La sanità è oggigiorno un settore cruciale per capire l’ampiezza delle attuali necessità di difesa in campo cyber, delle minacce che oggi devono affrontare i servizi per i cittadini e delle sfide per costruire infrastrutture resilienti e robuste.
La battaglia cyber per la sanità
Alessandro Curioni, dirigente di Di.Gi Lab, consulente in ambito cyber per Leonardo e docente all’Università Cattolica di Milano, a inizio gennaio su Panorama indicava in un “matrimonio da farsi a tutti i costi” quello che doveva essere promosso tra sicurezza in ambito cyber e sanità[1]. Commentando un attacco ransomware avvenuto all’Ospedale di Alessandria, Curioni, tra i massimi esperti italiani di cybersicurezza, sottolineava l’amara constatazione che infrastrutture critiche nazionali come quelle sanitarie versino in uno stato di “cyber-abbandono. Vero che i decennali ritardi non si recuperano in un paio di anni, ma la descrizione dello stato dei sistemi fornita dagli stessi aggressori è deprimente”. Ragnar Locker, il gruppo hacker che ha attaccato l’ente di Alessandria, arrivò a sottolineare di non essere andato oltre un attacco ransomware e di non aver voluto bloccare i sistemi per “non mettere a rischio la vita delle persone”.
Un caso tra molti, quello riportato da Curioni, per ricordare quanto ampie siano le praterie in cui gruppi hacker di ogni tipo, e anche potenziali attori malevoli di matrice statuale, possano infiltrarsi nel terreno della sanità nazionale. I dati dei cittadini italiani conservati nelle infrastrutture digitali degli ospedali fanno gola a molti attori desiderosi di bucare le strutture delle aziende sanitarie per chiedere riscatti. L’esplosione del numero di device interconnessi, dai macchinari di ultima generazione ai dispositivi dell’amministrazione delle strutture sanitarie, espone a un incremento del perimetro d’attacco. La crescente connessione dei dispositivi dei dipendenti alle reti interne delle strutture sanitarie espone anche alla possibile “contaminazione” di minacce cyber tra un dispositivo e l’altro. Come spesso accade in campo cyber, il fattore chiave è quello umano: immaginiamo un dipendente, magari un infermiere, stanco e stressato dopo un lungo turno in corsia che alla fine del suo servizio si connette a una rete interna, e ivi apre sul suo cellulare privato una mail di phishing.
Come avvengono le minacce cyber più comuni
Una rete digitale poco schermata può portare eventuali virus capaci di produrre attacchi ransomware o di Distributed Denial of Service (DDoS) a “esplodere” all’interno dei device della struttura sanitaria. L’interconnessione tra i dispositivi (Internet of Things) può moltiplicare il numero dei bersagli.[2] Del resto, secondo i dati Clusit, ben il 64% degli incidenti più gravi a livello globale ha come causa azioni “maldestre”, degli utenti o del personale informatico nelle aziende.
Per quanto desiderosi di trovare una “porta aperta” per le loro intrusioni, i gruppi di hacker intenzionati ad attaccare un ospedale devono, in qualche modo, sfruttare spesso ingressi di servizio. Fondamentale è per le strutture sanitarie evitare che l’inizio dell’infezione diventi epidemico.
Il settore Healthcare, ricorda il Clusit, è stato col 12% degli attacchi il secondo più colpito su scala globale nel 2022. In Italia i casi più eclatanti, oltre al citato esempio di Alessandria, hanno riguardato altri importanti poli del Servizio Sanitario Nazionale.
L’ondata di attacchi
A settembre e novembre 2021 un’anticipazione era stata data dall’uno-due con cui il polo ospedaliero San Giovanni Addolarata prima e l’Asl Roma 3 erano stati colpiti nella Capitale. L’1 maggio 2022, in un giorno di relativa esposizione per la situazione di festività, i presidi ospedalieri e territoriali milanesi legati al Fatebenefratelli e al Sacco sono stati colpiti per diverse ore da un attacco ransomware. 500 i server in tilt in questo caso. E molto duro è stato anche l’attacco della seconda metà di agosto del 2022 agli ospedali Martini e Maria Vittoria di Torino, che per una settimana ha costretto i medici e i funzionari a rinunciare ai servizi Ict per gestire prenotazioni e servizi.[3]
Più di recente, è stato da segnalare un attacco all’Ospedale Universitario di Parma, avvenuto il 28 febbraio 2023, che avrebbe compromesso molti dati sanitari dei pazienti. Nelle stesse ore, fino all’1 marzo, è andato a terra anche il sistema gestionale del Niguarda di Milao.
Le vulnerabilità cyber della sanità
Insomma, parliamo di un problema diffuso capace di aprire a diverse considerazioni di ordine strategico in ambito tecnologico e non solo. Vale sicuramente quanto detto da Giuliano Pozza, Chief Information Officer presso l’Università Cattolica del Sacro Cuore, che dialogando con Trend Sanità ha ricordato come in ambito Healthcare “le vulnerabilità sono maggiori. Infatti, la frammentazione, almeno in Italia, della governance sanitaria, la mancanza di regolamentazioni stringenti (che ci sono ad esempio nel mondo bancario) e l’inadeguatezza quantitativa delle risorse a disposizione (parliamo di budget ma anche di professionisti qualificati) rendono la sanità un bersaglio tutt’altro che complicato”.[4]
C’è poi da aggiungere il fatto che l’attenzione del settore degli hacker e delle organizzazioni malevole di matrice statuale, legata a Paesi ostili al campo euroatlantico a cui l’Italia fa riferimento (Cina e Russia in testa) è stata amplificata dalla pandemia e dalla corsa allo sviluppo dei vaccini. Al cui interno il tema della sicurezza dei dati sui test e dei cittadini oggetto dei trial sperimentali e delle inoculazioni è diventato fondamentale. Inoltre, nelle filiere della sanità l’aumento della digitalizzazione nei processi critici delle filiere di governance dei servizi essenziali e le mutate esigenze operative delle principali aziende interagenti con le strutture sanitarie e che hanno consentito ai propri dipendenti il lavoro da remoto hanno incrementato in maniera significativa il rischio cyber.[5]
Il nodo filiere
Nel dicembre 2020 Pierluigi Paganini, membro del Gruppo CTI dell’ENISA (European Union Agency for Network and Information Security), in un’ampia rassegna delle minacce al settore sanitario sostanziatasi in una pubblicazione del Centro Italiano di Strategia e Intelligence già nel dicembre 2020 faceva presente che la sicurezza ICT e cyber delle filiere sanitarie era esposta da un perimetro moltiplicato dimensionalmente dall’interazione con aziende di vario tipo e dalla compresenza di strutture digitali di varia evoluzione tecnologica: “La concorrente presenza di vecchie e nuove tecnologie in sistemi di aziende” o in apparati sanitari di vario tipo “appartenenti alle principali filiere che implementano diversi gradi di sicurezza ha acuito le problematiche” per il mondo sanitario, aumentando le “porte di servizio” di cui si diceva.
Per Paganini, che nella sua disamina prendeva le mosse principalmente dal tema, ai tempi attualissimo, del rapporto tra strutture sanitarie e campagna vaccinale, “ulteriore elemento di preoccupazione è l’impatto della globalizzazione sul mercato farmaceutico che ha costretto le aziende a esternalizzare un numero crescente di servizi per ridurre i costi”. Un altro profilo di rischio, dunque, per le aziende sanitarie che spesso si interfacciano ai grandi player farmaceutici per servizi di primaria importanza. Tutto ciò “espone le aziende del settore a rischi significativi connessi alla catena di approvvigionamento, inclusa la possibilità di rischi di sicurezza informatica di terze parti”.[6]
Il pericolo di esposizione agli attacchi è aumentato in maniera esponenziale, e di fronte a questi aumenti notevoli delle minacce in ambito sanitario “maggiormente esposte sono proprio le organizzazioni più piccole, le quali possono essere prese di mira e sfruttate come ponte per attaccare aziende più grandi con cui collaborano”. Per ogni Niguarda o Sacco forati c’è sicuramente a monte un Ospedale di Alessandria o un altro centro più periferico in cui l’attacco ha avuto inizio, insomma.
Le prospettive dell’Italia
In quest’ottica, dunque, vediamo come l’Italia debba ancora pienamente attrezzarsi per diventare una nazione capace di grandi capabilities in termini di cyber-sicurezza, cyber-resilienza e protezione a monte dagli attacchi informatici. E la sanità non fa eccezione in questo sentiero di sviluppo che presenta ancora grandi margini di miglioramento.
Ciononostante, da alcuni anni il sentiero di sviluppo del sistema-Paese è sempre meno stretto. L’istituzione dell’Agenzia per la Cybersicurezza Nazionale (Acn) da parte del governo Draghi, nel 2021, è da vedere non solo come il punto di partenza per una nuova consapevolezza del Paese in ambito di tutela Ict ma anche come quello di arrivo di una serie di decisioni del Legislatore che hanno avanzato la normativa nazionale, in conformità a quella europea.
Nel 2016 la nuova Direttiva Europea NIS (Network and Information Security) ha sancito un profondo cambiamento di approccio alla problematica. Dall’istituzione dei centri di garanzia e certificazione delle risposte operative alle minacce cyber alla promozione di un novero sempre più ampio di competenze specialistiche e operative a livello diffuso la direttiva Nis impone la crescente professionalizzazione dei settori oggetto di minacce informatiche e il rafforzamento della consapevolezza tra i dipendenti. Premessa per quella “sicurezza condivisa” che è prioritaria in ambito cybernetico.[7]
Paolo Lezzi, Vice-presidente dell’European Center for Advanced Cyber Security, ha pubblicato su Il Sussidiario un ampio articolo in cui ha ricordato la necessità di fare dell’Acn il pivot di un processo di sviluppo che, in quest’ottica, deve puntare l’Agenzia a supervisionare un processo di coordinamento tra attori pubblici e privati per la costruzione di questa sicurezza.
Questo sembra anche il più chiaro modus operandi per conseguire risultati pratici e vincenti in termini di cybersicurezza per la sanità. La Direttiva NIS invita a creare un protocollo di risposta in ogni Paese per permettere alle aziende ospedaliere e al mondo della sanità di resistere ai “down” imposti da un’offensiva cyber. Per l’Italia, ha ricordato AgendaDigitale.eu, tale protocollo è stato predisposto dal CINI Cybersecurity National Lab (Consorzio Interuniversitario Nazionale per l’Informatica e dal CIS-Sapienza (Research Center of Cyber Intelligence and Information Security – Sapienza Università di Roma) e si basa su cinque punti:
Identify (censimento delle risorse da proteggere),
Protect (messa a punto delle misure di sicurezza),
Detect (rilevamento delle minacce e delle anomalie),
Respond (predisposizione dei piani di risposta agli attacchi),
Recover (ripristino della situazione).
In quest’ottica, appare chiaro notare come i primi due punti siano quelli decisivi in cui il piano cyber della pubblica amministrazione sanitaria si gioca il suo successo. Un sistema robusto, resiliente, capace di evitare di essere bucato da attori ostili o colpito da crisi sistemiche renderà necessario in minori casi la risposta e il contrattacco alle minacce.
Per uno sviluppo sistemico della sicurezza cyber in ambito sanitario il volano tra investimenti pubblici e interventi privati e il coinvolgimento dell’Acn come struttura di coordinamento e controllo potranno essere favoriti dal ruolo del Recovery Fund e del Piano nazionale di ripresa e resilienza. Essi stanziano formalmente per la cybersicurezza 623 milioni di euro, 174 dei quali serviranno ad abilitare le strutture dell’Acn, 147 per per i laboratori di scrutinio e certificazione tecnologica e 300 per il rafforzamento delle capacità cyber delle strutture pubbliche.
Si è giustamente sottolineato che i fondi siano di natura inferiore alle esigenze del sistema-Paese, ma guardando ai punti 1 e 2 del protocollo NIS per la sanità notiamo che la parte decisiva della strategia, in ambito healthcare, si giochi piuttosto nella digitalizzazione a monte piuttosto che nella gestione operativa delle procedure cyber, che possono essere affidate anche ai “battaglioni” digitali dell’Acn e delle forze di sicurezza, su cui si gioca la sicurezza. In altre parole, la sfida della sicurezza cyber in sanità si vincerà in primis costruendo strutture sempre meno forabili e in secondo luogo plasmando un personale cosciente della corretta gestione dei sistemi. Più ancora dei finanziamenti diretti al cyber, che agiscono a livello di ecosistema, sono decisivi per la sanità nel PNRR. 1,19 miliardi di euro saranno garantiti alle aziende ospedaliere per la sostituzione delle apparecchiature sanitarie, per contribuire all’ammodernamento del parco tecnologico e digitale ospedaliero e per rafforzare la resistenza Ict delle strutture. Altri 1,3 miliardi di euro verranno garantiti alle tecnologie abilitanti per creare servizi in cloud, di Software as a service (Saas) e di immagazzinamento dati capaci di sostenere i progetti di Fascicolo sanitario elettronico (Fse) dei cittadini e altri progetti di sanità pubblica digitalizzata.
La natura di anello debole del fattore umano, in quest’ottica, dovrà a nostro avviso andare di pari passo con un importante programma di re-skilling delle risorse umane della sanità e di rafforzamento della consapevolezza dei primi utenti del sistema sanitario, i suoi dipendenti, circa il rischio che comportamenti lassisti o sbagliati può produrre in termini di sistema. Ad oggi – per fortuna – l’Italia subisce principalmente attacchi ransomware o a fini di riscatto. Ma in quest’ottica è da sottolineare il fatto che casi come l’attacco del 2021 all’Ospedale di Dusserdolf che ha fatto saltare i servizi di garanzia per la tutela dei pazienti e portato alla morte di una donna rappresentano un precedente inquietante che non dobbiamo escludere neanche per il nostro Paese. Gruppi hacker senza scrupoli o “lunghe mani” di attori statuali malevoli potrebbero pensare di mettere in ginocchio la sanità italiana con attacchi strategicamente mirati contro le arterie più fragili del nostro sistema sanitario nazionale e l’Ict degli ospedali va indicato nel più stretto cerchio di infrastrutture critiche da proteggere, valorizzare e consolidare. Assieme a energia, telecomunicazioni, Difesa, infrastrutture di trasporto e organizzazioni di pubblica sicurezza la sanità è nel perimetro più importante da guardare, passo dopo passo, perché le minacce cyber non penetrino. E possiamo dire che si tratta, fuori da ogni eufemismo, di una questione di vita o di morte.
Fonte.
