quotidianosanità.it

stampa | chiudi


Giovedì 15 SETTEMBRE 2016
Reti e computer sanitari sotto attacco. Come garantire la sicurezza dei dati

La sicurezza informatica dei dispositivi medici, delle reti e dei computer delle aziende ospedaliere è, come dimostrano recentissimi casi avvenuti in diverse parti del mondo, un aspetto non più trascurabile. Il rischio cresce di pari passo con la percentuale di dematerializzazione dei processi amministrativi, della dipendenza da apparati medicali informatizzati e della quantità e tipologia di dati memorizzati dalle aziende ospedaliere.

Il governo italiano ha avviato, sin dagli anni 90, un importante programma volto ad introdurre nella pubblica amministrazione (PA) strumenti informatici ad ogni livello in modo da rendere sempre più l’informatica un elemento di base per l’esecuzione di ogni processo dell’amministrazione con il triplice obiettivo di i) favorire lo snellimento delle procedure, ridurne i tempi di esecuzione e, di conseguenza, migliorare la qualità stessa dei servizi e come questa è percepita dai cittadini, ii) rendere più economico lo svolgimento degli stessi servizi al fine di ridurre l’impatto che la macchina amministrativa ha sul bilancio dello Stato e, infine, iii) raggiungere più facilmente i cittadini stessi favorendo l’interazione anche attraverso i mezzi di comunicazione più moderni che la cittadinanza è in grado di abbracciare con una velocità ben maggiore di quanto l’amministrazione stessa riesca a fare.
 
Le aziende ospedaliere non fanno eccezione ed infatti, oggi, gli ospedali oramai dipendono al 100% dagli apparati informatici. La sicurezza informatica dei dispositivi medici, delle reti, dei computer delle aziende ospedaliere è, come dimostrano recentissimi casi avvenuti in diverse parti del mondo, un aspetto non più trascurabile. Il rischio cresce di pari passo con la percentuale di dematerializzazione dei processi amministrativi, della dipendenza da apparati medicali informatizzati e della quantità e tipologia di dati memorizzati dalle aziende ospedaliere.
 
I moderni attacchi sono veicolati non più da semplici virus da computer, ma da veri e propri sistemi complessi, gestiti da organizzazioni criminali sempre più capaci e dotate di risorse. Questo fa si che qualunque dispositivo, sia questo un computer, una rete, un dispositivo medicale, possa essere penetrato e quindi violato in termini di privacy, in termini di operatività (con conseguenze talvolta disastrose) o in termini di veridicità delle informazioni.
 
Qualunque organizzazione in maniera direttamente proporzionale alla sua criticità, e le aziende ospedaliere hanno una criticità del massimo livello essendo l’operatività legata alla salute delle persone, deve prendere provvedimenti contro l’ormai attuale rischio cyber.
Si riporta di seguito una lista di recenti casi di compromissione dell’operatività delle aziende ospedaliere in diverse parti del mondo, ad opera di attacchi informatici. 
 
Le più recenti violazioni delle aziende ospedaliere. Uno dei casi più eclatanti, in ordine di tempo, è sicuramente l’attacco condotto all’Hollywood Presbyterian Medical Center che ha bloccato completamente l’accesso a qualunque informazione relativa ai pazienti per un’intera settimana e che si è riusciti a risolvere solo a valle del pagamento di un cospicuo riscatto (17.000$ a fronte dei 3.6 milioni inizialmente richiesti) ai criminali.  La medesima procedura si è ripetuta poi pochi mesi fa anche all’ospedale Carlo Urbani di Ancona,
 
Un altro caso recente è quello relativo a Luglio 2015, quando degli hacker si sono introdotti nell’ospedale universitario di Los Angeles, l’UCLA Health, violando la privacy di 4.5 milioni di persone impossessandosi di informazione estremamente sensibili come Nomi, Cognomi, Cartelle cliniche oltre al preziosissimo – negli USA – Social Security Number; In questo caso la funzionalità dell’ospedale non è stata compromessa, ma si evidenzia come una banca dati importantissima (i dati in possesso degli ospedali possono avere un valore anche 10 volte superiore a quello delle carte di credito) e con informazioni estremamente sensibili sia per natura poco protetto da attacchi informatici, anche in un paese come gli USA, estremamente più preparati e ricchi di risorse dedicate alla cyber security rispetto all’Italia.
 
Un caso particolarmente preoccupante da citare è quello riguardante la sicurezza fisica delle persone riscontrato nel mese di luglio, quando L’FDA americana ha avvertito gli ospedali di non utilizzare un determinato sistema automatico di dosaggio di un noto brand in quanto attaccabile da pirati informatici dall’esterno che potevano facilmente impossessarsi del controllo dell’apparato e modificarne a piacimento i parametri, con conseguenze disastrose per il paziente ad esso connesso.
 
Altri esempi di attacchi di tipo cibernetico nei confronti di aziende ospedaliere si può trovare sfogliando la rivista computerworld, molto riconosciuta in ambito informatico mentre nello specifico, il report TrapX Security elenca anche una serie di casi di attacchi condotti a dispositivi e laboratori medici.
 
Il framework nazionale per la cyber security. Il Framework Nazionale per la Cyber Security è il risultato di un esercizio durato oltre un anno avviato e coordinato dal nodo CIS-Sapienza del Laboratorio Nazionale per la Cyber Security del CINI (Consorzio Interuniversitario Nazionale per l’Informatica), con il supporto della Presidenza del Consiglio dei Ministri e con la partecipazione di un gruppo di aziende come AON, Deloitte, ENEL, ENI, Hermes Bay, KPMG, Intellium, nonché di un gruppo di attori istituzionali come Ministero dello Sviluppo Economico, CERT Nazionale, Garante Privacy e AgID.
 
Esso si fonda sul "Framework for Improving Critical Infrastructure Cybersecurity" sviluppato dal National Institute for Standards and Technology (NIST) statunitense, per poi essere ampliato in ragione del contesto nazionale. Essendo però definito per infrastrutture critiche, introduce un livello di complessità non adatto a gran parte delle aziende che costituiscono l’ecosistema delle imprese italiane. Infatti, Il cuore del Framework NIST è costituito da un insieme di 98 Subcategory, organizzate in 21 Category, le quali a loro volta si dividono in 5 Function.  Ogni Subcategory rappresenta un’area di pratiche di sicurezza che l’organizzazione può decidere di implementare, se necessario riferendosi a standard o norme specifiche di settore.
 
Il Framework Nazionale amplia questa struttura inserendo due nuovi concetti: i livelli di priorità ed i livelli di maturità, definiti per ogni subcategory e validi nell’ambito della contestualizzazione del Framework. Questi tre concetti (livelli di maturità, livelli di priorità, contestualizzazione) permettono di tenere conto della struttura economica del nostro Paese fatta di alcune decine di grandi aziende e infrastrutture critiche e di una galassia di piccole imprese, rendendo dunque, di fatto, il Framework adattabile alle PMI, ma conservando tuttavia la sua iniziale vocazione per Grandi Imprese e infrastrutture critiche.
 
La contestualizzazione consiste nel selezionare le Subcategory di interesse per un determinato settore (ad esempio quello delle aziende ospedaliere) e nel definire livelli di priorità e livelli di maturità per ognuna di queste, in accordo alle criticità del settore selezionato. La contestualizzazione crea una base a partire dalla quale le organizzazioni che la adottano possono definire il proprio “profilo cyber”, cioè possono selezionare le pratiche che effettivamente già implementano, e definire inoltre il proprio “profilo target”, cioè quello che, in base alle proprie esigenze, ai propri processi di business e alla propria intelligence, desiderano implementare.
 
Contestualizzazione e vantaggi del framework nazionale. L’adozione del Framework è un processo volontario che permette all’organizzazione di aumentare la propria resilienza verso attacchi informatici e di proteggere le proprietà intellettuali e i propri asset.
L’adozione passa per la selezione di una contestualizzazione di riferimento, adatta al proprio settore. Qualora non sia disponibile una contestualizzazione questa andrebbe definita. Tale definizione è processo complesso, che richiede uno studio dedicato che coinvolge esperti di dominio, tecnici e sperimentazione sul campo, tutte cose che è impossibile attuare senza le dovute risorse e il giusto supporto da parte degli attori governativi.
 
Da una contestualizzazione ognuno può definire il proprio profilo, cioè può vedere quante (e come) già pratiche incluse nella contestualizzazione scelta implementa. Si ha così una fotografia della propria “postura” cyber, un AS-IS dal quale definire il proprio profilo target: dove si vuole arrivare, il TO-BE. I livelli di priorità ed i livelli di maturità presenti in di ogni controllo di sicurezza aiutano a definire una roadmap per passare dal current profile al target profile.
 
Infine tra i vari vantaggi che un Framework può portare è utile sottolineare l’incremento della sicurezza della catena di approvvigionamento (supply chain) di prodotti e servizi. Le organizzazioni potrebbero richiedere ai propri fornitori, di avere un particolare profilo di sicurezza minimo, consistente in una serie di pratiche di sicurezza necessarie per trattare dati particolarmente critici oppure per poter interagire con i sistemi della organizzazione.
 
Conclusione. Il Framework rappresenta di fatto la più grande operazione di consapevolezza sulla minaccia cyber fatta sino ad ora in Italia verso il settore pubblico e privato ed in particolare verso le alte sfere dirigenziali di queste organizzazioni, con il chiaro obiettivo di fare uscire il rischio cyber dai dipartimenti di IT di una organizzazione e di farlo sbarcare dentro i consigli di amministrazione. Da tutta questa operazione, diversi soggetti, se non l’intera economia nazionale, potrebbero trarne vantaggi sia diretti che indiretti.
 
L’importanza di avere un linguaggio comune, che il Framework Nazionale definisce, è fondamentale per dare il via, se pur con ritardo, a un processo estremamente formativo, in grado di aumentare la consapevolezza del rischio, soprattutto all’interno di un’infrastruttura come quella ospedaliera che è da considerarsi oggigiorno estremamente sensibile e vulnerabile.
È chiaro che il linguaggio può essere utilizzato a livelli molto diversi: dalle micro-imprese, al minimo livello di complessità, fino alle infrastrutture critiche, dove le declinazioni del Framework assumeranno la massima completezza.
 
Ciononostante, avere un Framework Nazionale che accomuna diverse realtà porta l’Italia a un buon punto di consapevolezza che sarà la chiave per evolvere l’approccio delle organizzazioni pubbliche e private italiane.
Adottare il Framework, creando una contestualizzazioni specifica per le aziende ospedaliere e rendendola disponibile a queste, darebbe un’importante spinta a tutto il settore verso un ecosistema più sicuro nei confronti della minaccia cyber, minimizzando i rischi di perdita di operatività e quindi i rischi per la salute umana.
 
Prof. Roberto Baldoni
Ing. Luca Montanari
Ing. Stefano Armenia
Dr. Camillo Carlini
CIS Sapienza, Centro di Ricerca Interdipartimentale per la Cyber Intelligence ed Information Security

© RIPRODUZIONE RISERVATA