Cybersecurity, imperativo il lavoro di squadra. Cosa è emerso dall’Innovation Lab di FORUM Sanità 2024

Il mondo della Sanità e la sua complessità, tra rivoluzione tecnologica, importanti sfide e nuove criticità, sono stati al centro dei lavori dell’annuale appuntamento con il FORUM Sanità, che si è tenuto il 23 e il 24 ottobre a Roma. Nel corso dell’evento, che ha avuto come location lo Zest di via Marsala a Roma, si è parlato anche di cybersicurezza e di come questa sia diventata un’area da programmare, finanziare e implementare costantemente, per un settore che fornisce servizi essenziali ai cittadini, ma che è anche economicamente cruciale per i territori. Occasione per analizzare, ma anche testare lo stato dell’arte della protezione delle aziende sanitarie nei confronti del crimine informatico è stato l’Innovation Lab Cybersecurity, realizzato in collaborazione con INIX Group, al quale hanno partecipato Direttori Aziendali Sanitari, Chief Information Security Officer (CISO) e Data Protection Officer (DPO).

Il cybercrimine e le minacce in ambito sanitario

Il rapporto Clusit 2024 rileva un raddoppio degli attacchi alle aziende sanitarie, passati dal 3% del periodo pre-pandemico e dal 9% del 2021-22, fino al 14% del 2023. Tra le tipologie di attacco più utilizzate dal cybercrimine, il malware è di gran lunga quello più ricorrente (73% degli attacchi), a seguire gli accessi non autorizzati, i dati compromessi o criptati. “Il numero di ransomware e di richieste di riscatti per avere accesso ai propri dati inizia a essere notevole, al punto che ormai la domanda da porsi per i dirigenti delle aziende sanitarie, pubbliche e private, non è più se verranno attaccati, ma quando verranno attaccati” ha commentato Simone Pretti, Sales Director di INIX Group Italia, intervenuto al tavolo di lavoro. Gli autori di questi attacchi sono ancora molto spesso entità criminose digitali anonime che si celano dietro sigle o nickname. L’elemento più preoccupante è la sempre maggiore gravità degli incidenti in questo settore, classificati nel 53% dei casi come critici, mentre sono stati praticamente nulli quelli a basso impatto. Oggi non si guarda in faccia a nessuno e la tendenza post covid è che le strutture sanitarie non vengono risparmiate. Inoltre, l’AI permette di costruire minacce serie come i ransomware senza necessità di essere degli hacker esperti. “È proprio così. La mia esperienza in diverse aziende lo conferma – ha aggiunto Pretti –. È una dramma e bisognerebbe vergognarsi di questo. Il numero di attacchi sta raddoppiando, e purtroppo questo accade ancora di più in maniera cinica su un dato clinico: se non accedo più alle immagini per capire come evolve un tumore è un problema davvero serio e dannoso per i cittadini”. I punti di accesso che consentono a queste minacce di trasformarsi in incidenti effettivi sono molto spesso vulnerabilità di sistema, segno che la capacità di protezione delle organizzazioni non è ancora al passo con la sfida globale a cui sono chiamate. La consapevolezza va aumentando lentamente, grazie in parte ai più recenti atti normativi come la Direttiva Europea NIS2 e la legge 90/2024 che impongono una serie di misure di gestione degli incidenti, tra cui l’obbligo di continuità e di segnalazione all’ACN entro 24h, con una prima relazione dettagliata entro 72h. I cyberattacchi, ma anche gli incidenti interni, comportano rischi notevoli in ambito sanitario non solo dal punto di vista reputazionale ed economico, ma anche per lo stesso diritto alla salute e alla privacy dei pazienti. Per riflettere e misurarsi su un fenomeno criminale che silenziosamente minaccia un comparto così cruciale, il tavolo di lavoro ha utilizzato il metodo della simulazione di crisi a seguito di incidente IT. Obiettivo è stato quello di promuovere uno scambio di competenze tra i professionisti dei processi di innovazione e i dirigenti pubblici e privati, creando un’occasione di confronto e discussione sul tema della vulnerabilità del Sistema Sanitario Nazionale.

Incident management in sanità: la simulazione

Sono le 14 di un giorno lavorativo qualsiasi e dal reparto di radiologia viene segnalato un incidente sulle immagini diagnostiche. In mezz’ora cinquanta segnalazioni arrivano da varie parti di Italia, sia da utenti e che personale medico. Dopo un’ora e mezza arriva la richiesta di riscatto: si tratta di un ransomware. Gli hackers chiedono 3 milioni da pagare entro 24 ore. Sembra partita un’escalation, poi alle 17.30 viene scoperto il punto di ingresso: un fornitore ha fatto un minor change che ha infettato tutti i pc e tutti le macchine delle diverse strutture (anche i server). Quali misure vanno prese?

I relatori del tavolo hanno dato vita a un vivace e costruttivo confronto di idee e di esperienze, da cui è stato redatto un documento di sintesi e di raccomandazioni. Le priorità dell’incident management sono tante: dal fare un’analisi del perimetro dell’incidente, al fare una classificazione del tipo di attacco e dei dati compromessi. Nel pieno della bufera, inoltre, bisogna comunicare in maniera puntuale e precisa, azzerando improvvisazione ed emotività. C’è poi la necessità primaria di valutare l’impatto aziendale e garantire l’operatività dei servizi essenziali: è stata fatta una business impact analysis? Siamo in condizioni di attivare il piano di disaster recovery? Il contenimento è un principio operativo inderogabile: isolamento delle aree essenziali, processi continui di backup dei dati, rigide procedure di accesso dei fornitori, utilizzo dei network access control che impediscano intrusioni interne alla struttura. Tutti fattori che nel loro insieme fanno la differenza tra un incidente controllabile e uno fuori controllo, con ricadute a cascata anche al di fuori del sistema stesso.

Il risk management in Sanità

Il settore sanitario si trova ad affrontare sfide sempre più complesse in termini di cybersecurity. La dipendenza crescente dai sistemi informativi rende gli ospedali vulnerabili a cyberattacchi che possono compromettere l’accesso ai dati dei pazienti, interrompere le operazioni e causare gravi danni reputazionali.  “Bisogna capire innanzitutto che i sistemi informativi sono fondamentali per fare funzionare un ospedale – ha proseguito Simone Pretti di INIX Group Italia –. Non si parla più di un sistema secondario, ma di valore aggiunto. Perché se entrano dei virus, non si accede ai dati, non si accede alle immagini, ai referti o non si recuperano più i dati storici, sono problemi importanti. Secondo, importante anche capire com’è il flusso delle informazioni all’interno e come devono girare queste informazioni tra i diversi attori”. Una delle caratteristiche del settore è quello di avere tanti fornitori posizionati in ruoli chiave della catena operativa, tanto da poter dire che fanno sicuramente parte dell’ecosistema. Un elemento questo che deve essere valutato dal punto di vista security sullo stesso piano delle altre strutture in house. Le certificazioni formali, i vari collaudi e le simulazioni di incidente, necessari a mantenere aggiornati ed effettivamente operativi i piani di crisi, devono coinvolgere quindi tutte le strutture e tutti i livelli, fornitori compresi. La sensibilità del management, in particolare dei direttori amministrativi, diventa spesso una discriminante chiave perché vengano adottate tutte le misure e le attività necessarie a prevenire crimini potenzialmente molto impattanti. Spesso c’è sottovalutazione, con la conseguenza che il budget allocato non è sufficiente. I dettagli poi in questo ambito fanno la differenza, per cui bisogna avere una conoscenza completa e profonda dell’azienda, delle sue strutture e dei suoi processi di business, andando a considerare tutti gli aspetti, e non solo quelli tecnologici. Stessa cura del dettaglio che deve estendersi anche alla Comunicazione, compresa quella istituzionale verso l’ACN. Tutto deve essere chiaro, condiviso e previsto in anticipo, ad esempio preparando dei template di testo già deliberati e facilmente identificabili, che permettano ai responsabili di comunicare in maniera funzionale e sintetica, sia internamente che esternamente. Relatori concordi anche intorno al nodo della Formazione. È quanto mai opportuno formare il personale in maniera continua e diffusa a tutti i livelli, dai massimi ruoli dirigenziali (compresi quei Direttori Generali che poi saranno chiamati a prendere le decisioni chiave nel pieno dell’emergenza) fino al personale sanitario. Una necessità che appare tanto più chiara se consideriamo che il personale IT, al quale tutti in piena emergenza andranno a chiedere conto o di fare il miracolo, dovrà invece in quel momento essere sereno e isolato per focalizzarsi direttamente sulle cause e le soluzioni all’incidente.

l ruolo di Inix Group e le prospettive future

INIX Group, come azienda specializzata in cybersecurity, offre un supporto fondamentale alle strutture sanitarie, fornendo competenze e risorse specializzate che gli ospedali non possiedono internamente. “INIX Group è la classica azienda chiamata terza parte che fa tutte quelle attività di competenza assoluta che un ospedale non può avere. Da tutta la programmazione delle infrastrutture e del disegno tecnologico delle infrastrutture di ambito sicurezza, come i firewall, o la progettazione della rete stessa, fino alla valutazione quali sono le condizioni di messa in sicurezza delle varie postazioni lavoro. Non solo – ha concluso Simone Pretti di INIX Group Italia –, ma anche gestendole con personale che fa assistenza h24, monitoraggio dei sistemi e applica anche le procedure di emergenza qualora dovesse esserci un attacco o una problematica”. Le normative stanno cambiando un po’ la visione e consapevolezza delle aziende sanitarie. Il tema dell’Unità di crisi è molto in auge, sebbene operativamente complesso. Le strutture sono spesso vetuste e le tecnologie avanzano molto rapidamente, rendendo non semplice trovare il punto di caduta e un comune senso di appartenenza all’azienda. La tendenza è che ogni reparto pensa in primis a sé stesso, con una mentalità a compartimenti stagni. Bisogna saper fare squadra e avere una visione di insieme. Fino ad ora si è difeso il proprio fortino – è la conclusione dei relatori, tirando le somme dell’incidente simulato –. Contro le nuove minacce una soluzione può essere il modello “cabina di regia delle emergenze”, così come nuove forme di partenariato pubblico/pubblico in tema di Security, con il coinvolgimento di soggetti più ampi. È il momento di mettere in campo un nuovo approccio collaborativo.