Come difendere i dati sanitari, la strategia dell’Istituto Europeo di Oncologia

“La crescita degli attacchi informatici rende quanto mai urgente per il settore sanitario adottare strategie avanzate di cybersicurezza. I dati del Rapporto Clusit 2023 confermano la Sanità come il terzo settore più colpito a livello mondiale con il 12% degli attacchi (+16% rispetto al 2021). In questo contesto la cybersecurity richiede un approccio attento alle nuove tecnologie, che possano garantire livelli elevati di difesa, ma anche un’attenzione alla formazione delle persone, per accrescere la consapevolezza del rischio”, afferma Demetrio D’Amico, CISO del gruppo IEO, comprendente l’Istituto Europeo di Oncologia e il Centro Cardiologico Monzino.

Gli Istituti milanesi, eccellenza delle cure oncologiche e cardiovascolari e polo di ricerca scientifica in entrambi i settori (in quanto IRCCS), hanno adottato una strategia che comprende soluzioni Microsoft, implementate tramite il partner Microsys, formazione del personale e l’istituzione di strutture di indirizzo a livello manageriale. Tra le tecnologie si possono annoverare la gestione delle identità e degli accessi e il monitoraggio degli eventi tramite tecniche di Machine Learning, per garantire un approccio proattivo e predittivo alla sicurezza.

I dati sanitari valgono più di una carta di credito

I dati sono il cuore delle strategie di cybersicurezza di un Istituto sanitario. Per le loro attività cliniche e di ricerca, IEO e Monzino gestiscono un’ingente quantità di dati personali sensibili, inclusi quelli genetici. “Il dato sanitario è estremamente appetibile per gli hacker, in quanto monetizzabile e senza scadenza: rimane redditizio nel tempo”, afferma D’Amico. “La cartella clinica di un paziente può valere molto di più, sul mercato del cybercrimine, delle informazioni di una carta di credito. Il GDPR ha rappresentato da questo punto di vista una svolta per tutto il settore sanitario, perché ha sensibilizzato i manager, spinto verso un potenziamento degli investimenti e avviato un cambiamento culturale”.

Anche il Gruppo IEO si è mosso lungo queste direttrici. Sul piano della cultura e della sensibilizzazione, gli Istituti realizzano periodiche sessioni di Security Awareness per il personale sanitario insieme al Data Protection Officer (DPO). Hanno inoltre costituito il comitato per la Data Protection, che coinvolge il management, a partire dal DPO e dal CISO. “Si tratta di un gruppo di lavoro che condivide conoscenze sui potenziali rischi cyber ed elabora azioni in modo flessibile e veloce”, racconta D’Amico. “La variabile tempo è molto importante nella cybersicurezza: occorre essere proattivi, anzi, meglio ancora predittivi, per evitare che la problematica cyber possa scalare”.

I 4 livelli della cybersicurezza e l’analisi del rischio

Ci sono poi gli investimenti tecnologici. I partner IT per la cybersicurezza sono un elemento chiave della strategia di IEO e Monzino e vengono selezionati sulla base delle garanzie offerte, in particolare le certificazioni delle competenze del personale. Di qui la scelta di Microsys come partner di Microsoft: “Ci assicura progetti condotti con puntualità, professionalità e grande competenze sul merito. Abbiamo sempre chiarezza sulla roadmap e sulla parte economica”, afferma D’Amico. Insieme a Microsys e Microsoft, IEO ha implementato un sistema di protezione che agisce su quattro livelli: identità/accessi, dati, processi, infrastrutture. La priorità risiede nel controllo delle identità e degli accessi e nella governance del dato, a partire dalla sua categorizzazione, da cui ne discende la diversificazione dei livelli di servizio e del lifecycle.

Il team di D’Amico ha poi costruito, attraverso l’analisi dei log analytics, una serie di dashboard che permette allo staff della cybersicurezza e della Data Protection di rilevare gli eventi in tempo reale sui sistemi informativi e identificare i comportamenti anomali.

Sono state infine implementate tecniche bayesiane di inferenza statistica legate a motori di Machine Learning, una forma di intelligenza artificiale che permette a IEO di monitorare costantemente tutto il patrimonio informativo, di rilevare in tempo reale eventuali anomalie e far scattare tempestivamente avvisi e azioni correttive.

“L’AI è fondamentale, la applichiamo a tutta la nostra cyber-difesa e questo fa la differenza”, afferma D’Amico. “Ma occorre partire da dati categorizzati, classificati e normalizzati, in modo da estrarre solo quelli rilevanti ai fini della protezione cyber e dell’adozione di un approccio proattivo”.  Serve, cioè, il lavoro umano dei Data Scientist, che filtrano dalla massa dei dati le informazioni su cui concentrare l’analisi. “In generale, la base su cui poggia tutto il sistema – chiarisce il CISO di IEO – è la conoscenza approfondita del proprio sistema informativo, perché solo così è possibile proteggerlo”.

Individuare i punti deboli e prevenire l’attacco

Con Microsys e Microsoft la Direzione IT di IEO e Monzino ha costruito un piano di attività per la protezione lungo i 4 livelli descritti, che “permette di difendere un perimetro aziendale sempre più fluido”, evidenzia D’Amico. Sono previste 50 diverse attività classificate in base alle priorità, il che implica che ve ne sono alcune su cui i team del CISO si concentrano maggiormente, perché sono critiche o possono nascondere maggiori rischi, come le applicazioni web per la telemedicina, la posta elettronica e la supply chain.

Per esempio, sulla sicurezza delle e-mail, IEO adotta tecnologie evolute per il monitoraggio dei dati, protocolli cifrati e protezione di rete e procede annualmente ad una eventuale operazione di “bonifica”. Quanto al controllo sui fornitori esterni, si tratta di un’attività che l’Istituto milanese svolge da anni con operazioni di messa in sicurezza o mitigazione. La supply chain di IEO è molto ampia e capire come il fornitore sia strutturato permette di valutarne i potenziali cyber rischi. È come se “avessimo un altro ospedale da proteggere”, sottolinea D’Amico. 

“La sicurezza informatica non può essere vista come un insieme di silos separati, ma richiede un approccio integrato. La strategia attuata da IEO sulla protezione di dati, processi, infrastrutture e identità/accessi va in questa direzione. Soprattutto sul tema identità, che ormai è uno degli ambiti più critici da gestire, l’aver adottato Microsoft Defender for Identity è un punto di forza fondamentale: grazie alla possibilità di rilevare comportamenti sospetti e attacchi avanzati attraverso l’utilizzo di algoritmi intelligenti e dell’apprendimento automatico si può ottenere una panoramica completa sulla sicurezza delle identità consentendo anche una risposta rapida e coordinata agli attacchi e creando una difesa sinergica del panorama digitale” Enrico Pennati, BU System & Security Technical Manager di Microsys

Il fattore umano: i decaloghi della sicurezza

Secondo il Rapporto Clusit, il malware rappresenta la tecnica con cui nel 2022 è stato sferrato il 37% degli attacchi globali; seguono vulnerabilità (12%), phishing e social engineering (12%), in crescita del 52% sul totale rispetto al 2021.

“Nessuna tecnologia può resistere al social engineering, per questo il fattore umano e la formazione sono così importanti”, evidenzia D’Amico. Oltre alle sessioni di awareness, il Gruppo IEO ha creato un decalogo o norme comportamentali sulla cybersecurity che semplificano l’apprendimento delle procedure di sicurezza da parte dei dipendenti. Si tratta di un regolamento a tutti gli effetti, ma reso in tal modo facile da ricordare.

Il team del CISO svolge anche test e simulazioni di phishing con gruppi del personale, da cui emerge che il 50% del pericolo arriva dallo spare phishing, “che fa leva sull’emotività della persona, il suo istintivo sentimento di paura o la fretta”, indica D’Amico, concludendo: “Un buon team di cybersecurity interno deve anche funzionare da sistema di rilevamento human, portando alla luce e sanando i comportamenti non corretti delle persone dal punto di vista della cyber hygiene”.