La sicurezza informatica è diventata un elemento critico per le organizzazioni sanitarie di tutto il mondo perché gestiscono grandi quantità di dati sensibili sui pazienti e devono proteggere queste informazioni da attacchi informatici sempre più sofisticati, che spesso contano su debolezze del fattore umano.
Per difendersi occorre, perciò, adottare un approccio socio-tecnico, cioè unire alle necessarie soluzioni tecnologiche più recenti anche interventi sulle persone, sull’organizzazione e sui processi.
Indice degli argomenti
Sicurezza informatica delle organizzazioni sanitarie: la minaccia
Secondo il rapporto CLUSIT 2023 sulla sicurezza ICT in Italia, il numero di attacchi che hanno colpito il settore Healthcare andati a buon fine è raddoppiato a livello globale nel periodo 2018-2022, passando da 161 a 304.
Nel primo trimestre del 2023 il settore si è confermato non solo il settore maggiormente colpito, ma anche un settore in continuo peggioramento. In Italia nel 2022 vi sono stati (contro i tre del 2018) nove attacchi importanti andati a buon fine (tra cui attacchi alla Ulss 6 Euganea, alla ASST Fatebenefratelli-Sacco, alla ATS Insubria, alla ASL Torino, alla Azienda Ospedaliera di Alessandria).
In molti casi, l’attacco avviene con l’impego di tecniche di social engineering, che sfruttano il comportamento umano per ottenere accesso alle risorse informatiche per danneggiarle o estrarne dati; è il tipo di attacco più frequentemente sperimentato (oltre il 57%) dai respondent di una survey condotta dal Healthcare Information and Management Systems Society negli Stati Uniti (2020 HMISS Cybersecurity Survey).
I fattori di complessità specifici del settore sanitario
L’attività sanitaria presenta una superficie di attacco ampia e dinamica, dotazioni tecnologiche difficili da proteggere, un modello di lavoro ed un orientamento culturale con “falle” a disposizione degli attaccanti. Per esempio:
- Vi è una molteplicità di end-point connessi (inclusi dispositivi e dispositivi mobili) il cui numero e tipo possono cambiare giorno per giorno e molti diversi sistemi interconnessi.
- L’assistenza sanitaria si sta evolvendo sempre più verso la digitalizzazione: cartelle sanitarie elettroniche, telemedicina, intelligenza artificiale, dispositivi medici connessi sono in aumento.
- Sono operativi molti dispositivi medici con software progettati quando non si pensava alla sicurezza, con una vita residua ancora lunga.
- La tendenza ad una maggiore integrazione lungo il percorso del paziente induce rischi per il maggior scambio di dati tra organizzazioni/operatori sanitari.
- In situazioni di emergenza sanitaria (come nel caso del Covid-19), rischi derivano, per esempio, da maggiore ricorso alla telemedicina, smart working degli operatori amministrativi, scambi di dati tra enti per gestire le vaccinazioni e il trasferimento dei pazienti, rapido inserimento di nuovo personale, veloce progettazione di App ad-hoc (es. per monitore i contatti), attrezzaggio rapido di nuovi siti non sanitari per svolgere attività sanitarie.
- La cultura del lavoro del personale sanitario può far sì che la sicurezza venga trascurata o percepita come un fardello, in particolare se si ritiene che pregiudichi l’assistenza al paziente.
- In molti casi, molti operatori di reparti clinici e laboratori devono accedere alla stessa postazione di lavoro più volte durante la giornata lavorativa. Un operatore sanitario nei reparti clinici potrebbe dover accedere e disconnettersi più di 80 volte al giorno. Ciò aumenta il rischio di scarsa attenzione alla gestione delle password.
A questi fattori si aggiunge un quadro regolatorio che, se ha il beneficio di spingere verso una maggiore sicurezza, richiede anche investimenti rilevanti e cambiamenti che incontrano resistenze nel management, nel personale e nella supply chain (in particolare dei dispositivi medici).
Si possono citare, a livello europeo: il General Data Protection Regulation (GDPR), la Directive on Security of Network and Information Systems (NIS), il Medical Device Regulation (MDR), le Procurement Guidelines for cybersecurity in hospitals (ENISA 2020).
Necessità di investimenti mirati e completi
L’agenzia europea per la cybersecurity (ENISA) nello studio NIS Investments (novembre 2021) condotto su 137 enti sanitari europei ha stimato che la spesa annuale di un ente per la cybersecurity ha il valore mediano di 1,5 milioni di euro (conto capitale più conto esercizio, includendo hardware, software, personale interno, contractors, outsourcing).
Si noti che il 18% della spesa riguarda misure non tecniche (governance, gestione del rischio e della compliance). L’investimento per introdurre nuove soluzioni di cybersecurity è solo una quota della spesa complessiva. Quindi, la qualità della sua composizione è cruciale per il massimo ritorno (inteso come incremento di compliance per ogni euro investito) delle limitate risorse disponibili.
Le sfide sopra descritte evidenziano l’importanza di agire sul fattore umano ed organizzativo, come anche ribadito dall’art. 21 §1 della direttiva NIS 2, che stabilisce che le strutture sanitarie, in quanto infrastrutture critiche, devono adottare “misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi”
La definizione e l’implementazione di un insieme bilanciato e sinergico di interventi tecnici e organizzativi è pertanto cruciale per conseguire un reale e duraturo miglioramento del livello di sicurezza informatica.
L’approccio socio-tecnico
Per mappare e governare in modo adeguato le necessarie misure di miglioramento è utile descrivere l’ente sanitario e le sue funzioni di cyber security come sistemi socio-tecnici, il cui funzionamento è cioè riconducibile a tre componenti chiave: persone, processi/organizzazione, strumenti ed alle loro reciproche interazioni.
Sviluppando questa idea, in un progetto di ricerca finanziato dalla Commissione Europea (denominato PANACEA e concluso a fine febbraio 2022) la Fondazione Policlinico Gemelli, insieme ad altri 14 partner, ha messo a punto un approccio per il miglioramento della sicurezza informatica degli enti sanitari che integra fattori tecnici ed organizzativi.
Secondo questo approccio, un ente sanitario, ai fini della gestione della sicurezza informatica, è costituito da due sistemi (come rappresentato anche nella figura sottostante):
- Il sistema delle operazioni (cioè l’ente al netto delle funzioni specifiche di cyber security), che include le persone (personale sanitario, amministrativo, tecnico; pazienti, fornitori di servizi), le tecnologie (sistema informatico, dispositivi medici), processi/organizzazione (processi clinici, amministrativi; meccanismi di coordinamento e di decisione).
- Il sistema della cyber security, che difende il sistema delle operazioni e che include le persone (addetti interni ed esterni alla cybersecurity), gli strumenti per garantire la cyber security (sia tecnici, come per esempio i sistemi di identificazione e di Network Access Control che non-tecnici, quali la formazione, vademecum), i processi per assicurare tutte le necessarie attività per identificare e proteggere le risorse informatiche, rilevare gli attacchi e rispondere, recuperare la piena operatività, la relativa organizzazione (es. comitati, job description del Chief Information Security Officer, CISO).
La considerazione congiunta di più variabili garantisce non solo il miglioramento della operatività sanitaria, ma anche che questo non introduca rischi per la sicurezza informatica.
Consideriamo, per esempio, un caso in cui l’ospedale acquisisca e diffonda nei reparti un nuovo tipo di dispositivo medico di tipo POCT (Point of Care Testing, che consente di fare analisi del sangue direttamente in reparto).
Questo comporta la sua integrazione nel sistema esistente, per esempio con il Laboratory Information System-LIS (tecnologia T1), la formazione degli operatori (persone P1) e la eventuale modifica delle procedure di esecuzione delle analisi (OP1).
Per evitare agli operatori sanitari di immettere continuamente la password, supponiamo che si decida di adottare il riconoscimento facciale (strumento tecnico, S2); ma bisogna farlo accettare, disegnando azioni di sensibilizzazione e formazione (strumenti non-tecnici, S2). Nel team di cyber security occorre anche individuare chi deve conoscere bene e gestire il sistema di riconoscimento facciale (organizzazione OP2) e definire una procedura di registrazione di un nuovo addetto (processo OP2).
Il sistema di riconoscimento deve anche essere integrato correttamente nei sistemi di identificazione in essere (strumento tecnico, S2)
Sicurezza informatica delle organizzazioni sanitarie: caso d’uso
Come dicevamo, la Fondazione Policlinico Gemelli ha avviato un nuovo progetto di sicurezza informatica, denominato CYBERHIMPREX, cofinanziato al 50% dalla Unione Europea nell’ambito del Programma Digital Europe e che applica l’approccio socio-tecnico. Il progetto mira a rafforzare la capacità di resistere agli attacchi cyber della Fondazione e di altre due organizzazioni sanitarie partner (una greca e una spagnola) attraverso l’implementazione di un portafoglio di undici iniziative.
Cinque di esse, che assorbono l’80% del budget, realizzano misure di natura tecnologica. Per esempio, si prevede l’implementazione di soluzioni per la condivisione transfrontaliera sicura dei dati tra le tre organizzazioni sanitarie partner, attraverso l’utilizzo di un nuovo strumento sviluppato dal progetto PANACEA.
Due di esse migliorano l’organizzazione e i processi. Per esempio, il progetto migliorerà l’orientamento alla sicurezza informatica del processo di acquisto di dispositivi medicali e soluzioni di information technology, al fine di allinearlo con le linee guida dell’ENISA, prevedendo sia requisiti tecnici per i beni che clausole per la relazione di fornitura (es. per le manutenzioni e per la gestione degli incidenti).
Le restanti quattro agiscono sulle persone. Per esempio, si faranno corsi di diverso livello per i tecnici dell’ICT e dell’Ingegneria Clinica e si progetteranno e realizzeranno interventi per elevare la consapevolezza dei rischi cyber mirati sulle diverse tipologie di personale (medici, infermieri, amministrativi, tecnici, specializzandi).
CYBERHIMPREX adotterà anche soluzioni e metodologie che sono state sviluppate da due progetti Horizon 2020, CUREX e PANACEA, a cui le tre organizzazioni sanitarie hanno partecipato come partner. Il progetto, avviato il primo gennaio 2023, si concluderà a fine 2024 e permetterà alla Fondazione di migliorare la conformità rispetto alla normative per il settore sanitario.
Inoltre, CYBERHIMPREX consentirà di incrementare la consapevolezza e lo sviluppo delle competenze del personale sanitario e del personale tecnico (dell’ICT e dell’Ingegneria Clinica).
Il progetto produrrà anche un caso di studio per fornire raccomandazioni alle autorità nazionali ed europee in tema di promozione, supporto e facilitazione di adozione dei risultati dei progetti dell’UE, approccio olistico agli investimenti nella sicurezza informatica, investimenti per la conformità normativa e realizzazione di scambio di dati tra paesi.
CYBERHIMPREX non solo rappresenta un importante passo avanti per la Fondazione Policlinico Gemelli, ma può rappresentare anche un modello per altre organizzazioni sanitarie in Italia e in Europa che cercano di rafforzare la loro sicurezza informatica e di proteggere i dati dei pazienti dai sempre più sofisticati attacchi cyber.
