerca di impedire attacchi che violino la rete. Seguire il framework di sicurezza Zero Trust aiuta le organizzazioni a contenere le violazioni e a ridurre i rischi, perché l’accesso alla rete è segmentato e la verifica continua impedisce lo spostamento verso risorse più critiche. Per questo motivo, l’adozione di un approccio Zero Trust può ridurre al minimo l’impatto di un attacco informatico.
I principi di Zero Trust sono alla base di una corretta strategia aziendale, in quanto consentono di creare un framework e un’infrastruttura per gestire il tema della sicurezza dei dati, della rete e dei dispositivi.
Indagando oltre i principi della Zero Trust, è necessario che l’organizzazione preveda un asset inventory e un monitoraggio continuo dei dispositivi, una forte user identification, compresa l’autenticazione a più fattori e infine una segmentazione della rete. Applicare questo modello a una realtà sanitaria è molto delicato, poiché comporta che i dispositivi medici e i sistemi di gestione siano allineati e inclusi in un’unica strategia di sicurezza, con tutte le difficoltà che questo implica
Consigli per implementare la Zero Trust Strategy nel settore sanitario
Probabilmente il punto centrale di Zero Trust in cui le organizzazioni incontrano maggiori difficoltà non è necessariamente l’implementazione del modello, ma piuttosto la pianificazione e la definizione precisa delle politiche Zero Trust: è importante che queste vengano definite innanzitutto a livello di policy.
Diversi domini di sicurezza contribuiscono a un modello integrato Zero Trust. Ad esempio, la sicurezza e la valutazione degli endpoint, identity management e user authotization, la sicurezza dei dati e la segmentazione della rete. Questi costituiscono più livelli di sicurezza che vengono controllati regolarmente e continuamente per costruire un approccio di difesa in profondità.
Come accennato in precedenza, iniziare con una visibilità completa degli asset è un passo fondamentale. La totale visibilità delle risorse, tuttavia, si è evoluto negli ultimi tempi, soprattutto con l’avvento delle tecnologie IoT. Di pari passo è aumentata la necessità di comprendere la dimensione di un asset, che va oltre quella di un semplice dispositivo. Ad esempio, gli ospedali stanno sfruttando i tablet come monitor a bordo letto e gli ultrasuoni. La semplice identificazione di questi dispositivi non è più sufficiente e trascurare questo contesto può causare l’interruzione dell’erogazione delle cure ai pazienti in caso di applicazione di criteri di rete errati.
L’aspetto successivo è il monitoraggio comportamentale dei dispositivi. Per creare politiche di segmentazione della rete efficaci, è importante capire quali sono i modelli di comunicazione dei dispositivi, sia interni che esterni. La creazione di cluster basati su questi modelli di comunicazione per stabilire una “famiglia” di dispositivi aiuta a semplificare il processo di segmentazione. Un consiglio è quello di confrontare i comportamenti di rete riscontrati in un periodo di tempo più breve, ad esempio una settimana, con quelli riscontrati in periodi di tempo più lunghi, come un mese o un trimestre: questo paragone consente di individuare i comportamenti anomali poco frequenti, ma comunque critici per le operazioni.
La prioritizzazione ricopre un ruolo fondamentale per guidare gli sforzi del progetto. La segmentazione della rete si basa tradizionalmente sul tipo di asset o sul produttore. Ora è possibile adottare un approccio basato sul rischio, in modo che i dispositivi a più alto rischio vengano segmentati per primi, aiutando così le organizzazioni a ridurre più rapidamente la superficie di attacco. Ciò che dovrebbe guidare un’azienda ospedaliera è la definizione del livello del rischio, dando priorità agli aspetti più pericolosi. Ad esempio, i dispositivi a rischio più elevato sono tutti quelli rivolti al paziente? O i dispositivi con le vulnerabilità più critiche? O i dispositivi con accesso illimitato a Internet? In generale, la mia raccomandazione è che si possono (e si devono) combinare questi diversi elementi per arrivare al rischio più elevato, come i dispositivi con vulnerabilità critiche che comunicano con Internet ed eseguono scansioni sui pazienti. Ricordate di applicare sempre la criticità e l’impatto aziendale quando valutate il rischio: non bisogna considerare solo il rischio tecnico.
Conclusioni
Questi sono ottimi punti di partenza per un ospedale che voglia adottare un’architettura Zero Trust. Un’ultima nota è quella di iniziare in piccolo. Gli ostacoli al successo di Zero Trust sorgono spesso quando le organizzazioni sanitarie cercano di affrontare l’intero progetto in una volta sola. Un modello Zero Trust non può essere implementato da un giorno all’altro. Possono essere necessari mesi, a seconda della maturità del programma e dei controlli di sicurezza disponibili. Iniziare con controlli di base e approcci semplificati può aiutare a ridurre la superficie di attacco e il rischio, senza compromettere la disponibilità dei servizi di assistenza ai pazienti. Tuttavia, ogni organizzazione ha la capacità, a un certo livello, di intraprendere questo percorso e di contribuire alla sicurezza del settore sanitario nel suo complesso.