In collaborazione con Progettare per la sanità Edra

Cybersecurity e sanità: la strada è ancora lunga

Cybersecurity e sanità: la strada è ancora lunga
Bitdefender mette a nudo i problemi della sicurezza nelle strutture ospedaliere. Il phishing come metodo preferito di attacco
Luigi Ferro

Collaboratore Giornalista professionista dal 1992, ha cominciato con la cronaca sul quotidiano l’Unità e sul mensile Società Civile, per poi passare al settore informatico scrivendo ... Leggi tutto

La strada è ancora lunga. L’Healthcare Cybersecurity Global Trends di Bitdefender fotografa la situazione della cybersicurezza nella sanità italiana e ne evidenzia i punti di debolezza. Presentata da Denis Valter Cassinerio, Regional Sales Director Sud Europa, all’evento organizzato dal Clusit, l’indagine in Italia ha raccolto i pareri per l’85% di aziende pubbliche e il 15% private con il 77% dei rispondenti che lavorano nell’IT e l’8% nell’ingegneria clinica e la presenza di strutture di dimensioni particolarmente rilevanti visto che il 40% ha più di 500 posti letto.

L’importanza della cybersecurity è confermata dal dato che la piazza al terzo posto a livello mondiale fra gli investimenti che nel 61% dei casi sono indirizzati verso telemedicina e virtual care delivery, big data (46%) e sicurezza per il 42%. Le sfide sono tante e riguardano l’integrazione di strumenti e necessità che devono combinare la cura del paziente con la sicurezza delle informazioni e quella dei dispositivi che devono garantire la vita del paziente.

Il quadro è peggiorato

Per questo c’è la necessità di conciliare la medicina virtuale con un numero impressionante di oggetti e dispositivi medici smart che allargano la superficie di attacco e hanno poca o nulla interoperabilità tra loro, sistemi operativi diversi e bios datati. Il quadro è peggiorato da una situazione di enorme tensione sul fronte della sicurezza dovuta a un continuo ricorso a phishing mirato e ransomware e alla mancanza di soluzioni efficienti di sicurezza e protezione, rilevamento e analisi.

A livello mondiale il phishing con il 57% è il preferito dagli hacker seguito dal credential harvesting attacck (21%) e a pari merito da ransomware (Wannacry soprattutto) o altri malware e social engineering con il 20%. L’Italia non fa eccezione. La telemetria di Bitdefender mostra un quadro sempre più preoccupante di attacchi al sistema sanitario. Non tutti sono sui giornali ma frequenza e volume (mai sotto i settemila attacchi negli ultimi mesi con punte fino a 10,9 in gennaio) tende a non scendere sotto una certa soglia, rispettando peraltro alcuni ambiti stagionali. Il furto delle informazioni e delle credenziali è al primo posto e il ransomware segue.

Con uno sguardo generale il dato sul livello medio della protezione si ferma al 57% con punte che arrivano al 76% nell’ambito della protezione dei punti terminali di elaborazione “dove – commenta Cassinerio – c’è un buon livello di preparazione così come buona visibilità degli asset. C’è la sufficienza nell’ambito della gestione della protezione degli account (67%) con logiche di password molto interessanti (66%), ma valori non pienamente sufficienti nella protezione dei processi di telemedicina (59%)”.

Un dato migliore ci si poteva aspettare per l’adeguamento ai protocolli Agid, le misure minime di sicurezza (56%), e poi, prosegue il manager di Bitdefender, ci sono problemi nella messa in sicurezza della superficie di attacco (56%) e molto bassi sono gli elementi protection layer in particolare riguardo i dispositivi medici (41%), per non parlare della presenza di sistemi operativi datati (36%).

Nella Detection il livello medio scende e si passa al 44% e gli istituti sanitari dimostrano di avere lacune dove ci sono attacchi di tipo persistente (54%) andando ancora più in difficoltà quando si tratta di identificare l’indicatore di compromissione e di attacco (49%) “temi legati a una profonda conoscenza della cyber”, osserva Cassinerio.

I problemi sono ancora maggiori nel momento in cui bisogna determinare le sorgenti dell’attacco (43%) e quando si a verificare lo stato di rischio, anche utilizzando protocolli o strumenti messi a disposizione dalla PA, si inizia ad avere valori molto bassi (36%) in particolare negli strumenti per l’analisi del rischio nella visibilità del risk level o la possibilità di capire quotidianamente il livello di pericolo e dare la priorità alle risorse per ritornare a uno stato di sicurezza accettabile. Ancora peggio (33%) per i dispositivi di natura diagnostica dove non si capisce dove è il rischio quali sono le particolare problematiche si devono affrontare.

Insufficiente (49%) è anche la risposta delle strutture sanitarie a un eventuale attacco. Se si arriva al 60% in caso di attacco ransomware e velocità di risposta si scende al 56% per quanto riguarda il piano di risposta agli incidenti e al 50% per i tempi di risposta del “perimetro di sicurezza cibernetica”. Valori ancora più bassi, arriviamo al 37% per gli attacchi simulati che dovrebbero verificare l’efficienza del sistema e rafforzare i processi di resilienza e (33%) per l’esistenza di un Security operation center.

Altro problema, che riguarda l’IT in generale, è quello degli skill dove l’efficiency rate è del 46%. In questo caso, spiega Cassinerio, si assiste a un turnover relativamente basso (66%), alla presenza di consulenti (67%), ma alla convinzione che il livello della formazione del personale non sia adeguato (47%) così come la quantità del personale dedicato alla sicurezza (46%). Sul fronte budget la media è del 53% con il 66% che sostiene come una volta approvato non ci sono rischi di tagli con una pianificazione che di solito non supera l’anno, ma anche se c’è l’ok non sempre i fondi sono pronti per essere utilizzati (50%), sintomo di difficoltà in ambito amministrativo.

“Il percorso da fare – commenta in fine Cassinerio – è ancora lungo e tortuoso. C’è la necessità di un approccio più specifico per ogni elemento anche per la tensione fra ingegneria clinica e II. La tendenza comunque è di esternalizzare gli skill e i servizi nell’ambito sanitario per quanto riguarda la sicurezza. Tutti fanno o faranno outsourcing e chi risponde no è solo perché in questo momento lo sta pianificando”.

RansomwarereportsanitàSicurezza
// Data pubblicazione: 29.06.2021
Condividi:
 

App IO: come si è arrivati a 12 milioni di download e le sfide per i progettisti

App IO: come si è arrivati a 12 milioni di download e le sfide per i progettisti
L'App IO oggi viene usata anche per il Covid Green Pass: una funzione inimmaginabile ai tempi del lancio e cha ha fatto esplodere i download. Come è stato possibile? Se ne è parlato al convegno Humanazing Technology di OGR.
Maria Russo

Laureata in Ingegneria della Produzione Industriale e dell’innovazione tecnologica, ha lavorato per Oracle Italia nel 2019, specializzandosi nelle aree ERP e Supply Chain Management in Cloud, collabor... Leggi tutto

Oggi sappiamo tutti cos’è l’App Io, il punto di accesso unico che raccoglie tutti i servizi pubblici locali e nazionali, comunicazioni e pagamenti e permette un’interazione semplice e sicura dal proprio smartphone. Ne abbiamo sentito parlare ultimamente anche per gli aggiornamenti sul Green Pass Europeo.

Cinque anni fa, e precisamente nel 2016 quando è stato lanciato il Piano Triennale per l’informatica nella Pubblica Amministrazione sicuramente non si potevano immaginare gli utilizzi odierni, né tantomeno si riusciva a dare una definizione precisa di cosa sarebbe stato il “cittadino digitale”. Vale quindi la pena di ripercorrere i punti di quel progetto e capire perché sia così versatile e attuale. Come siamo arrivati alla situazione odierna?

A questa domanda ha risposto Roberta Tassi, Docente di Service Design e Interaction Design al Politecnico di Milano durante Humanazing Technology by design, il convegno sulle nuove visioni e strumenti di innovazione organizzato dal Circolo del Design di Torino.

Nel 2016, dicevamo, l’esperienza online era decisamente diversa da quella di cui godiamo oggi. Era frammentata, talvolta anche all’interno dello stesso sito. Si poteva trovare una pagina user friendly e quella successiva assolutamente antiquata e di difficile comprensione. L’idea del Piano Triennale è nata proprio per questo: garantire ai cittadini-utenti un’esperienza digitale fluida con la PA, al pari di quella proposta da organizzazioni private.

“Una delle parti più importanti dello sviluppo dell’app IO è stata la fase di test e la raccolta delle opinioni dei cittadini ha affermato Tassi. “Speriamo che venga sviluppata il più presto possibile” dicevano, segnale che si stava andando nella giusta direzione.

Non era tutto rose e fiori, ovviamente. C’era anche dello scetticismo, in particolare riguardo agli identity provider (gestori di identità), a cui è affidato il compito di gestire l’autenticazione SpID. Lo scetticismo non è ancora stato risolto, e diverse domande del pubblico hanno riguardato questo tema.

Come si è arrivati ad 12 milioni di download?

Quasi 12 milioni di download a giungo 2021: un dato interessante che porta alla luce gli sforzi (e i successi) della PA in questo senso. Facciamo un passo indietro. Nel 2018 è iniziata la sperimentazione dell’applicazione in beta a numero chiuso, si sono raccolti dati, impressioni degli utenti e si sono di conseguenza fatte modifiche fino ad arrivare alla versione che conosciamo oggi.

Come si legge sul sito dell’app, la sua adozione è stata trainata in particolare da due eventi, l’uscita del bonus vacanze a giugno 2020 e il cashback tra novembre e dicembre 2020. L’essere più vicini alle persone, tra l’altro permettendogli di usufruire di bonus e opportunità, è fondamentale e non deve essere mai sottovalutato.

Andamento dei download dell’app IO negli ultimi mesi (aggiornato al 18 giugno 2021)

Andamento dei download dell’app IO negli ultimi mesi (aggiornato al 18 giugno 2021)

Secondo Tassi, oggi come oggi tutti hanno l’app installata sul proprio telefono, o perlomeno hanno lo SPID. Nel caso di utenti analogici, inoltre, si aspetterebbe una risposta positiva, c’è chi sta solo aspettando il momento giusto per farlo ma praticamente tutti ormai ne riconoscono l’importanza. Insomma, un clima, maturità e consapevolezza decisamente diversi. La sensazione è che finalmente esistano dei punti di riferimento.

Anche qui, però, non mancano i problemi. Gli utenti, adesso, hanno il timore di essere disorientati dal moltiplicarsi di questi strumenti. “In un momento in cui i sistemi scalano, come in questo caso, diventa fondamentale sviluppare un ecosistema unico per non modificare i punti di riferimento per l’utente che ha già fatto fatica a riconoscerli come tali” ha osservato la docente.

Nuove sfide per i progettisti

Ed è proprio la scalabilità che crea nuove sfide per i progettisti. Quando un’applicazione come IO raggiunge queste dimensioni significa che anche il cittadino digitale ha raggiunto un certo livello di consapevolezza. L’utente si aspetta quindi che lo strumento funzioni sempre, indipendentemente da quello che succede intorno. E questo è critico perché se centinaia di migliaia di persone fanno la stessa cosa contemporaneamente la risposta arriverà più lentamente sia perché i sistemi sono carichi sia a causa dei limiti infrastrutturali nazionali.

La pazienza nell’attendere in una coda “fisica” non è la stessa che si ha nel digitale. In un mondo analogico, certo, non si presenta con le stesse numeriche – in posta potremmo trovare 10 persone davanti a noi, per il bonus biciclette anche duecentomila – ma anche se i tempi fossero gli stessi, sul digitale non siamo disposti ad aspettare.

È un tema complesso dal punto di vista progettuale, specialmente quando la scala diventa così ampia. È possibile – e normalissimo – che le cose talvolta non funzionino, ma questo genera eccessivo disagio caricando enormemente l’assistenza che si occupa di questi servizi. La prima sfida per i progettisti è quindi costruire un percorso di fiducia che normalizzi un eventuale  fallimento temporaneo del sistema.

La seconda sfida è la scarsa consapevolezza dell’utente riguardo i propri limiti digitali in tema privacy e sicurezza. “All’inizio della pandemia ho ricevuto un SMS dalla Regione Lombardia che mi avvisava della possibilità di ricevere a distanza le mie ricette farmaceutiche. Ho chiesto a chi mi era intorno come facesse la Regione ad avere il mio numero di telefono. Nessuno è riuscito a rispondermi, solo qualcuno ha detto che crede di averlo inserito nel proprio fascicolo sanitario elettronico. Anche su un tema così semplice c’è tanta insicurezza” ha continuato la Tassi.

Aiutare le persone a sviluppare la propria consapevolezza sul tema non è impossibile. Anche il solo progettare le schermate sui consensi in una determinata maniera può aiutare, cosa che però non è ancora abbastanza sfruttata. Mettere in evidenza il link all’informativa è un incentivo per le amministrazioni per andare a rivederla, chiedersi se è tutto a posto, aggiornarla e renderla più chiara. Diventa un ciclo virtuoso, l’amministrazione chiarifica l’informativa e l’utente è incentivato a leggere qualcosa che riesce a comprendere senza troppo sforzo.

L’ultima sfida è colmare il digital divide, che rimane una priorità. Come? Innanzitutto non sottovalutando l’importanza dei cittadini digitali consapevoli che possono farsi carico – ad esempio con deleghe digitali per il resto della propria famiglia – delle questioni burocratiche da risolvere online, della ricezione di documenti sensibili e così via. In questo i progettisti possono costruire percorsi di accesso temporaneo agli strumenti in modo da poter sostituire, sempre in maniera sicura, il cittadino ancora non digitale.

Fiducia, educazione e diffusione di conoscenze digitali (anche per quanto riguarda privacy e sicurezza) e accessibilità, nel senso di dare la possibilità a tutti di accedere ai servizi, i tre punti chiave di un ogni progetto digitale.

App IOcittadino digitalePubblica Amministrazionesviluppo applicazionitrasformazione digitale
// Data pubblicazione: 29.06.2021
Condividi: