Dal governo

Pirateria informatica: la sanità sotto attacco

di Mirko Gatto (Fondatore e Ceo di YARIX)

Nel 2016, il comparto sanitario ha fatto registrare il maggior numero di attacchi informatici a livello globale. Se nel primo semestre 2016, il cybercrime è cresciuto del 9% rispetto all'ultimo semestre del 2015, la sanità in particolare ha subito l'incremento percentuale più elevato di attacchi (+144%) con finalità di furto dati ed estorsione. Ultimo in ordine di tempo, il data breach in un laboratorio medico della Quest Diagnostic (in New Jersey), con conseguente esposizione delle informazioni sanitarie di 34 mila pazienti.
Anche in Italia si contano, ormai, numerose strutture sanitarie vittima di campagne di ransomware: così vengono chiamati i software nocivi che infettano i sistemi informatici, criptando i dati fino al pagamento di un riscatto. Ma c'è di più. In molti casi, la violazione avviene in modo più invisibile e subdolo, tanto che le vittime si accorgono di aver subito un furto solo a distanza di tempo (fino a 180/200 giorni). Nel frattempo, la minaccia resta silente all'interno della struttura, raccogliendo dati e informazioni.
Spesso è il dipendente l'anello più debole nell'organizzazione sanitaria, con particolare riferimento alla vulnerabilità dei dispositivi mobili. È, quindi, fondamentale che le strutture prendano precauzioni per evitare di aprire la porta agli hacker, proteggendo gli endpoint dei dipendenti o isolandoli dalla rete in cui sono memorizzate le informazioni del paziente.
Il punto dolente in Italia è, senza dubbio, quello delle risorse. Mancano i fondi e negli uffici di ospedali e ASL vengono, spesso, utilizzati computer vecchi e sistemi operativi non più supportati dai produttori. È questo il panorama con cui quotidianamente ci confrontiamo in Yarix, centro di competenza per la security di Var Group e azienda di interesse strategico nazionale per il Ministero dell'Interno. Dal nostro punto di vista, è urgente un adeguamento tecnologico delle strutture sanitarie italiane e lo sviluppo di sensibilità e competenze digitali specifiche. Da finanziarsi anche attraverso un fondo straordinario.

Appetibilità dei dati sanitari e sicurezza come costo
Alla digitalizzazione della sanità italiana non corrisponde, ad oggi, un congruo investimento in cybersecurity. I sistemi sanitari non sono progettati per respingere gli attacchi, né per essere esposti in rete. Sistemi fuori produzione, mal protetti e non aggiornati sono una costante nelle reti informatiche delle aziende ospedaliere: una vulnerabilità che può tradursi in violazioni da parte dei cybercriminali, in rischi reali per la sicurezza dei pazienti e nella potenziale paralisi degli ospedali.
D'altro canto, nell'underground criminale i record trafugati da sistemi sanitari sono merce preziosa: in molti casi, il loro valore supera quello dei dati relativi alle carte di pagamento. Le ragioni risiedono nella maggiore difficoltà di scoprire la violazione dei dati sanitari, rispetto a quelli bancari. Inoltre, nel caso della carta di credito è possibile richiedere alla banca un blocco immediato, non così per le infrazioni ‘sanitarie'.

«Internet of Things (IoT)»
Anche per il comparto sanitario, la nuova frontiera del rischio informatico passa per l'Internet of Things (IoT). Grazie alla disponibilità di strumenti di ultima generazione - come smartwatch o smartphone – gli operatori sanitari hanno moltiplicato le possibilità di cura, anche a distanza. Altrettanto interessanti sono le prospettive per la ricerca, l'ottimizzazione dei costi e l'efficienza.
Una opportunità rivoluzionaria, che tuttavia richiede di essere gestita sotto il profilo della cybersecurity. La possibilità che un criminale informatico abbia accesso al dispositivo di un paziente e possa spegnerlo, disporre dei dati o addirittura modificarli può avere conseguenze gravissime. È questo il caso dei pacemaker.
Finora non esistono difese efficaci contro gli attacchi informatici tramite dispositivi IoT: proprio per questo, Yarix ha attivato una inedita partnership con il governo israeliano per la realizzazione, in Italia, del primo Security Operations Center 4.0 a livello mondiale. Una struttura tecnologica di ultima generazione che permetterà di arginare questa nuova ondata di attacchi cibernetici, sempre più diffusi anche in ambito sanitario.

Il caso Arsenàl
Rispetto a questo scenario, l'approccio di maggiore efficacia è fondato sulla proattività.
Esemplificativo in tal senso è il progetto europeo sviluppato da Yarix – società specializzata in cybersecurity, parte del Gruppo Var – insieme al Consorzio Arsenàl.IT, Centro Veneto Ricerca e Innovazione per la Sanità Digitale (i cui soci sono tutte le aziende sociosanitarie e ospedaliere del Veneto).
Dal 2010, il Consorzio ha affidato a Yarix un incarico di assistenza specialistica nell'ambito della sicurezza e riservatezza del trattamento del dato clinico in regime di telemedicina. Intento complessivo dell'iniziativa era la riduzione del tasso di ospedalizzazione e l'integrazione logica e informatica del percorso clinico del paziente, garantendo la continuità di cura anche al di fuori delle strutture di ricovero. Dall'intervento di Yarix sono scaturite le linee guida sul tema della sicurezza tecnologica, per un servizio di telemonitoraggio per pazienti cronici (sicurezza del processo, dei dispositivi, reti, protocolli di trasmissione impiegati, integrità del dato clinico, etc). A questo progetto ne è seguito un altro collegato alla realizzazione del fascicolo sanitario elettronico regionale in Veneto.

Il quadro normativo
Per le organizzazioni sanitarie, la minaccia di violazione dei dati è dunque destinata a peggiorare con il progredire della digitalizzazione. Negli USA, i principali attori economici, istituzionali e politici sono già fortemente ingaggiati contro questo rischio. Nell'agenda politica europea, il tema sta progressivamente riscontrando la dovuta attenzione: la direttiva NIS prevede il ruolo prioritario della cyber security anche in ambito sanitario. Nel corso del 2017 ENISA (European Union Agency for Network and Information Security) opererà per facilitare la collaborazione tra gli Stati membri nell'introduzione di misure di sicurezza di base, nei settori critici. Con particolare attenzione alle organizzazioni sanitarie e ai problemi di sicurezza informatica dei dispositivi medici.
Nell nostro paese molto resta ancora da fare. Basti pensare che, ad oggi, non esiste in Italia un obbligo di denuncia, introdotto solo recentemente dal Regolamento UE sulla Privacy.


© RIPRODUZIONE RISERVATA