Cybersecurity in sanità: Fra IT ed Ingegneria Clinica. Il Ruolo del CISO e l’importanza della formazione
La cybersicurezza in sanità è difficile da introdurre per molteplici, e complessi, motivi. Innanzitutto a causa dell’assenza di una normativa stringente e di indicazioni precise sulle responsabilità e sui ruoli degli esperti in Cybersecurity (CISO). In secondo luogo, manda una cultura sulle pratiche che ingegneri clinici ed informatici devono tenere in caso di violazione. Se a livello associativo c’è collaborazione, le cose cambiano quando si entra nelle aziende e spesso ci si affida all’iniziativa personale e alla buona volontà dei singoli.
Perché la Sanità italiana è vittima, con successo, dei cyber criminali?
La spesa sanitaria pro-capite in Italia è pari a 2.609 euro, stando all’ultimo report dell’OCSE “Health at Glance Europe 2022”, per un totale di oltre 131 miliardi di euro l’anno.
Il crimine cerca il profitto. Il facile profitto.
Potremmo chiudere qui l’articolo, perché da quanto appena scritto è facile capire il motivo per il quale il mondo sanitario, l’informatica sanitaria nello specifico, sia così allettante per la Cybercriminalità.
È ormai noto, infatti, che il cybercrime è sempre più integrato in un ecosistema delinquenziale che prende di mira i settori su cui strategicamente è possibile massimizzare i profitti criminali.
Csirt Italia, il Computer emergency response team, l’anno scorso ha trattato 1.094 eventi cyber, per una media di circa 90 al mese. Il picco è stato a febbraio 2022 (118). Di questi, 126 hanno avuto un impatto confermato dalla vittima, per una media di 10,5 incidenti al mese.
Nell’82% degli attacchi ha coinvolto il settore privato, a fronte di un rimanente 18% di vittime appartenenti alla Pubblica Amministrazione, spiega la relazione. Il dato rappresenta, tuttavia, solo una parte del numero complessivo di attacchi ransomware effettivamente avvenuti, poiché in taluni casi le vittime – specie se appartenenti al tessuto produttivo delle Piccole Medie Imprese, spesso sprovviste di know-how e strutture interne dedicate – sono inclini a non segnalare l’evento, gestendolo in autonomia.
La sanità Italiana è un settore complesso, frammentato, disomogeneo e poco maturo dal punto di vista dei sistemi IT e IOT.
Possiamo quindi intuire il perché queste condizioni attirino l’attenzione della criminalità organizzata (perché di questo si parla, e non del nerd con la felpa che gioca la suo PC in una camera ombrosa e piena di luci LED) e in particolare, per la criminalità che accede al Cybercrime as a Service, ovvero professionisti e organizzazioni delittuose che hanno sviluppato tool e servizi pronti all’uso.
Veri e propri strumenti Plug&Play acquistabili (senza neppure troppa difficoltà) per portare avanti attacchi complessi anche senza tutto il know-how tecnico necessario.
(manca) la Normativa
Ad oggi, la figura che si occupa di cybersecurity non è separata da chi segue i sistemi informativi ovvero è comune (e parlo per esperienza diretta) vivere realtà aziendali dove se si affrontano temi legati alla Cybersecurity (sempre che se ne parli) gli stessi siano affidati al reparto IT. Tuttavia esistono moltissime realtà, soprattutto private (sanità privata pura o accreditata) piccole e medio-piccole (ovvero fino a 50/100 posti letto) dove gli esperti IT non hanno neppure un bagaglio di competenze che derivano dal mondo IT, ma spesso sono figure formate in ambito legale-economico. Questo singolarità è purtroppo tipica in quanto i Sistemi Informativi Sanitari sono visti come dei super gestionali contabili/amministrativi.
Inoltre, la maggior parte delle aziende si protegge basandosi su prodotti e non sulla valutazione del rischio: “installare antivirus, antimalware e firewall è utile, ma da solo non basta più”.
Sempre per esperienza personale, spesso ci si fa guidare dai fornitori, dal mercato, dagli analisti, dalle notizie che si leggono, ma quasi mai da una vera Analisi del Rischio Cyber.
Esistono, per fortuna, direttive a livello europeo come Nis e Nis2 che forniscono indicazioni. Lo fanno per le cosiddette infrastrutture critiche, ma ad oggi moltissime Strutture Sanitarie, e mi ripeto, private, non ricadono fra le infrastrutture Critiche.
Il nodo da sciogliere. Ingegneria Clinica vs Cybersecurity
Facciamo una premessa.
Innanzitutto si potrebbe utilizzare di più il cloud in Sanità, così si demanderebbe la sicurezza ad aziende più strutturate.
Perchè questo? Perchè tenere in casa gli esperti è sempre più difficile: se sono davvero bravi se ne vanno, altrimenti rischiano di esser relegati a meri consulenti da chiamare una tantum, dei meccanici da coinvolgere al bisogno.
Personalmente, nasco come Ingegnere Clinico, ma è necessario, anzi fondamentale gestire meglio tutto quello che è ingegneria clinica, ad oggi poco attenta alla cybersecurity.
Oggi, ed ancor di più un domani, è infatti impensabile avere dispositivi medici, ed elettromedicali in genere non collegati in rete.
Ancor di più visto che negli ultimi anni le imprese sanitarie (pubbliche e private) hanno potuto usufruire di importanti bonus fiscali (industria 4.0 e simili) dove uno dei principali requisiti era l’acquisto di strumenti collegati in rete e con sistemi di telemonitoraggio a distanza.
Iniziativa encomiabile da parte dei Governi centrali, che senza dubbio ha permesso di svecchiare un parco macchine (quello della strumentazione biomedica) che normalmente ha un’età media di circa 15 anni. E’ facile però intuire quanto la superficie di attacco sia cresciuta e con essa il rischio di violazioni dei sistemi informativi sanitari. Troppo spesso ho assistito a soluzioni ad hoc sviluppate solo per soddisfare il requisito di ammissibilità al credito d’imposta di turno piuttosto che pensate per offrire effettive funzionalità e garanzie di sicurezza.
Tutto ciò ha ovviamente reso vulnerabili questi strumenti, che raccolgono dati anagrafici e sensibili sui pazienti.
In più, tutta la strumentazione biomedica e gli elettromedicali nello specifico, in quanto medical device sono sottoposti a una normativa stringente e qualunque piccola modifica rischia di far perdere loro la certificazione del fabbricante.
L’ingegneria Clinica purtroppo è indietro da questo punto di vista.
Le software house pure si sono poste da almeno 20 anni il problema della cybersicurezza assimilando (si spera) la privacy by default e quella by design. Oggi infatti tutti i software che arrivano sul mercato prevedono regole di complessità della password, la scomposizione dei dati anagrafici da quelli clinici e sistemi di time-out delle sessioni aperte.
Tutto questo è ormai assodato nell’ambito dell’information technology.
Nell’Ingegneria Clinica non ancora.
E per capire la complessità che cela questa affermazione vi do una personale testimonianza: Qualche tempo fa ho supervisionato all’istallazione di un modulo per la firma digitale su qualsiasi postazione dove si potesse fare refertazione. Sentito il fornitore delle workstation legate per esempio alla tac, e un fabbricante in particolare, ha dato risposta netta:
“non è possibile installare software di terze parti, pena la perdita della certificazione come dispositivo medico.”
La modifica del medical device, per quanto banale, non è quindi semplice da gestire. E la certificazione, al momento, è gestita completamente dal fabbricante.
Le sfide da affrontare
Il settore sanitario deve affrontare sfide specifiche a causa delle dimensioni complesse dell’informatica nel contesto medico (su questo punto vi rimando ad un mio articolo in cui spiego i problemi legati all’interoperabilità Sanitaria)
Si tende a parlare con troppa facilità di Sicurezza Applicativa e poco di Sicurezza Organizzativa. Facciamo un altro esempio.
Pensiamo all’applicazione dei vari regolamenti ai device medicali.
Applicando alla lettera il GDPR i dati di una centrale di monitoraggio per la terapia intensiva non dovrebbero essere leggibili da terzi.
Dati personali e tracciati non devono per esempio essere accessibili a chi passa in un corridoio.
Ma come suggerisce il nome, la centrale monitora costantemente i ricoverati in terapia intensiva e, se registra qualche anomalia, suona in modo che il personale sanitario possa correre al letto del paziente e verificare che cosa non vada. È impensabile che a un dispositivo del genere siano applicate le regole che si usano per esempio per il computer di un amministrativo. una centrale non può andare in standby dopo un minuto di inutilizzo, e, alla sua eventuale riattivazione, non deve essere chiesta una password per poter vedere i tracciati in tempo reale piochè se l’operatore non la conosce, si perderebbero istanti preziosi che potrebbero portare alla morte del paziente.
Per questo è necessario pensare non solo alle misure informatiche, ma anche a quelle organizzative, alla formazione ed all’adozione di buone pratiche.
Le tensioni fra Ingegneri Clinici ed IT. La centralità del CISO.
Esiste una norma tecnica, molto dettagliata, che differenzia tra safety e security. Della prima si occupano gli ingegneri clinici, della seconda gli informatici.
Da alcuni anni le associazioni di ingegneri clinici e dei responsabili dei sistemi informativi interagiscono per cercare di ovviare insieme anche ai problemi di sicurezza. Entrambi i mondi sono consapevoli della necessità di dover lavorare insieme vista la sensibilità di dati, informazioni e visto che in gioco c’è la vita umana.
Tuttavia i problemi maggiori si riscontrano a livello aziendale, quando tutto si gioca sulla relazione personale tra gli Ingegneri Clinici ed i Responsabili IT (sempre, e non è scontato, che le due figure in azienda esistano entrambe).
Premesso che, l’analisi dei rischi Cyber e la gestione della sicurezza informativa deve (a mio parere) essere gestita e Coordinata dal CISO; se le due figure (ingegnere Clinico ed IT) vanno d’accordo, anche la struttura funzionerà bene. Laddove questo non succeda, servirà senza dubbio la presenza di una figura super partes competente e che sia legittimato dal Direttore Aziendale nel decidere le strategie e le azioni da intraprendere riguardo la Cybersecurity e che si occupi della mediazione tra quelli che sono gli ambiti, i limiti e le responsabilità dell’Ingegneria Clinica e dell’IT.
Questa figura è appunto il CISO.
Per approfondire la fiugura e le competenze del CISO vi lascio questo mio articolo.
Questa è una condizione da accettare, senza remore. Penso di poterlo affermare in virtù del mio percorso accademico e professionale che mi vede Ingegnere Informatico, specializzato in Ingegneria Clinica e, fra le altre certificazioni, con un Master in Cybersecurity e Data Protection.
Cybersecurity per la Sanità digitale, l’arma strategica è l’educazione
Si, parliamo proprio di educazione (dal lat. educĕre «trarre fuori, allevare» – In generale, promuovere con l’insegnamento e con l’esempio lo sviluppo delle facoltà e delle qualità morali di una persona).
In Italia, in particolare, ma non solo, nel settore sanitario, manca una vera educazione alla Cybersecurity.
Infatti, la mancanza di consapevolezza dell’importanza della sicurezza informatica nel settore sanitario è una delle principali, ma non esclusive, cause di eventi avversi che ogni anno (e sempre di più) si verificano.
A differenza, infatti, di altre industrie più orientate verso la digitalizzazione, le strutture sanitarie spesso hanno dedicato meno risorse alla sicurezza dei dati e alla formazione del personale in materia di cybersecurity. Questo ritardo nell’affrontare le minacce informatiche ha reso le strutture sanitarie più vulnerabili agli attacchi.
Per questo una delle misure più sottovalutate, ma oltremodo efficaci, è quella di educare, formare e aggiornare regolarmente il personale sui rischi e sulle responsabilità. L’efficacia dei processi di un’organizzazione è direttamente correlata a quanto il personale sia coerente nel seguire tali processi. Per questo le aziende dovrebbero fornire una formazione completa sulle misure di sicurezza informatica e sui rischi connessi.
Ad esempio, il personale dovrebbe essere educato a riconoscere le comunicazioni e-mail sospette e a non aprire nulla che possa essere potenzialmente pericoloso. Si ignora ancora troppo spesso l’importanza che gioca la Crittografia, per approfondire questi temi legati alla sicurezza informatica ed alla crittografia vi lascio dei riferimenti dell’amico Giorgio Sbaraglia.
Così come dovrebbero essere promosse in ogni azienda sanitaria corsi di formazione relativi sia alla Data Governance sia al GDPR in ambito sanitario, anche per questo vi lascio un altro riferimento di un amico e collega Nicola Aliperti.
La formazione alla cyber security non deve essere vista come un peso o un obbligo al quale assolvere, ma come un’occasione per migliorare le proprie capacità nel difendere sé stessi e la propria azienda. Certamente non renderà perfetti, ma aiuterà a essere meno esposti alle minacce cyber.
Commenti (0)
Nessun commento ancora. Sii il primo a commentare!