Pubblico e privato stanno procedendo con uguali metodo e ritmo per realizzare un fronte comune di cyber difesa nel Sistema Sanitario Nazionale?
Prima riflessione sugli asset IT pubblici e privati: a livello regionale è chiaro il censimento e la mappatura delle piattaforme sulle quali intervenire? Dovremmo avere una risposta certa. Sul fronte operativo, l’organizzazione della prevenzione e valutazione del rischio, e le contromisure che mirano ad allineare il metodo organizzativo e la gestione delle risorse disponibili al governo e controllo degli attacchi, dovrebbero essere chiare ed universali.
Seconda riflessione: se ci chiedessimo quante realtà pubbliche o private realizzano e basano la loro analisi del rischio con cadenza annuale, su di una tassonomia comune di asset condivisi a livello nazionale, utilizzando modelli di classificazione unici basati sulla normativa nazionale o comunitaria (ISO3100, NIST, ENISA) redigendo il budget in modo correlato alla minimizzazione del rischio residuo su eventi avversi, dovremmo avere risposta confortante.
Terza riflessione: a livello nazionale e regionale dovremmo essere preparati in modo adeguato da affrontare un evento avverso quale un attacco IT di misura sproporzionata rispetto le risorse disponibili (maxi-emergenza). Simulazioni organizzate a livello macro-distrettuale dove l’accadimento sia di tipo IT, le procedure contingenti siano verificate sul campo con il personale addestrabile; il focus della esercitazione sia legato alla continuità di servizio, al ripristino dei sistemi, al perdurare della mancanza di un servizio IT “base”.
Cybersecurity nel Sistema Sanitario Nazionale: cosa è cambiato con l’Agenzia Nazionale e il CAD
La nascita della Agenzia Nazionale sulla Cybersicurezza ha permesso di separare l’organizzazione della sicurezza e l’intelligence: tralasciando il secondo fronte, che ha come attore istituzionale il Ministero degli Interni, sul primo si aprono gli scenari costruttivi più interessanti che miglioreranno il sistema Italia rispetto alcune attuali forti difficoltà.
Le criticità sono equiparabili sia sul fronte pubblico che su quello privato accreditato e riguardano le diverse possibilità di fruizione degli attuali pilastri normativi e piattaforme tecnologiche nazionali (tra cui CAD, AGID, PNSC, NIS, CERT, PNRR, FSE, ANA). Attualmente vi è una asincronia nell’accesso a tali strumenti nel rapporto tra pubblico/privato sul fronte normativo, di fruizione delle piattaforme, nella programmazione/approvvigionamento, ovvero sul fronte della organizzazione della sicurezza (censimento degli asset, analisi del rischio). Tali pilastri nazionali della digitalizzazione potrebbero e dovrebbero essere meglio sfruttati o adeguati.
Partiamo dal CAD, il Codice della Amministrazione Digitale che, dal 2005, prevede che il cittadino abbia diritto ad una identità digitale, domicilio digitale ed un insieme di anagrafiche nazionali e servizi di piattaforma, guidati da una nascente agenzia AGID.
Questa innovazione nel tempo ha accelerato la realizzazione di linee guida applicative concrete, sfumando la differenza tra “norme pensate ex-ante” e “piattaforme realizzate ex-post” ad uso dei cittadini e della PA in linea con le leggi dello Stato: prima di AGID diversi tentativi di creare contesti normativi in ambito IT avevano portato a norme troppo generiche ovvero troppo dettagliate per poi essere aggiornate con tecnologie in rapida evoluzione.
AGID ha permesso un passo enorme in avanti nell’abbracciare norme adeguate ed allineate nel tempo con piattaforme nazionali offerte alla PA, linee guida, documentazione e toolkit gratuiti alla PA ed ai cittadini. AGID ha normato e sviluppato nel tempo strumenti di analisi del rischio gratuiti, piani triennali di messa in sicurezza dei datacenter nazionali, strumenti di identità digitale (SPID, CIE) e di firma, ed effettua certificazioni ed audit per avallare le procedure di acquisto e approvvigionamento.
Quindi tutto bene? Quasi. Il processo non è completo.
Cybersecurity nel SSN: cosa manca per completare il processo
Il perimetro di AGID sul fronte del supporto alle aziende è limitato fortemente alla PA: le piattaforme nate per accelerare l’avvicinamento del cittadino alla PA non sono ancora state aperte al privato ed alle strutture sanitarie accreditate, creando una discrasia tra possibilità di accesso a piattaforme da parte della PA e piattaforme di mercato cui debbono rivolgersi i privati. Questa discrasia non è solamente disfunzionale (duplicazione di sistemi e di punti di accesso), ma anche peggiorativa rispetto la sicurezza, visto che la pluralità di sistemi, duplicazione di servizi analoghi, differente governo e controllo delle forniture, rende esponenziale la superficie di attacco e l’impatto conseguente.
Su questo fronte rischiamo una mancata sinergia tra gli investimenti dello Stato e la possibilità da parte delle strutture private accreditate (o private) di accedere a quanto creato per la PA. Sul fronte funzionale, esempi concreti sono ANA (Anagrafica Nazionale Assistiti) che ad oggi non prevede l’accesso (mediato dalle Regioni/ASL) da parte delle strutture private ed accreditate, il Fascicolo Sanitario Elettronico che solo da poco è stato aperto alle strutture private: il PNRR con il quadro di cui sopra, rischia di non essere veicolato in modo bilanciato sulle strutture private accreditate per permettere una crescita organica e resiliente delle piattaforme su tutto il perimetro del SSN, come unicum.
Esempio di una unificazione virtuosa sul fronte operativo nel governo e controllo degli incidenti è l’unificazione di CERT e CERT-PA, che prima erano separati tra pubblico e privato: sarebbe importante comprendere come effettuare una convergenza anche sul fronte normativo/progettuale, dove le linee guida AGID, mandatorie per la PA, possano divenire condizionanti all’accreditamento, al pari del pubblico, anche sul fronte delle aziende private accreditate, finanche nel metodo e negli strumenti (formazione, supporto, progettazione) per adempiere alla NIS.
Cybersecurity nel SSN: come unificare la sicurezza tra pubblico e privato
L’attore promotore? Le Regioni. Attuando il disposto normativo statale e sfruttando la propria autonomia legislativa e organizzativa, istituendo le centrali di committenza per la gestione della funzione acquisti, le Regioni potrebbero essere attore promotore di tale convergenza, anche in virtù delle loro normative che regolano non solo l’acquisto ma la programmazione triennale, di concerto con le Direzioni Salute e la pianificazione dello sviluppo delle tecnologie anche sul fronte del PNRR.
L’applicazione del metodo NIS di analisi circolare nella programmazione budget ICT
Cosa migliorare? Sul fronte delle PA deve essere rivisto l’attuale processo di redazione del budget regionale rispetto le infrastrutture IT: troppe Regioni ad oggi realizzano e negoziano il budget con ATS e ASL senza dare adeguato spazio alla componente ICT nei capitoli di spesa in negoziazione. Un processo centralizzato e rivisto del budget ICT (al pari dei dispositivi medici, farmaci, ed ex Art.20) è una risorsa fondamentale e porterebbe ad un vero controllo circolare degli investimenti; la partecipazione delle in-house regionali sarebbe sinergica rispetto la chiarezza tra cosa è stato negoziato ed acquistato dalle ATS e ASL vs. quanto previsto dai progetti di concentrazione dei sistemi regionali. Per migliore controllo intendiamo il governo degli asset della loro vetustà e rinnovo, delle loro caratteristiche operative: un golden goal per quanto riguarda la sicurezza e gli investimenti in ottica NIS per avere il famoso elenco di asset affidabile a livello regionale.
La soluzione comune (PA e strutture accreditate) per determinare budget e attività programmatorie di sviluppo IT passa attraverso l’applicazione all’unisono del metodo suggerito da NIS: è l’analisi del rischio circolare risk-assessment>risk-analysis>budget>pianificazione>acquisto>implementazione finalizzata a pianificare progettare e realizzare concretamente azioni che saranno valutate annualmente con orizzonte triennale, con il metodo classico del “plan-act-do-check”.
Organizzarlo in modo collegiale a livello regionale permetterebbe agli OSE (strutture critiche nazionali pubbliche e private) di avere non solo un punto comune di comunicazione degli incidenti e di risposta ai threat, ma anche un metodo comune rispetto strumenti, processi di approvvigionamento e piattaforme.
Avere stesso metodo e utilizzare stesse piattaforme nazionali non significherebbe finanziare i privati con fondi pubblici, ma permetterebbe di sfruttare e capitalizzare il patrimonio di piattaforme PA già in esercizio ed avere un unico punto di presidio della sicurezza: permettere ai privati, soprattutto medio-piccoli, un accesso a risorse che sarebbero troppo costose da acquistare sul mercato privato per realizzare ex-novo sicurezza IT. Con l’effetto di una maggiore sicurezza e qualità delle cure ai pazienti.
Su questo fronte, è già stata tentata in una Regione italiana negli anni 2019-2020 la realizzazione di un processo circolare di programmazione degli acquisti regionali con una analisi del rischio legata agli asset regionali (utilizzando lo strumento gratuito di risk analysis di AGID disponibile online) ed un progetto di censimento degli asset Regionali IT con annessa fornitura gratuita di un archivio unico degli asset e delle configurazioni (chiamato CMDBuild) che permettesse alle ASL di continuare ad effettuare le attività ciclicamente nel tempo.
Al gruppo di lavoro convocato dalla Regione erano presenti tutte le strutture, sia pubbliche che private (che ovviamente non partecipavano al processo di approvvigionamento ma solo alla componente di allineamento organizzativo e formativo), per permettere una sinergia ed una comunione di informazioni, valutazioni del rischio, metodo e sviluppo di politiche comuni e interazione anche con AGID stessa. Con determina regionale, si indirizzava la programmazione degli acquisti sul fronte delle PA e si convocavano in parallelo tutte le entità regionali (pubblici e privati) per corsi di formazione ed attività utili non solo alla creazione dei CERT Regionali ma anche ad una pianificazione basata su metodi, misure e domini informativi condivisi.
La cybersecurity come vincolo per l’accreditamento al SSN
Nell’ambito della Sanità pubblica, il tema della sicurezza delle informazioni è fortemente legato alla continuità di servizio di strutture critiche nazionali (quali gli OSE): appare lineare pensare che anche il processo di accreditamento delle strutture private in SSN debba essere vincolato a possedere aderenze e processi di controllo legati alle linee guida AGID nazionali (NIS, NIST, ISO3100), al pari di altre normative legate alla sicurezza fisica, come quelle anti-incendio o sismica.
Questo vincolo, che avrebbe sicuramente dei costi iniziali, potrebbe poi essere bilanciato dalla possibilità di fruire da parte delle strutture private accreditate delle piattaforme pilastro della digitalizzazione di cui abbiamo parlato nel paragrafo precedente.
La simulazione di attacchi e maxi-emergenze IT
Gli ultimi eventi avversi di sicurezza informatica a livello regionale, per statistica e storia accadranno anche in futuro: sul fronte operativo quindi, potrebbe essere utile organizzare simulazioni di attacchi al pari delle simulazioni di maxi-emergenze: soprattutto per strutture regionali e nazionali, tali simulazioni porterebbero ad evidenze che nelle successive fasi di ri-progettazione farebbero sviluppare protocolli e comportamenti nuovi, magari con l’aiuto della nascente Agenzia per la Cybersicurezza Nazionale. Tali evidenze sarebbero fondamentali non solo sulla linea operativa di risposta tecnologica dei CERT ma anche sul fronte dei processi “core-nazionali” che potrebbero ancora avere dei casi d’uso non attualmente considerati.
Chiediamoci se è stata valutata l’analisi di impatto degli attacchi IT separando e valutando l’interferenza tra la continuità di servizio dei sistemi IT e quella dei processi di cura operativi (Business Impact Analysis su processi cura e non solo sui sistemi IT).
Un esempio sul fronte operativo della gestione della maxi-emergenza IT: come reagirà una Regione o una grande struttura ospedaliera con un DEA di 2° livello ad un attacco? Quali sono procedure operative di continuità rispetto un ipotetico attacco e come è formato il personale nella reazione e reperimento informazioni per operare nel teatro di emergenziale? Come agire e rispondere nel worst-case in termini di tempi di ripristino, rimedio e ricostruzione dei sistemi?
Sono temi da valutare, stimare e valutare in modo specifico. Diversi studi hanno già affrontato rispetto le maxi-emergenze di vari tipo (terremoti, guasti acqua, luce, gas): potrebbero nascere valutazioni e studi anche per la parte degli attacchi IT, sicuri che per la natura delle tecnologie e dei cambiamenti repentini delle stesse, eventi avversi accadranno certamente in futuro: serve quindi prendere coscienza e fare prevenzione/formazione anche su questo fronte.
