La filiera sanitaria rappresenta una delle infrastrutture critiche maggiormente vitali per uno Stato e la protezione degli assetti cibernetici di questo settore riveste caratteristiche di sicurezza nazionale. In particolare, la vulnerabilità cyber si lega da una parte alla crescente dipendenza delle strutture ospedaliere da sistemi digitalizzati, e dall’altra a una troppo lenta implementazione di misure di cyber security. La direttiva NIS, recepita nell’ordinamento italiano a giugno del 2018, riconosce la criticità del settore sanitario e crea un vincolo legale per spingere i vari soggetti ad adottare misure di sicurezza cyber che garantiscano l’affidabilità dei servizi erogati.
La direttiva NIS
Con il decreto legislativo n.65/2018, l’Italia ha recepito la Direttiva Europea 2016/1148 (Direttiva NIS), recante misure per un livello comune di sicurezza delle reti e dei sistemi informativi nell’Unione.
La disciplina NIS, acronimo di Network and Information Security, è in vigore nel nostro ordinamento dal 24 giugno del 2018 ed è volta, oltre a promuove la cultura e la cooperazione in ambito di sicurezza cibernetica, a migliorare le capacità nazionali e la resilienza delle infrastrutture cyber del sistema paese.
Infatti, come si legge nelle considerazioni introduttive del testo della Direttiva, le infrastrutture cyber svolgono un ruolo essenziale per la produzione e circolazione di beni, servizi e persone, e la loro perturbazione rischierebbe di avere ripercussioni che travalicano i confini dei singoli stati membri danneggiando la sicurezza sociale ed economica dell’Unione nel suo complesso. Alla luce delle interrelazioni e interdipendenze delle singole strutture, appare necessario implementare dei livelli minimi di protezione in tutti quei settori strategici da cui dipende il benessere economico e sociale dei vari paesi. A tal fine, la disciplina NIS opera su tre fronti principali:
- identifica tutti quei soggetti che erogano servizi essenziali e strategici,
- pone su di essi specifici obblighi tecnico-amministrativi e di notifica degli incidenti,
- delinea un’architettura di organi istituzionali, specificandone le competenze per la gestione ed amministrazione in materia di sicurezza cyber.
Il settore sanitario e le minacce cyber
Come si evince dal testo del decreto, che ricalca quello della direttiva, il settore della sanità è ritenuto una filiera strategica e rientra nell’ambito di applicazione della disciplina NIS (insieme ai settori dell’energia, trasporti, banche, mercati finanziari, fornitura e distribuzione di acqua potabile e infrastrutture digitali; nonché motori di ricerca, servizi cloud e piattaforme di commercio elettronico).
Ciò alla luce dell’impatto diretto sul benessere e qualità di vita dei cittadini che riveste il settore sanitario oltre che su quello economico tenuto conto che la spesa sanitaria rappresenta 8,9% del PIL nazionale. Nonostante la protezione delle infrastrutture informatiche di questo settore rivesta caratteristiche di sicurezza nazionale, le attuali capacità e livello di preparazione in termini di cybersecurity appare inadeguato e largamente disomogeneo.
In particolare, il rischio cyber si lega a due tendenze parallele: da una parte si assiste ad una crescente introduzione di tecnologie e modelli digitali innovativi quali cartelle cliniche informatizzate, automazione nella gestione dei percorsi di cura, diffusione di dispositivi IoMT (Internet of Medical Things) etc. Dall’altra, si registra una bassa velocità di aggiornamento e innovazione delle tecnologie e procedure di cybersecurity unita ad una non adeguata formazione del personale e degli utenti sui rischi connessi con il cyberspace.
La combinazione di questi trend rende il settore particolarmente vulnerabile alla minaccia cyber che negli ultimi anni è aumentata in modo esponenziale. Come evidenziato dal rapporto Clusit 2019, nel 2018 gli attacchi cyber contro il mondo sanitario sono aumentati del 99% rispetto al 2017. Similarmente, come riportato in uno studio condotto dalla Protenus Breach Barometer, negli Stati Uniti sono state violate più di 1.13 milioni di cartelle cliniche soltanto nel primo trimestre del 2018.
La maggior parte degli attacchi censiti sono legati ad attività di cybercrime o comunque orientati a finalità di lucro. Gli hacker hanno trovato vari modi per monetizzare i dati medici ottenuti illegalmente, per esempio mettendoli in vendita nel mercato nero. Nel 2016, una clinica ortopedica in Georgia ha riportato la violazione delle cartelle mediche di 500.000 pazienti e di queste, circa 500 furono in seguito trovate in vendita nel deep web. È da notare che i dati medici comprendono informazioni particolarmente sensibili che riguardano la salute dei pazienti e possono essere utili per architettare frodi, raggiri, o per la raccolta di informazioni a fini di intelligence.
I ransomware, ossia virus che criptano i dati chiedendo un riscatto in qualche criptovaluta in cambio del loro ripristino, sono un’altra minaccia significativa per ospedali e cliniche. Sempre nel 2016, un grande ambulatorio statunitense è stato vittima di un ransomware che ha “bloccato” l’intero sistema digitale di raccolta e conservazione delle cartelle mediche. L’attacco ha reso indisponibili tutte le informazioni necessarie per assicurare cure adeguate ai pazienti, molti dei quali furono indirizzati verso altre strutture, con implicazioni importanti per la loro salute. Il sistema venne ripristinato solo dopo una settimana e dietro il pagamento di 17.000 dollari.
Un altro aspetto che suscita preoccupazione si lega alla vulnerabilità dei dispositivi medici (DM). I DM, infatti, impiegano tecnologie ICT e sono dotati di connessione internet, il che mette a rischio la loro sicurezza. Per esempio, nel 2008 un team di studiosi presentò un cyber-attacco per compromettere un certo tipo di pacemaker, e nel 2011 un ricercatore di McAfee simulò un attacco che gli permise di prendere il controllo di una pompa di insulina da remoto. Più di recente, invece, un gruppo di ricercatori israeliani ha svolto una simulazione dimostrando che è possibile modificare le informazioni generate dai macchinari per risonanze TAC per nascondere o simulare la presenza di malattie gravi.
Il costo della vulnerabilità informatica della filiera sanitaria
La vulnerabilità informatica della filiera sanitaria ha un costo economico globale notevole, che è attualmente stimato a più di 400 miliardi di dollari annui. Inoltre, la mancanza di sicurezza rappresenta un fattore di criticità elevata con conseguenze dirette sull’affidabilità delle cure mediche e che mette dunque a rischio la salute stessa dei pazienti. Appare evidente che le innovazioni tecnologiche in ambito sanitario saranno funzionali, dunque capaci di aumentare l’efficienza e la qualità della sanità, solo se adeguatamente protette.
La cybersecurity è quindi un aspetto cruciale non solo per l’healthcare di oggi, ma soprattutto per quella di domani, e la disciplina NIS rappresenta in tal senso un tentativo per l’implementazione di una risposta unitaria e trasversale a livello di sistema paese.
Primo step: designazione degli OSE
Un primo step di implementazione della disciplina NIS riguarda la designazione, da parte delle autorità competenti, degli OSE (operatori servizi essenziali), ossia l’identificazione di tutti quei soggetti che svolgono attività sociali o economiche fondamentali. Per il settore sanitario, come indicato dall’art.7 del decreto, le autorità competenti sono il Ministero della salute e le Regioni e Province autonome di Trento e Bolzano. L’allegato II inoltre, specifica che tra i soggetti suscettibili di essere nominati OSE in ambito della sanità possono ritenersi compresi (ai sensi del D. lgs. 38/2014) tutti gli ospedali e cliniche sia pubbliche che private, in quanto prestatori di servizi sanitari.
La disciplina NIS, per facilitarne l’individuazione fornisce degli specifici criteri settoriali e intersettoriali quali: il numero di utenti che dipendono dal servizio fornito dal soggetto interessato; la dipendenza di altri settori dal servizio fornito dal soggetto; l’impatto che gli incidenti potrebbero avere in termini di entità, durata, sulle attività economiche e sociali o sulla pubblica sicurezza; la quota di mercato di detto soggetto; la diffusione geografica relativamente all’area che potrebbe essere interessata da un incidente; e l’importanza del soggetto per il mantenimento di un livello sufficiente del servizio, tenendo conto della disponibilità di strumenti alternativi per la fornitura di tale servizio. Da tali criteri si evince che la disciplina NIS adotta un approccio di valutazione non basato sul rischio ma legato all’impatto. Questo consente di arginare le assunzioni soggettive, rendendo quindi più semplice la “misurazione” della rilevanza dei singoli operatori e dunque più immediata la designazione degli OSE.
Le liste degli OSE, come previsto dalla disciplina, sono state depositate presso il Ministero dello sviluppo economico e dovranno essere aggiornate ogni due anni. Come riportato in una nota del MiSE del 28 dicembre 2018, ad oggi si annoverano 465 operatori, tra pubblici e privati che saranno soggetti alla disciplina europea in materia di sicurezza delle reti. Le liste degli OSE sono classificate come documenti riservati essendo critici per la sicurezza e come tali sono state secretate. È da ipotizzare, però, che il numero effettivo degli OSE già individuati possa essere diverso, probabilmente maggiore, di quello riportato nella citata nota del MISE e che del totale una quota significativa possa riguardare soggetti che operano nel settore sanitario.
Obblighi in materia di sicurezza
Gli OSE saranno tenuti ad adottare, come previsto dal capo VI del decreto, delle misure tecnico-amministrative per limitare il rischio cyber, prevenire e gestire gli incidenti e assicurare la continuità dei servizi erogati (art.12). È da notare che il testo normativo non indica un elenco tassativo di misure da adottare, ma si limita ad esprimere un generico obbligo di implementare un livello di protezione adeguato. Questo rappresenta dunque il passaggio da un approccio di mera compliance a uno basato anche sulla gestione del rischio dove i singoli soggetti sono chiamati a raggiungere in relativa autonomia degli specifici obbiettivi di sicurezza.
Tale autonomia, tuttavia, non è assoluta. Gli artt. 12 e 13 specificano infatti che gli operatori, nell’adottare le misure di sicurezza devono tener conto delle linee guida e best practice predisposte dalle autorità competenti, le quali inoltre, in caso di acclarata insufficienza delle iniziative messe in atto dall’operatore, possono emanare istruzioni vincolanti al fine di porre rimedio alle carenze di sicurezza individuate nei singoli OSE.
Per il settore Salute sarà il Ministero della Salute, in coordinamento con la conferenza Stato-Regione, a predisporre, probabilmente prima dell’estate, il documento contenente misure o istruzioni vincolanti per gli OSE.
In particolare, tale quadro di indicazioni sarà l’elemento sulla base del quale si svolgeranno le attività di audit e monitoraggio. Le autorità competenti NIS, dunque il Ministero della salute e le regioni per quanto riguarda il settore sanitario, sono infatti responsabili per l’attuazione della disciplina NIS e vegliano sulla sua corretta applicazione esercitando potestà ispettive e sanzionatorie, richiedendo agli OSE informazioni, documentazioni e dimostrazioni di aver implementato delle misure di sicurezza adeguate. Infine, l’art. 21 prevede che le autorità NIS possano applicare delle sanzioni amministrative qualora venissero rilevate inosservanze da parte degli operatori degli obblighi di sicurezza, sia prima che dopo eventuali incidenti, comprese tra i 12.000 a 150.000 euro per le violazioni più gravi.
Notifica e cultura della sicurezza
Un altro obbligo che grava su tutti gli OSE, inclusi gli operatori nella filiera sanitaria, è quello di notificare al CSIRT italiano l’eventuale occorrenza di incidenti con un impatto rilevante. Il CSIRT (Computer Security Incident Response Team), che ha il compito di supportare la vittima di un attacco cyber fornendo le informazioni e l’expertise per facilitare la gestione efficace dell’evento e la minimizzazione delle ripercussioni, nasce dall’unificazione dei due Computer Emergency Response Teams (CERT) preesistenti: il CERT nazionale e il CERT-PA per i soggetti della pubblica amministrazione e dunque precedente punto di riferimento degli ospedali pubblici.
La decisione di fondere in un unico istituto le procedure di notifica, risposta e recovery riconosce l’interdipendenza dei vari settori critici e mira non solo a migliorare la coordinazione e cooperazione degli OSE, ma anche a creare una maggiore consapevolezza e cultura in ambito di cybersecurity. Il CSIRT infatti, insieme ad altri organi di raccordo come il Dipartimento delle Informazioni per la Sicurezza (DIS) in veste di punto di contatto unico, svolge un’importante funzione di information sharing. In tal senso, gli OSE nella sanità potranno beneficiare dell’esperienza degli altri soggetti italiani ed europei operanti nel settore ed essere sempre aggiornati sulle minacce, vulnerabilità e incidenti.
È tuttavia da considerare che, sebbene il decreto di recepimento della disciplina europea avesse assegnato al governo il compito di emanare un decreto attuativo entro l’8 novembre 2018 per regolare l’organizzazione e il funzionamento del nascente CSIRT, tale atto non è ancora stato ultimato. Il CSIRT dunque esiste sulla carta ma le sue funzioni sono ancora svolte separatamente dal CERT nazionale e CERT-PA.
Conclusioni
La cybersecurity, in virtù della crescente digitalizzazione del settore, rappresenta dunque un fattore chiave per i soggetti che operano in sanità. La disciplina NIS, in uno sforzo per rafforzare la sicurezza delle reti di tutti gli operatori di servizi essenziali di un paese, può creare una base legale e amministrativa per migliorare in modo significativo la resilienza e la cultura di cybersecurity della filiera sanitaria. Al momento l’implementazione della disciplina è ancora agli albori, ma ci si augura una puntuale finalizzazione di tasselli fondamentali quali la produzione da parte del Ministero della salute e regioni di linee guida e best practice per supportare gli OSE, e un atto che regoli gli aspetti burocratici e amministrativi del CSIRT.
