come proteggere le strutture sanitarie dagli attacchi informatici: strategie avanzate per il 2024

September 6, 2024 by Alberto Bozzo Diritto Rovescio, Non categorizzato
Home | Diritto Rovescio | come proteggere le strutture sanitarie dagli attacchi informatici: strategie avanzate per il 2024

Sommario

  1. L’escalation degli attacchi informatici nel settore sanitario: dati e trend;
  2. Tecniche di attacco più comuni nel settore sanitario: malware, phishing e social engineering;
  3. Sfide specifiche affrontate dalle strutture sanitarie italiane;
  4. Il caso dell’Ospedale Santobono Pausilipon: da vulnerabile a modello di sicurezza;
  5. Conformità alla direttiva NIS2: strategie per raggiungere gli obiettivi di sicurezza
  6. Protezione dei dispositivi elettromedicali: l’approccio del “virtual patching”;
  7. Gestione delle minacce da dispositivi esterni: politiche efficaci per USB e storage;
  8. Soluzioni integrate di cybersecurity: l’importanza di un approccio complesso
  9. Implicazioni legali e protezione dei dati dei pazienti nel contesto degli attacchi informatici:
  10. Sfide future e raccomandazioni per i dirigenti ospedalieri

1. L’escalation degli attacchi informatici nel settore sanitario: dati e trend

Nel corso del 2023, il settore sanitario è diventato un bersaglio prioritario per gli attacchi informatici, con un preoccupante aumento del numero di incidenti di sicurezza. Secondo i dati forniti dal Rapporto Clusit 2024 e dall’Hackmanac Global Cyber Attacks Report 2024, gli attacchi cyber rivolti alle strutture sanitarie in Italia sono cresciuti del 128% rispetto al 2022. Questo drammatico aumento ha sollevato preoccupazioni non solo tra gli operatori IT, ma soprattutto tra i dirigenti ospedalieri, che si trovano ora a dover gestire una crisi su più fronti.

Le strutture sanitarie non sono solo esposte a furti di dati personali dei pazienti, come cartelle cliniche e informazioni amministrative, ma anche a minacce che compromettono il funzionamento stesso dei dispositivi medicali. Gli ospedali, sempre più digitalizzati, vedono aumentare le loro vulnerabilità a fronte dell’adozione di nuove tecnologie, spesso non accompagnate da adeguati investimenti in sicurezza.

Il dato più preoccupante è che il 90% degli attacchi subiti dalle strutture sanitarie ha avuto un impatto grave o gravissimo, compromettendo operatività e continuità dei servizi essenziali, come interventi chirurgici o trattamenti d’urgenza. Nonostante il settore sanitario sia in una fase di profonda trasformazione digitale, questo sviluppo sta generando nuove superfici di attacco per i criminali informatici, rendendo evidente la necessità di una gestione proattiva dei rischi informatici da parte dei direttori generali e dei reparti IT.

SafariDownload

2. Tecniche di attacco più comuni nel settore sanitario: malware, phishing e social engineering

Nel panorama delle minacce informatiche, tre tecniche emergono come particolarmente pericolose e diffuse nel settore sanitario: malware, phishing e social engineering. Queste tecniche, spesso utilizzate in combinazione, mettono in ginocchio le infrastrutture sanitarie sfruttando sia vulnerabilità tecnologiche sia errori umani.

Il malware, che include una vasta gamma di software dannosi come virus, trojan e soprattutto ransomware, è uno degli strumenti più devastanti. Il ransomware, in particolare, ha guadagnato una sinistra popolarità nel settore sanitario poiché cripta i dati, rendendoli inaccessibili fino al pagamento di un riscatto. Questo tipo di attacco può paralizzare interi ospedali, rendendo inutilizzabili cartelle cliniche, sistemi di prenotazione e diagnostica, con conseguenze dirette sulla vita dei pazienti.

Il phishing, un altro attacco largamente diffuso, sfrutta l’ingenuità del personale sanitario, inducendolo a cliccare su link malevoli o a fornire informazioni sensibili. Nel contesto frenetico degli ospedali, dove la pressione lavorativa è alta, il phishing si dimostra particolarmente efficace. Spesso, basta un solo errore umano per aprire le porte a malware o per consentire l’accesso non autorizzato alla rete interna.

Infine, il social engineering si basa su tecniche di manipolazione psicologica, convincendo il personale a rivelare informazioni riservate o ad agire contro il protocollo di sicurezza. Questi attacchi sfruttano la fiducia e la propensione del personale sanitario ad aiutare gli altri, rendendo il settore particolarmente vulnerabile. L’adozione di una strategia integrata che combini tecnologie di rilevamento e risposta con programmi di formazione continua è fondamentale per arginare queste minacce.

3. Sfide specifiche affrontate dalle strutture sanitarie italiane

Le strutture sanitarie italiane, rispetto ad altri settori, affrontano sfide uniche nel garantire la sicurezza informatica. Molti ospedali operano con infrastrutture IT obsolete, un mix di sistemi legacy e tecnologie moderne che spesso risultano difficili da integrare e proteggere. Questo crea un ambiente eterogeneo, in cui dispositivi medici di vecchia generazione, spesso non aggiornabili, convivono con macchine avanzate, aumentando il rischio di vulnerabilità sfruttabili da attaccanti esterni.

Un’altra sfida è la carenza di personale qualificato in cybersecurity. Mentre le grandi aziende possono contare su team IT dedicati e su budget consistenti per la sicurezza, molte strutture sanitarie italiane, soprattutto quelle di dimensioni minori, faticano a trovare e trattenere esperti di sicurezza informatica. La competizione con il settore privato per attirare talenti specializzati è aspra, e gli stipendi offerti dagli ospedali spesso non sono competitivi.

Inoltre, le restrizioni di budget rappresentano una delle principali barriere all’implementazione di soluzioni di cybersecurity. Molte strutture sono costrette a scegliere tra investimenti in nuove attrezzature mediche e il rafforzamento della sicurezza IT. Tuttavia, il costo di un attacco informatico può essere ben superiore a qualsiasi investimento preventivo, minando non solo la fiducia dei pazienti ma anche la capacità operativa della struttura.

4. Il caso dell’Ospedale Santobono Pausilipon: da vulnerabile a modello di sicurezza

L’Ospedale Santobono Pausilipon di Napoli rappresenta un caso di successo straordinario nella trasformazione della sicurezza informatica in ambito sanitario. Inizialmente vulnerabile, con un’infrastruttura IT obsoleta e frammentata, l’ospedale ha avviato un ambizioso piano di modernizzazione, finanziato dal POR Campania FESR 2014-2020. Questo progetto ha permesso all’ospedale di implementare un’architettura di sicurezza avanzata, diventando un esempio virtuoso per altre strutture sanitarie.

Il percorso di trasformazione del Santobono Pausilipon ha coinvolto l’implementazione di una suite completa di soluzioni Cisco, tra cui firewall di ultima generazione, autenticazione multifattore e sistemi di controllo degli accessi di rete. Particolarmente innovativa è stata l’adozione del virtual patching per proteggere i dispositivi elettromedicali critici. Questa tecnica consente di “patchare” virtualmente dispositivi che non possono essere aggiornati con metodi tradizionali, creando una barriera di sicurezza che blocca eventuali minacce prima che possano raggiungere il dispositivo.

L’ospedale ha anche investito nell’adozione di tecnologie XDR (Extended Detection and Response), che consentono una visibilità completa sugli eventi di rete e migliorano la capacità di risposta rapida agli incidenti. Il successo del progetto si riflette in una conformità quasi totale (90%) alle misure previste dalla direttiva NIS2, posizionando il Santobono Pausilipon come modello nazionale di sicurezza in ambito sanitario.

5. Conformità alla direttiva NIS2: strategie per raggiungere gli obiettivi di sicurezza

La direttiva NIS2, emanata per rafforzare la sicurezza delle infrastrutture critiche in Europa, impone al settore sanitario di adottare misure specifiche per migliorare la resilienza contro gli attacchi informatici. Una delle principali novità introdotte dalla NIS2 è la responsabilità diretta del management delle strutture sanitarie nella gestione della cybersecurity. Non si tratta più di una questione relegata ai reparti IT: la sicurezza informatica deve essere una priorità strategica, supervisionata a livello dirigenziale.

Le strutture sanitarie devono implementare un sistema di gestione del rischio informatico che sia dinamico e continuamente aggiornato. Questo comporta l’adozione di una metodologia strutturata per identificare, valutare e mitigare i rischi, con un focus particolare sulla supply chain. La sicurezza della catena di fornitura è infatti una delle aree di maggiore vulnerabilità: un singolo fornitore non sicuro può aprire le porte a una violazione su larga scala.

La direttiva NIS2 richiede inoltre che le strutture sanitarie sviluppino piani di risposta agli incidenti e di continuità operativa. Questi piani devono essere regolarmente testati e aggiornati per garantire che, in caso di attacco, l’ospedale sia in grado di continuare a fornire servizi essenziali. Per conformarsi alla NIS2, molte strutture dovranno rivedere la propria governance IT, nominando figure come il Chief Information Security Officer (CISO) e integrando la cybersecurity nei processi decisionali di alto livello.

6. Protezione dei dispositivi elettromedicali: l’approccio del “virtual patching”

I dispositivi elettromedicali sono tra gli asset più critici e vulnerabili in un’infrastruttura sanitaria. Spesso basati su software proprietari o su sistemi operativi legacy, questi dispositivi risultano difficili da aggiornare senza compromettere la loro funzionalità o invalidare le certificazioni di conformità. Il virtual patching è emerso come una soluzione innovativa per proteggere questi sistemi senza la necessità di intervenire direttamente sul software.

Il virtual patching funziona come una barriera esterna, implementata attraverso tecnologie come l’Intrusion Prevention System (IPS) o i firewall di nuova generazione. Queste tecnologie intercettano il traffico sospetto prima che raggiunga i dispositivi vulnerabili, bloccando eventuali minacce in tempo reale. Uno dei principali vantaggi del virtual patching è la capacità di fornire protezione immediata contro le vulnerabilità appena scoperte, senza dover interrompere il funzionamento del dispositivo o eseguire aggiornamenti potenzialmente rischiosi.

Questa tecnica non è però una soluzione definitiva, bensì una misura temporanea che permette di guadagnare tempo fino a quando non sarà possibile applicare una patch tradizionale. È fondamentale che le strutture sanitarie continuino a collaborare con i fornitori di dispositivi per sviluppare soluzioni più sicure e aggiornabili, utilizzando il virtual patching come parte di una strategia di sicurezza più ampia.

7. Gestione delle minacce da dispositivi esterni: politiche efficaci per USB e storage

Una delle principali vie di accesso per malware e altre minacce informatiche è rappresentata dai dispositivi di archiviazione esterni, come chiavette USB e hard disk portatili. L’uso diffuso di questi strumenti per il trasferimento di dati, immagini diagnostiche e referti all’interno degli ospedali crea un significativo vettore di attacco che non può essere trascurato. Le politiche di sicurezza riguardanti l’uso di dispositivi di storage esterni devono essere rigorose, ma allo stesso tempo praticabili, per garantire che le operazioni sanitarie non vengano ostacolate.

Un approccio efficace alla gestione di queste minacce prevede l’implementazione di una strategia multi-livello, basata su una combinazione di tecnologie e politiche operative. In primo luogo, è cruciale adottare sistemi di controllo degli accessi che permettano solo l’uso di dispositivi USB autorizzati e registrati. Questo può essere facilitato tramite software di controllo degli endpoint che blocchino automaticamente i dispositivi non riconosciuti o non autorizzati.

Le politiche di sola lettura rappresentano un’altra misura preventiva: configurare i sistemi affinché i dispositivi esterni possano essere utilizzati esclusivamente in modalità di sola lettura riduce drasticamente il rischio di esecuzione di malware nascosto all’interno di file. In aggiunta, l’implementazione di soluzioni che effettuino una scansione antivirus automatica di ogni dispositivo collegato fornisce un ulteriore livello di protezione, garantendo che il contenuto sia sicuro prima di essere accessibile.

Altrettanto importante è la crittografia dei dati sensibili. Le politiche di sicurezza devono richiedere che tutti i dati archiviati su dispositivi esterni siano crittografati, e il personale deve essere adeguatamente formato per utilizzare gli strumenti di crittografia. Il logging e il monitoraggio dell’utilizzo dei dispositivi esterni completano questo approccio multilivello, fornendo tracce dettagliate di tutte le operazioni compiute tramite questi strumenti e facilitando l’analisi forense in caso di incidenti.

Infine, la revisione periodica delle politiche di gestione dei dispositivi esterni e l’aggiornamento delle misure di sicurezza in base alle nuove minacce è essenziale per mantenere un alto livello di protezione.

8. Soluzioni integrate di cybersecurity: l’importanza di un approccio complesso

Il settore sanitario, data la sua crescente dipendenza dalla tecnologia e dalla condivisione digitale dei dati, richiede un approccio olistico e integrato alla cybersecurity. Non basta più implementare singoli strumenti di sicurezza per affrontare minacce specifiche. Le strutture sanitarie devono adottare soluzioni integrate che coprano l’intero spettro delle minacce e forniscano una visione globale della postura di sicurezza dell’organizzazione.

Le piattaforme di sicurezza unificate sono il cuore di questo approccio integrato. Si tratta di soluzioni che centralizzano il monitoraggio, l’analisi e la risposta agli incidenti attraverso vari strumenti e tecnologie, offrendo ai team di sicurezza un’unica interfaccia per gestire l’intera infrastruttura IT. La correlazione dei dati provenienti da diverse fonti (endpoint, rete, cloud) permette di identificare rapidamente comportamenti anomali e minacce potenziali.

L’automazione gioca un ruolo cruciale nell’efficienza operativa delle strutture sanitarie moderne. Tecnologie come SOAR (Security Orchestration, Automation and Response) consentono di automatizzare i processi di risposta agli incidenti, riducendo il tempo di reazione e alleggerendo il carico di lavoro dei team IT. Queste soluzioni permettono anche una gestione centralizzata delle identità e degli accessi, garantendo che solo il personale autorizzato possa accedere a informazioni sensibili.

La sicurezza della rete, in particolare con l’adozione di framework avanzati come SASE (Secure Access Service Edge), è essenziale in un contesto dove il perimetro tradizionale della rete sta scomparendo. SASE combina la gestione della rete con le funzioni di sicurezza native del cloud, garantendo protezione e prestazioni ottimizzate indipendentemente dalla posizione degli utenti o delle applicazioni.

Infine, l’integrazione di tecnologie avanzate come l’intelligenza artificiale (AI) e il machine learning (ML) per l’analisi delle minacce consente di identificare pattern di attacco complessi e anticipare le potenziali vulnerabilità. Questo approccio proattivo permette alle strutture sanitarie di non limitarsi a reagire agli attacchi, ma di prevenirli.

9. Implicazioni legali e protezione dei dati dei pazienti nel contesto degli attacchi informatici

Nel settore sanitario, le implicazioni legali derivanti dagli attacchi informatici sono particolarmente rilevanti. La protezione dei dati dei pazienti è regolata da normative stringenti come il GDPR, che impone alle strutture sanitarie di adottare misure adeguate per garantire la sicurezza delle informazioni personali. Una violazione di questi dati può avere conseguenze legali severe, sia in termini di sanzioni amministrative sia in termini di azioni legali intentate dai pazienti.

Il GDPR richiede che, in caso di violazione dei dati, le strutture sanitarie notifichino l’incidente all’Autorità Garante entro 72 ore. Inoltre, se la violazione è considerata grave, i pazienti devono essere direttamente informati. Questo crea un ulteriore livello di pressione sulle strutture sanitarie, che devono essere in grado di rilevare e contenere rapidamente le minacce, nonché di comunicare in modo trasparente con le autorità e i soggetti coinvolti.

Una delle principali sfide per le strutture sanitarie è garantire la conformità continua alle normative. La protezione dei dati personali deve essere integrata nei processi operativi quotidiani, e ciò implica l’implementazione di misure tecniche e organizzative adeguate. La cifratura dei dati, sia in transito che a riposo, è una delle tecniche più efficaci per ridurre il rischio di violazioni, così come l’adozione di politiche di accesso basate sul principio del minimo privilegio.

Oltre alle conseguenze legali, le strutture sanitarie devono affrontare anche il danno reputazionale che deriva da una violazione dei dati. La perdita di fiducia da parte dei pazienti può avere ripercussioni a lungo termine, riducendo la loro volontà di condividere informazioni cruciali per il trattamento. Per mitigare questi rischi, è essenziale che le strutture sanitarie implementino un solido programma di compliance e nominino figure come il Data Protection Officer (DPO) per supervisionare la gestione dei dati.

10. Sfide future e raccomandazioni per i dirigenti ospedalieri

Il panorama della cybersecurity nel settore sanitario è in continua evoluzione e presenta sfide sempre più complesse. L’aumento della connettività, la diffusione della telemedicina e la crescita dell’Internet of Medical Things (IoMT) ampliano notevolmente la superficie di attacco delle strutture sanitarie, richiedendo un approccio sempre più proattivo.

Uno dei principali problemi futuri è rappresentato dall’avvento del quantum computing, che potrebbe rendere obsoleti gli attuali sistemi di crittografia, aprendo la strada a nuove tipologie di attacco. Per prepararsi a questo scenario, le strutture sanitarie devono investire nell’innovazione, esplorando nuove soluzioni di sicurezza che possano adattarsi alle tecnologie emergenti.

Inoltre, la crescente complessità degli attacchi richiede un aumento delle competenze nel settore. La carenza di professionisti qualificati in cybersecurity rappresenta una sfida globale, e il settore sanitario non fa eccezione. I dirigenti ospedalieri devono adottare misure per attrarre e formare nuovi talenti, collaborando con università e istituti di ricerca per sviluppare programmi di formazione specifici per il settore sanitario.

Una raccomandazione fondamentale per i dirigenti è adottare un approccio integrato alla sicurezza, che vada oltre la semplice protezione tecnologica e includa la gestione del rischio operativo. Ciò significa sviluppare e testare regolarmente piani di continuità operativa e disaster recovery, garantendo che, in caso di attacco, i servizi essenziali possano continuare senza interruzioni significative.

Infine, è essenziale che i dirigenti comprendano che la cybersecurity non è solo una questione tecnica, ma una priorità strategica. La sicurezza deve essere integrata in ogni aspetto della governance ospedaliera, con un coinvolgimento attivo del management nella supervisione e nell’allocazione delle risorse. La collaborazione inter-settoriale e la condivisione delle informazioni sulle minacce saranno elementi cruciali per garantire la resilienza futura delle strutture sanitarie.

Bibliografia

  1. Rapporto Clusit 2024. Associazione Italiana per la Sicurezza Informatica.
  2. Hackmanac Global Cyber Attacks Report 2024.
  3. “Cybersecurity, così l’Ospedale Santobono Pausilipon rafforza la propria infrastruttura”. ZeroUno, 2024. https://www.zerounoweb.it/cybersecurity-2/cybersecurity-cosi-lospedale-santobono-pausilipon-rafforza-la-propria-infrastruttura/
  4. “Sanità sempre più digitale e attenta alla sicurezza: l’esempio del Santobono Pausilipon di Napoli”. Cisco Blogs, 2024. https://gblogs.cisco.com/it/2024/06/05/sanita-sempre-piu-digitale-e-attenta-alla-sicurezza-lesempio-del-santobono-pausilipon-di-napoli/
  5. “Un ospedale cybersicuro: la storia del Santobono di Napoli”. Fortune Italia, 2024. https://www.fortuneita.com/2024/09/03/un-ospedale-cybersicuro-lavvincente-storia-del-santobono-di-napoli/
  6. Cisco e Santobono Pausilipon. Video YouTube, 2024. https://www.youtube.com/watch?v=Gvxtc43yb1w
  7. Post LinkedIn di Giuseppe D’Anna, 2024. https://it.linkedin.com/posts/giuseppedannait_cyber-santobonopausilipon-napoli-activity-7206766922942582784-8Mtt
  8. Regolamento Generale sulla Protezione dei Dati (GDPR), Unione Europea, 2016.
  9. Codice in materia di protezione dei dati personali (D.lgs. 196/2003), Italia.
  10. Direttiva NIS (Network and Information Security), Unione Europea, 2016.
  11. Direttiva NIS2, Unione Europea, 2022.​​​​​​​​​​​​​​​​