Andrea Assunto, CISO del Policlinico San Matteo di Pavia, ha portato al convegno organizzato da CWI l’esperienza di chi ogni giorno sul campo affronta i problemi della sicurezza informatica nelle strutture sanitarie. Un compito che si è complicato negli anni con l’avvento dei dispositivi medicali digitali, la telemedicina e il crescere degli attacchi informatici.

Fino a qualche anno fa, ha iniziato il suo intervento, i dispositivi elettromedicali vivevano di vita propria con carta e lastre. Tutto nasceva e moriva su questi supporti. Con l’era digitale invece sono arrivati numerosi strumenti collegati alla rete a partire dal misuratore di pressione del telefonino per arrivare al cloud. Da qui nascono i problemi perché questi dispositivi hanno un on board software obsoleto e sono applicazioni chiuse non orientate alla sicurezza con l’impossibilità, per esempio, di cambiare password (spesso molto semplici). Inoltre il mercato non protegge più questi software ormai obsoleti che non possono essere aggiornati. Oppure ci sono interfacce anch’esse obsolete che mal si adattano a standard di sicurezza ottimali.

Il cybersecurity framework

Una manna per gli attaccanti che di solito puntano a bloccare attività ospedaliera o rubare il dato clinico che ha un valore importante sul mercato nero. Così gli attacchi aumentano e si va dal malware chiamato Kwampirs rilevato in macchine per il controllo di apparati per raggi X e risonanza magnetica, oltre che nelle macchine impiegate per la compilazione delle dichiarazioni di consenso dei pazienti per arrivare al caso estremo in Germania con il primo decesso in un pronto soccorso causato da un attacco malware che ha provocato il blocco dell’operatività.

Per fare fronte a questa situazione in Italia la normativa NIS individua 465 Operatori di servizi essenziali, il cui elenco è secretato, che non possono subire un’interruzione del servizio. Per raggiungere questo obiettivo è stato elaborato un cybersecurity framework che individua una serie di pratiche per le organizzazioni sul fronte della sicurezza. Identificazione, protezione, detenzione, risposta e recover sono le cinque macro categorie suddivise poi in altre sottocategorie che permettono a queste organizzazioni di effettuare un assessment e valutare la propria situazione in ambito sicurezza. Applicare questo framework ha ovviamente dei costi. Pensiamo alla telemedicina con i dati che passano fuori dall’azienda ospedaliera. In questo caso i dati devono essere crittografati, ci vogliono password sicure e tracciabilità dei dati per evitare che possano essere manipolati. Il Piano di valutazione dei rischi ha il compito di valutare la tipologia dei servizi forniti e deve prevedere una procedura dei rischi individuati, la valutazione periodica delle possibili minacce e la formazione degli utenti che in realtà sono i primi nemici visto che spesso mal si adattano a misure di sicurezza come il cambio password continuativo o la conservazione di documenti in aree sicure.

L’esperienza del San Matteo

Al San Matteo, tra i primi in Italia, abbiamo seguito un percorso innovativo e individuato fornitori esterni, che affiancano il team di quattro persone oltre a me che quotidianamente si occupano di sicurezza, con soluzioni consone al nostro ambito. Anche con la collaborazione della Regione Lombardia abbiamo applicato il framework di cybersecurity per l’analisi dei rischi per poi elaborare un documento di analisi della postura con un piano di remediaton per mitigare il rischio. Abbiamo così individuato quattro aree con il SIEM (Security Information and Event Management), organismo che raccoglie eventi e allarmi e che con l’utilizzo di algoritmi stabilisce se l’evento è malevolo. Mdr è un software posizionato in ogni pc che traccia tutte le attività di quella postazione, mentre i punti più deboli, i dispositivi medici, sono protetti da infrastruttura ad hoc gestita da una control room virtuale che correla tuti gli eventi dei dispositivi e individua se c’è un possibile attacco in corso. Un SoC esterno garantisce il controllo sulla rete H24 con un’attività continua di monitoraggio.

Rimane il problema della formazione degli utenti. Nel mondo sanitario è infatti difficile fare formazione. Dal punto di vista aziendale invece i maggiori problemi possono arrivare da un eventuale blocco del pronto soccorso o del laboratorio di analisi. L’altra minaccia è economica e riguarda il possibile ricatto da parte dei ransomware. Per il futuro la buona notizia è che la direttiva NIS obbliga i fornitori ad applicare metodologie di sicurezza del software by design, ma bisognerà aspettare qualche anno prima che gli ospedali rinnovino il loro parco dispositivi medici con i prodotti di nuova generazione. E poi c’è il PNRR che stanzia importanti fondi ad hoc per la sicurezza.