La sicurezza informatica in ASL e in ospedale: istruzioni per l’uso

Quale CIO non ha mai avuto una sentita rimostranza (o occhiatacce in ascensore) per aver negato ai propri colleghi una “stupidaggine” come consultare la propria posta personale su Google o Yahoo…o altri “famosi” provider? Chi non è mai stato tacciato di fare del proprio ruolo uno strumento i potere interdicendo l’accesso “innocente” a Facebook, o altri untori della stessa specie? Purtroppo la stragrande maggioranza degli utenti degli strumenti informatici aziendali ignora che queste “semplicissime azioni del quotidiano” possono, in un Sistema Informativo Ospedaliero, mettere a repentaglio qualche decina di diritti fondamentali protetti dal Trattato di Lisbona e dalla Carta di Nizza, oltre che il ruolo e la reputazione di chi è deputato sovraintendere alla sicurezza dei dati aziendali, per non parlare delle tutele rigidissime del Garante e della Costituzione, con tutti i relativi risvolti di carattere penale. In realtà la cosiddetta Security Awareness, che è un modo elegante per definire lo sforzo che ogni Azienda Sanitaria deve fare per educare i propri dipendenti all’uso consapevole degli strumenti aziendali in generale e del web in particolare, è ancora un termine da manuale, poco contestualizzato. Per rendere istituzionale tale impegno e definire delle linee guida sui comportamenti da tenere da parte della PA al fine di tutelare i propri sistemi informativi, è stata promulgata la Direttiva del Presidente del Consiglio dei Ministri 1 agosto 2015

Vediamo dunque quali sono i fondamentali “quick wins” da adottare per cercare di evitare di chiamare l’esorcista ogni volta che accediamo al dominio aziendale. In realtà basta concentrarsi su un piccolo numero di controlli attuabili con benefici immediati, nell’ottica del “must do first”, attuando quei passaggi che forniscono significativa e immediata riduzione del rischio contro gli attacchi più comuni.

La prima azione consiste nel non permettere all’ utente smart di scaricare SW che non sia nella vostra whitelist aziendale (difficilmente l’oggetto del desiderio lo sarà), bloccando l’esecuzione di qualunque applicativo non autorizzato. Gestire attivamente (inventariare, tracciare e correggere) tutti i software sulla rete in modo che sia installato ed eseguito solo software autorizzato, mentre il software non autorizzato e non gestito sia individuato e ne venga impedita l’installazione o l’esecuzione. Inoltre è sempre bene utilizzare le configurazioni standard consigliate per i sistemi operativi (non lasciate che il tecnico smanettone faccia configurazioni “personalizzate” che di solito sono tappeti rossi per trojan, virus, ransomware, e via discorrendo) . Istituire, implementare e gestire attivamente (tracciare, segnalare, correggere) la configurazione di sicurezza di laptop, server e workstation utilizzando una gestione della configurazione e una procedura di controllo delle variazioni rigorose, vi consentirà di evitare che gli attacchi informatici possano sfruttare le vulnerabilità di servizi e configurazioni.

Altro consiglio è quello di utilizzare strumenti di scansione automatica delle vulnerabilità con cadenza settimanale o anche più frequenti e allertare ogni amministratore di sistema rispetto alle azioni di contrasto alle vulnerabilità più critiche perché prevenire è meglio che combattere. Controllare l’installazione, la diffusione e l’esecuzione di codice maligno in diversi punti dell’azienda, ottimizzando al tempo stesso l’utilizzo dell’automazione consentirà il rapido aggiornamento delle difese, la raccolta dei dati e le azioni correttive. Acquisire, valutare e intraprendere continuamente azioni in relazione a nuove informazioni vi permetterà di individuare più facilmente le vulnerabilità, e di correggere e minimizzare la finestra di opportunità per gli attacchi informatici. Le misure di prevenzione, destinate ad impedire il successo dell’attacco, devono essere affiancate da efficaci strumenti di rilevazione, in grado di abbreviare i tempi, pericolosamente lunghi, che intercorrono dal momento in cui l’attacco primario è avvenuto e quello in cui le conseguenze vengono scoperte. Oltre tutto una lunga latenza della compromissione rende estremamente complessa, per la mancanza di log, modifiche di configurazione e l’individuazione dell’attacco primario, impedendo l’attivazione di strumenti efficaci di prevenzione che possano sicuramente impedire il ripetersi degli eventi.

Ritorna poi utile ridurre il numero di utenti con privilegi amministrativi e utilizzare gli account amministrativi solo quando sono necessari. Implementare un sistema di tracciatura e di monitoraggio degli accessi e il controllo dei comportamenti anomali. Introdurre regole, processi e strumenti atti ad assicurare il corretto utilizzo delle utenze privilegiate e dei diritti amministrativi. E’ anche opportuno utilizzare tools che permettono di distribuire rapidamente i pacchetti di aggiornamento per le applicazioni di terze parti, senza la necessità di privilegi amministrativi. Limitare infine l’utilizzo di device esterni non controllati. Gestire attivamente tutti i dispositivi hardware sulla rete (tracciandoli, inventariandoli e mantenendo aggiornato l’inventario) in modo che l’accesso sia dato solo ai dispositivi autorizzati, mentre i dispositivi non autorizzati e non gestiti siano individuati e sia loro impedito l’accesso. Gli attacchi informatici cui è sottoposta la PA sono caratterizzati dalla sofisticazione delle strategie e degli strumenti utilizzati. La trappola in cui normalmente si cade è il mascheramento dell’attività di intrusione, che consente il subdolo insediamento dell’invasore in modo tale che l’introduzione nel sistema procedere senza destare sospetti.

Contro tutto ciò, pur tenendo nella massima considerazione le difese tradizionali, quali gli antivirus e la difesa perimetrale, la miglior difesa sta nel limitare le attività degli utenti all’interno dei limiti previsti. Infatti elemento comune e caratteristico degli attacchi più pericolosi è l’assunzione del controllo remoto della macchina attraverso una scalata ai privilegi.

In ogni caso, ciò che garantisce un sistema dopo un incidente è sicuramente un backup periodico. Vanno adottate procedure e strumenti necessari per produrre e mantenere copie di sicurezza delle informazioni critiche, così da consentirne il ripristino in caso di necessità.

Ma non basta duplicare i dati. Essi vanno protetti attraverso processi interni, strumenti e sistemi necessari per evitare l’esfiltrazione delle informazioni, mitigarne gli effetti e garantire la riservatezza e l’integrità dei dati sensibili e/o rilevanti

Ma giocare in difesa non basta, per poter avere un controllo completo dei propri sistemi bisogna anche dotarsi di strumenti che siano in grado di individuare le metodologie di attacco ed identificare la fonte di attacchi stessi.

Ma se la miglior difesa consiste nella security by design, ovvero nella progettazione della propria infrastruttura di sicurezza implementata nativamente alla progettazione dell’architettura di sistema, quando ciò non è possibile, allora diventa necessario rivolgersi ad esperti che però sono molto costosi e non tutte le aziende sono in grado di acquisire e mantenere una divisione interna cyberdifesa veramente efficace. Il trend di mercato è orientato al modello di servizio (security as a service) che consente di contare su esperti o tecnologie che proteggono l’infrastruttura con costi contenuti, che però è ben altro che un modello di outsourcing classico.

Concludendo, la domanda che un CIO per primo e un DG di conseguenza, in qualità di legale rappresentante dell’Azienda, devono porsi è: < >

Alla domanda si risponde definendo in maniera chiara quali controlli dovrebbero essere implementati per ottenere un determinato livello di sicurezza, da quello minimo, che è quello sotto il quale nessuna amministrazione può scendere, a quello alto cui può riguardarsi come un obiettivo a cui tendere.

Il raggiungimento di elevati livelli di sicurezza, quando è molto elevata la complessità della struttura e l’eterogeneità dei servizi erogati, può essere eccessivamente oneroso se applicato in modo generalizzato. Pertanto ogni Amministrazione dovrà avere cura di individuare al suo interno gli eventuali sottoinsiemi, tecnici e/o organizzativi, caratterizzati da omogeneità di requisiti ed obiettivi di sicurezza, all’interno dei quali potrà applicare in modo omogeneo le misure adatte al raggiungimento degli obiettivi stessi.

Queste considerazioni speriamo permettano a chi ha la responsabilità della guida di un’azienda di definire il valore della Sicurezza (intesa come Information Security) e di posizionarlo all’interno della scala dei valori aziendali apportando numerosi benefici, tra i quali:

• Incremento della consapevolezza delle persone sulle proprie responsabilità riguardo all’IT Security (Security Awareness)
• Definizione degli obiettivi in ambito Security
• Integrazione della Sicurezza Informatica nei valori aziendali
• Supporto alle Funzioni operative
• Definizione o ridefinizione di Vision e Mission con un occhio di riguardo alla Cyber Security