Per loro natura, gli ospedali e le strutture sanitarie sono entità in cui la gestione del rischio cyber ricopre estrema importanza, soprattutto dopo il GDPR. Un approccio innovativo al problema può venire però da una contestualizzazione del framework nazionale di cybersecurity ale strutture sanitarie, come fatto dal progetto Assecure dell’Università Politecnica delle Marche, che analizzeremo nel dettaglio.
I dati a rischio
Si è partiti da una considerazione. Da un lato, tali strutture conservano e trattano tipologie di dati che sono intrinsecamente delicati e richiedono particolari tutele, anche alla luce dell’applicazione, a partire dal 25 maggio 2018, della nuova normativa europea sulla protezione dei dati (GDPR, Regolamento Europeo 2016/679), entrata in vigore lo scorso 25 maggio.
Tale norma impone infatti un cambiamento di prospettiva rispetto alle precedenti regolamentazioni in materia di privacy, passando da un approccio basato sulla sola protezione dei dati ad uno più strutturato basato sulla governance dei dati. Ciò passa per la designazione di precisi soggetti responsabili e relativi ruoli nell’ambito della gestione dei dati di tutti i cittadini.
A questo si aggiunge, d’altro lato, la complessità delle infrastrutture ICT di ospedali e strutture sanitarie, che rende altrettanto complessa la loro gestione, così come quella del personale addetto al loro utilizzo.
Ospedali, privacy, security e safety
Innanzitutto va tenuto conto del fatto che le strutture sanitarie rappresentano uno dei casi più eclatanti in cui tre diversi requisiti relativi al mondo cyber si sovrappongono, ovvero: privacy, security e safety. Essi corrispondono ad esigenze diverse, pure se in parte sovrapposte, e la traduzione italiana di security e safety non aiuta a distinguerle, in quanto coincidente con la parola “sicurezza” per entrambe. Con tali tre requisiti intendiamo:
- Privacy: lo stato di essere soli o isolati dagli altri, ovvero, in termini cyber, di avere i propri dati al riparo da sguardi indiscreti, non necessariamente malevoli.
- Security: lo stato di essere protetti da lesioni, ovvero, in termini cyber, di avere i propri dati al sicuro nei confronti di possibili attaccanti.
- Safety: lo stato di essere protetti da danni accidentali, ovvero, in termini cyber, di avere i propri dati al sicuro nei confronti di perdite o danneggiamenti.
Figura 1. Privacy, security, safety.
Normative, regolamentazioni e buone pratiche
Il rispetto di tali requisiti si basa ovviamente sull’applicazione di normative, regolamentazioni e buone pratiche riferite alle organizzazioni in generale ed alle strutture sanitarie in particolare. Tali regolamentazioni hanno ampie zone di sovrapposizione. A titolo di esempio, basti pensare che il GDPR, all’art. 32, prevede l’utilizzo di strumenti di sicurezza quali la cifratura dei dati, evidenziando pertanto la sovrapposizione tra i requisiti di privacy e quelli di security. Risulta quindi utile lo sviluppo e la disponibilità di framework che possano ricomprendere le normative dedicate a singoli aspetti entro un unico strumento organizzativo e gestionale.
Sotto il profilo della security, si deve inoltre aggiungere a questo scenario il fatto che gli ospedali e le strutture sanitarie sono notoriamente oggetto di attacchi specifici, oltre ad essere vittima degli attacchi generici che colpiscono anche le organizzazioni di diversa natura.
I principali attacchi al settore sanitario
Ad esempio, è dell’aprile 2018 la notizia che una campagna di attacchi cyber noti col nome di “Orangeworm” ha colpito principalmente il settore della sanità e delle aziende ad esso connesse negli Stati Uniti, in Europa ed in Asia. Infatti, il malware chiamato “Kwampirs” è stato rilevato in macchine per il controllo di apparati per raggi X e risonanza magnetica, oltre che nelle macchine impiegate per la compilazione delle dichiarazioni di consenso dei pazienti. Ciò richiama alla mente la più ampia categoria di attacchi cyber noti col nome di “Medjack”, abbreviazione di “hijacking medical devices”. Tali attacchi hanno come obiettivi sistemi e dispositivi clinici (come analizzatori di gas nel sangue, PACS, pompe per infusione/insulina, pacemaker, etc.).
Perché la sanità è vulnerabile: gli attacchi
Tali sistemi risultano vulnerabili in quanto usano spesso software obsoleto, sono apparati chiusi nei quali non è possibile applicare aggiornamenti o aggiungere strumenti di prevenzione in quanto il dipartimento IT non può accedervi, e spesso trattano dati in chiaro. In tale caso, il malware è progettato per colpire software obsoleti, e ciò fa sì che spesso non sia più considerato pericoloso dai programmi di protezione. Così facendo, il malware esegue una sorta di “movimento laterale” e si annida nei dispositivi deboli, per poi aprire una backdoor nella rete aziendale.
Tutto ciò rende gli ospedali e le strutture sanitarie particolarmente soggetti ad attacchi cyber, come mostra la lunga serie di eventi di tale natura occorsi negli ultimi anni. A titolo di esempio, la Tabella 1 riporta una lista di attacchi cyber noti, avvenuti tra il 2015 ed il 2017 nei confronti di strutture sanitarie italiane.
| 23/10/2017 – USL 6 Euganea e Azienda ospedaliera, Padova minaccia: DoS impatto: blocco server |
| 21/10/2017 – ASUR Marche, Area Vasta 1, Pesaro minaccia: malware impatto: bloccato sito web |
| 27/03/2016 – Policlinico San Matteo di Pavia minaccia: ransomware impatto: blocco di alcuni reparti |
| 16/03/2016 – Istituto Superiore della Sanità, Ministero della Salute, Asl varie minaccia: attacchi DDoS e Sql Injection (Operazione ‘#OpSafePharma’) impatto: inagibili i siti destinatari e pubblicati diversi dati sensibili |
| 15/03/2016 – Medicina Trasfusionale dell’Ospedale di Lecco minaccia: ransomware impatto: blocco del reparto |
| 10/03/2016 – Ospedale di San Vito al Tagliamento (PN) minaccia: ransomware Cryptolocker impatto: cambiata l’homepage del sito |
| 10/02/2016 – Ospedale di Alessandria minaccia: ransomware TeslaCrypt |
| 14/07/2015 – Ospedale Carlo Urbani – Jesi (AN) minaccia: ransomware |
| 05/06/2015 – Ospedale Cardarelli – Napoli minaccia: code injection |
Tabella 1. Alcuni attacchi ad ospedali italiani negli anni 2015-2017
Gestione del rischio cyber in sanità: il fattore umano
In questo scenario, per gli ospedali e per le strutture sanitarie risulta di primaria importanza la gestione del rischio cyber, intesa come gestione, a livello di organizzazione, dei rischi derivanti dalla conservazione e dal trattamento dei dati sanitari. Tale gestione passa innanzitutto per la definizione del perimetro cyber dell’organizzazione e delle vulnerabilità ad esso connesse. Nonostante sia convinzione comune che le principali vulnerabilità cyber derivino dagli aspetti tecnologici, è ormai ampiamente dimostrato che il primo elemento di vulnerabilità per organizzazioni quali ospedali e strutture sanitarie è invece il fattore umano, ovvero la scarsa preparazione e consapevolezza del personale addetto alla manipolazione dei dati dei pazienti nei riguardi del rischio cyber. Al secondo posto si collocano invece gli aspetti organizzativi, ovvero la disponibilità e l’adozione all’interno di ospedali e strutture sanitarie di protocolli e procedure adeguati al contenimento del rischio cyber. Infine, al terzo posto effettivamente si collocano gli aspetti tecnologici, ovvero la dotazione e messa in opera di strumenti hardware e software adeguati a contenere il rischio cyber negli ospedali e nelle strutture sanitarie.
Il Framework nazionale per la cyber security
Un importante strumento di autovalutazione del rischio cyber è rappresentato dal framework nazionale di cybersecurity[1], realizzato nel 2015 dal CIS Sapienza e dal Laboratorio Nazionale di Cybersecurity del CINI. Quest’ultimo rappresenta la più grande rete di eccellenza nazionale sulle tematiche della cybersecurity, e raccoglie 250 tra professori e ricercatori appartenenti a 45 università italiane.
Lo sviluppo del framework nazionale di cybersecurity è in linea con la strategia nazionale di cybersecurity, di cui l’Italia si è dotata già dal 2013 col Decreto del Presidente del Consiglio dei Ministri 24 gennaio 2013, e che è stata aggiornata con Decreto del Presidente del Consiglio dei Ministri 17 febbraio 2017, contenente la “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali”.
Alla definizione della strategia nazionale di cybersecurity nel dicembre 2013 è seguita, da parte della Presidenza del Consiglio dei Ministri, quella del “Quadro strategico nazionale per la sicurezza dello spazio cibernetico”, il quale individua sei indirizzi strategici su cui agire per accrescere i livelli di cybersecurity del sistema paese.
Il framework nazionale di cybersecurity, presentato nel febbraio 2016 dal Laboratorio Nazionale di Cybersecurity del CINI, rappresenta un’importante raccolta di linee guida e buone pratiche per la cybersecurity, oltre che uno strumento di autovalutazione del rischio cyber a disposizione di enti ed aziende. Esso trae ispirazione dal framework NIST (National Institute of Standards and Technology) per la protezione delle infrastrutture critiche, emanato nel 2014 e recentemente aggiornato alla versione 1.1[2]. Dall’impostazione del framework NIST il framework nazionale mutua la suddivisione delle linee guida in cinque categorie, legate alle fasi di una minaccia cibernetica, ovvero: identify, protect, detect, respond e recover. Tali cinque categorie raccolgono 98 sottocategorie di linee guida e buone pratiche per la cybersecurity. Rispetto al framework NIST, il framework nazionale ha introdotto la possibilità di specificare il livello di priorità e quello di maturità per ciascuna sottocategoria. Ciò rende il framework nazionale più flessibile di quello NIST, e ne consente l’applicazione ad un contesto più esteso di quello delle sole infrastrutture critiche.
Il progetto Assecure
Ciò può essere fatto definendo una contestualizzazione del framework per una specifica tipologia di organizzazioni, che consiste nella selezione delle sottocategorie che si applicano a tale tipologia di organizzazioni, e la definizione dei relativi livelli di priorità e di maturità. Questo consente di adattare il framework in base alle caratteristiche e vulnerabilità tipiche di una specifica tipologia di organizzazioni. La definizione di una contestualizzazione del framework nazionale di cybersecurity per le strutture sanitarie è pertanto possibile, e consentirebbe di fornire loro uno strumento di autovalutazione del rischio cyber specificamente adattato per tali organizzazioni.
Questo è uno degli scopi del progetto Assecure[3], finanziato dall’Università Politecnica delle Marche come progetto strategico di ateneo. Il progetto coinvolge tre facoltà dell’Università Politecnica delle Marche (Ingegneria, Medicina e Chirurgia, Economia), in collaborazione con tre ospedali (due delle Marche, uno della Puglia). Obiettivi del progetto sono la valutazione del rischio cyber all’interno di un tipico scenario ospedaliero, la contestualizzazione del framework nazionale all’ambito ospedaliero e la valutazione dell’impatto economico dell’implementazione delle misure del framework nazionale in ambito ospedaliero.
L’attività di contestualizzazione del framework nazionale alle strutture sanitarie è stata svolta partendo dalle informazioni raccolte dalle tre strutture coinvolte nel progetto, ed avvalendosi della loro collaborazione nella selezione delle sottocategorie e nella definizione dei relativi livelli di priorità e maturità. Una bozza completa di framework contestualizzato alle strutture sanitarie è stata elaborata ed è tuttora al vaglio dei partner del progetto per verifica e consolidamento. Essa sarà successivamente sottoposta a revisione nell’ambito del Laboratorio Nazionale di Cybersecurity del CINI per giungere ad una sua versione condivisa e definitiva.
Figura 2. Estratto del framework nazionale contestualizzato alle strutture sanitarie.
A titolo di esempio, la Figura 2 riporta un estratto della tabella delle sottocategorie della categoria “protect” relative all’aspetto della sicurezza dei dati. Come mostra la figura, si è reso necessario inserire una nuova sottocategoria (PR.DS-9) relativa alla anonimizzazione dei dati usati nelle strutture sanitarie per scopi di ricerca, anche in conformità alla GDPR. L’integrazione del framework contestualizzato con la GDPR è evidentemente un atto necessario alla luce dell’evoluzione del quadro normativo. Tuttavia, il quadro delle norme che si applicano al contesto delle strutture sanitarie è estremamente vasto e variegato. Pertanto, un’importante attività ai fini della definizione della contestualizzazione del framework a tali strutture consiste proprio nell’integrazione dei riferimenti normativi al fine di tenere conto di tale panorama. A titolo di esempio, in Figura 3 si riporta un altro estratto della contestualizzazione del framework nazionale alle strutture sanitarie sviluppata nell’ambito del progetto Assecure, nel quale si evidenzia l’integrazione dei riferimenti normativi con i capi delle norme ISO 27002 e ISO 27799, che si applicano a tale contesto.
Figura 3. Esempio di integrazione del framework nazionale con norme ISO 27002 e ISO 27799.
Valutazione del rischio e questione lessicale
Un ulteriore elemento emerso durante l’attività di definizione della contestualizzazione del framework alle strutture sanitarie riguarda la questione lessicale. Infatti, la valutazione del rischio cyber all’interno di una struttura complessa come un ospedale richiede l’interazione con i singoli dipartimenti, dove spesso il personale addetto non è di estrazione tecnica, ma sanitaria. Perciò si rende necessario avere a disposizione uno strumento di valutazione del rischio cyber che sia fruibile dal personale addetto, anche in termini lessicali.
In conclusione, la gestione del rischio cyber negli ospedali e nelle strutture sanitarie rappresenta un’attività cruciale da un lato e particolarmente complessa dall’altro lato. Perciò riveste particolare importanza la disponibilità, a livello nazionale, di strumenti per l’autovalutazione del rischio e la gestione della cybersecurity a livello manageriale. Il framework nazionale di cybersecurity, sviluppato nel 2015, è frutto di un lungo lavoro di definizione di buone pratiche che coinvolgono tutti gli aspetti della cybersecurity di un’organizzazione. Pertanto, il suo utilizzo nell’ambito delle strutture sanitarie appare raccomandabile, possibilmente tenendo conto delle specificità di tali strutture attraverso un’opportuna contestualizzazione del framework stesso.
____________________________________________________
- http://www.cybersecurityframework.it/ ↑
- http://www.nist.gov/cyberframework/ ↑
- http://assecure.dii.univpm.it ↑
