Cyber Threat Intelligence

Cybersecurity nella sanità, come prevenire gli attacchi

Oggi ci sono molteplici strumenti che proteggono la cybersecurity nella sanità da attacchi o identificano ed eliminano attività malevole. Alcune soluzioni, poi, vanno oltre, individuando le vulnerabilità nell’infrastruttura IT e suggerendo come “sanarle” per evitare di essere vittima di minacce alla sicurezza

Pubblicato il 01 Dic 2021

Fabrizio Pincelli

Se si escludono gli ambienti governativi, come per esempio la sicurezza nazionale, sono le aziende e le organizzazioni che operano nell’ambito sanitario a gestire i dati più sensibili in assoluto. Questo aspetto viene chiaramente riportato anche nel GDPR. E lo confermano i dati del rapporto Clusit 2021: nel 2020, dopo un generico Multiple Targets (374 attacchi, -5,3% rispet­to al 2019), tra le categorie più colpite troviamo Government (258 attacchi, +4,5%) e immediatamente dopo Healthcare (215 attacchi, +5,9%).

La crescita degli attacchi di quasi il 6% mostra come ci sia sempre più attenzione verso i dati sanitari da parte dei cybercriminali, i quali arrivano addirittura a sottrarre in modo illecito o a tenere in ostaggio anche singoli formati di file tipici del mondo medicale, come per esempio quelli radiografici DICOM. E gli eventi recenti, come l’attacco dello scorso mese di agosto alla Regione Lazio, mostrano chiaramente quali possono essere gli effetti.

È quindi necessario che le aziende e le organizzazioni del mondo della sanità valutino molto seriamente l’aspetto cybersecurity e che prendano tutti i provvedimenti necessari per attuare il più alto livello di protezione possibile. Per suggerire quale strada seguire abbiamo chiesto un consiglio all’azienda Cerbeyra, che vanta in questo ambito un’approfondita esperienza.

Tre ordini di problemi che possono compromettere la sanità

 “Si possono individuare tre ordini di problemi inerenti alla cybersecurity nella sanità – afferma Francesco Arruzzoli, Responsabile R&D di Cerbeyra –. In primo luogo, i dati sanitari hanno un enorme valore commerciale per il cyber crime e quindi c’è una maggiore propensione a rubarli. Però, oltre al danno economico che può causare un data breach, si crea anche un danno di immagine che per le strutture sanitarie assume particolare importanza perché c’è in ballo la salute delle persone. La rilevanza del danno di immagine è tale che può arrivare addirittura a compromettere il futuro di un’azienda”.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Cybersecurity

“Il secondo problema – prosegue Francesco Arruzzoli – riguarda il fatto che se un cyber criminale entra nel sistema di una struttura sanitaria può intervenire direttamente sulla cartella clinica o sulla terapia di una persona causando un danno alla sua salute. Può arrivare anche a uccidere tale persona. Questo è un aspetto estremamente critico, per cui cliniche, ospedali o laboratori di analisi devono porre la massima attenzione nella prevenzione di un attacco alla sicurezza IT, ma soprattutto dovrebbero predire la possibilità che una minaccia li possa riguardare”.

Il terzo problema riguarda i dispositivi medicali, cioè il fatto che possano essere compromessi i sistemi che generano le analisi, preparano i composti, gestiscono le terapie e così via. “C’è tutta una letteratura sui prodotti medicali – sostiene Francesco Arruzzoli –. Prendiamo per esempio il pacemaker. Oggi non è più necessario rioperare un paziente per modificarne gli impulsi. Tramite una connessione wireless ci si può connettere al pacemaker e modificarne i parametri. Questo ci riporta al problema precedente, ovvero alla possibilità di incidere sulla salute di una persona”.

Non va poi dimenticato che un attacco hacker provoca un’interruzione dell’attività con tutto ciò che ne consegue. Un esempio in questo senso è il citato attacco subito dalla Regione Lazio. Nel momento in cui c’era più bisogno di vaccinarsi, sono state bloccate le prenotazioni: si sono così perse le liste d’attesa ed è stato bloccato tutto il servizio.

Predire è meglio che curare

 Oggi esistono tecnologie di cybersecurity che anche nella sanità fanno un’ottima attività di prevenzione e contrasto. Ci sono antivirus intelligenti e firewall intelligenti, che nel momento in cui rilevano un’anomalia sulla rete, ancora prima che diventi effettivamente un malware e quindi manifesti l’attività malevola, intervengono e bloccano tale attività. “Però se rilevano l’anomalia vuol dire che qualcosa è già successo – sottolinea Arruzzoli –. Con Cerbeyra, la nostra piattaforma di Cyber Threat Intelligence, andiamo ancora più a monte e facciamo un’azione predittiva. Possiamo infatti monitorare le organizzazioni h24 365 giorni all’anno per capire con che tipo di vulnerabilità sono esposte. In base poi alle vulnerabilità individuate, possiamo stabilire qual è la probabilità che qualcuno possa arrecare danno a quelle organizzazioni. Possiamo anche stimare l’entità del danno. In questo modo facciamo una predizione, che da una parte diminuisce il numero degli attacchi che possono essere subiti e dall’altra permette al management di ottimizzare i costi perché concentra il budget, il tempo, le risorse solo su quelle vulnerabilità che hanno la più alta probabilità di attacco”.

Da precisare che Cerbeyra non monitora solo l’interno della struttura sanitaria, ma va guardare anche all’esterno, ambienti che non sono direttamente collegati con l’azienda, come per esempio il dark web. Viene verificata la presenza di eventuali credenziali di utenti dell’organizzazione piuttosto che di documenti sensibili che potrebbero essere stati esfiltrati. Magari proprio dalla sede dell’azienda stessa o da altre strutture, come fornitori o clienti, che fanno riferimento a quell’organizzazione.

Indicazioni su dove e come intervenire

La piattaforma Cerbeyra va vista come uno strumento di intelligence per la cybersecurity nella sanità, che trasforma informazioni di vulnerabilità in informazioni di intelligence sulla vulnerabilità. Quindi dà indicazioni su dove è più importante intervenire, fornendo una sorta di graduatoria delle priorità.

Inoltre, è un sistema di terze parti indipendente, quindi non va a sovrapporsi all’attività di eventuali altre aziende che già lavorano all’interno dell’organizzazione per servizi sistemistici, di networking o sicurezza. Però può fornire indicazioni se il lavoro viene eseguito bene oppure se esistono vulnerabilità o criticità a cui bisogna porre attenzione o che vanno sistemate. Siccome monitora le attività che vengono svolte all’interno dell’azienda, permette al manager di avere subito sott’occhio quali sono gli asset più critici, quelli che risultano avere più vulnerabilità o le vulnerabilità più importanti. Si può quindi intervenire avvertendo chi già segue l’infrastruttura o ricorrendo ad aziende che possano risolvere il problema.

Due informazioni distinte, una per il management e una tecnica

 In realtà, a fronte dell’analisi effettuata da Cerbeyra vengono redatti due report, uno specifico per il management e uno di carattere tecnico. E c’è una netta differenziazione tra i due. “Il primo viene redatto utilizzando un linguaggio chiaro e intuitivo – puntualizza Francesco Arruzzoli – per far capire immediatamente anche a chi non ha competenze tecniche dove si trova il problema, mentre l’altro report fornisce tutte le informazioni su come intervenire per risolvere tale problema. Stessa informazione, ma due punti di vista nettamente differenti”.

Al management viene suggerito quali sono le cose più importanti da tenere sotto controllo e gli viene data un’indicazione, per esempio, di quanto è esposto economicamente al danno. In pratica, in base al tipo di organizzazione, alle vulnerabilità trovate e alla loro posizione viene fornita al management una stima di quanto può essere esposto economicamente al danno, proponendo un minimo e un massimo. Per esempio, il minimo potrebbe essere quanto potrebbe costare l’interruzione delle attività per mezza giornata mentre il massimo potrebbe essere il costo di un blocco per più giorni, con un’eventuale multa del garante, perché magari alcuni indicatori non sono in linea con quanto previsto dalle norme. “Il valore della piattaforma sta in questo – evidenzia Francesco Arruzzoli – nel dare un’informazione di qualità sul rischio a cui si è esposti per far sì che poi si possano effettuare attività di remediation”.

Una tutela contro le multe

L’attività di monitoring continuativo offre un importante vantaggio all’azienda sanitaria in termini giuridici e normativi, perché dimostra che si ha sempre sotto controllo l’intera infrastruttura, come prevede l’articolo 32 del GDPR. “È chiaro che diminuiamo le possibilità di rischio ma non le annulliamo – conclude Francesco Arruzzoli –. Può anche accadere un attacco, ma se si dimostra di avere attivato tutti i sistemi di sicurezza possibili e anche che si è messa in atto un’azione predittiva, allora il garante non è in grado di elevare una multa all’organizzazione”.

Contributo editoriale sviluppato in collaborazione con Cerbeyra

CLICCA QUI per scaricare il White Paper: "Cyber Threat Intelligence"

@RIPRODUZIONE RISERVATA
Argomenti trattati

Approfondimenti

C
Cybersecurity
S
sanità digitale

Articolo 1 di 5