La minaccia cyber contro la Sanità digitale è in continua crescita e causa danni economici e rallentamenti di sistema che rischiano di interferire con la sua capacità di erogare cure mediche in modo puntuale ed efficace. Sebbene sia il più bersagliato, il tessuto ospedaliero stenta ad implementare delle misure di cybersecurity adeguate che risultano costantemente in ritardo. Questo è in parte dovuto alla mancanza di linee guida specifiche di cybersecurity appositamente declinate per risultare adattabili nel settore ospedaliero. Approfondiamo il tema analizzando pro e contro delle strategie in campo.
Nonostante esistano cornici metodologiche e organizzative sia a livello nazionale che internazionale, nessuna di queste tiene in considerazione le peculiarità e necessità specifiche del settore in Italia. Questo articolo, dopo una breve profilazione della minaccia cyber che gli ospedali si trovano a dover fronteggiare, riporterà alcune esperienze di framework di cybersecurity. Infine, esprimerà la necessità di creare uno strumento guida appositamente customizzato per il settore sanitario evidenziando gli aspetti specifici che tale documento dovrà curare.
Gli ospedali e la crescente minaccia cyber
Il settore sanitario in generale, e il tessuto ospedaliero in particolare, hanno subito nel corso degli ultimi anni un numero sempre maggiore di attacchi cyber che hanno causato non solo pesanti perdite economiche e reputazionali, ma anche malfunzionamenti nell’intera filiera che sono sfociati in rallentamenti nell’erogazione di assistenza sanitaria.
Ad oggi si stima che un singolo data breach può costare alla vittima fino a 7 milioni di dollari, e si calcola che il costo economico delle attività cyber contro la filiera sanitaria abbia superato la soglia dei 400 miliardi di dollari annui. Anche in Italia, stando all’ultimo rapporto del Clusit, gli attacchi informatici contro il settore sono aumentati del 99% tra il 2017 e il 2018, con il costo medio per incidente che aumenta del 7% ogni anno.
Anche per il settore ospedaliero, un attacco informatico può mirare a compromettere la confidenzialità del dato sanitario, andandone dunque a minare la riservatezza per trarre benefici dalla conoscenza dell’informazione, la sua disponibilità, andando ad impossibilitare i legittimi titolari ad accedere al dato, oppure la sua integrità, intesa come l’alterazione della correttezza ed esattezza dell’informazione sanitaria, con tutte le implicazioni che questo può avere sulla salute dei pazienti.
È da sottolineare che i dati medici costituiscono un target appetibile in virtù del loro valore intrinseco. Se varie entità statali e parastatali sono interessate a questo tipo di informazioni a fini di intelligence e counter-intelligence, come evidenziato dall’operazione ai danni dell’OPM (ufficio di gestione del personale degli Stati Uniti) venuta alla luce nel 2015, ad oggi la minaccia più diffusa si lega ad attività di cybercrime. Questo è dovuto agli ingenti profitti che si possono ricavare vendendo i dati sanitari al mercato nero. Per esempio, nel solo 2018 l’HIPAA (Health Insurance Portability and Accountability Act) ha registrato la sottrazione ed esposizione di 13.020.821 cartelle sanitarie, e se si pensa che una singola cartella è facilmente venduta nel deep web per circa 50 dollari, si può immaginare la vantaggiosità di attività criminali di questo tipo.
Security e Sanità digitale, i framework esistenti
La crescente minaccia contro il tessuto ospedaliero deriva anche da un netto ritardo del settore nell’implementazione di misure tecnico-organizzative di cybersecurity adeguate. L’NHS (National Health Service) inglese, per esempio, fu vittima nel 2017 di un ransomware ribattezzato in seguito WannaCry. WannaCry, sebbene non disegnato per colpire in via diretta il settore sanitario criptò i dati di molti istituti medici inglesi obbligando gli ospedali a cancellare circa 19.000 appuntamenti. Come si legge in un rapporto investigativo del NAO (National Audit Office), nessuno degli ospedali colpiti aveva aggiornato i propri software per risolvere una vulnerabilità di sistema scoperta da Microsoft a marzo 2017, nonostante le ripetute allerte da parte del NHS.
In questo scenario in rapida evoluzione, gli ospedali si trovano a dover trarre vantaggio delle nuove tecnologie con l’obbiettivo di massimizzare l’efficacia dell’erogazione di cure mediche, malgrado la crescente complessità e vulnerabilità. Tale sfida suggerisce l’opportunità di definire delle linee guida che possano semplificare il compito dei singoli soggetti nello stabilire livelli adeguati di protezione sia per costruire una sicurezza affidabile, che per rispettare la normativa vigente.
Negli Stati Uniti, per esempio, su iniziativa di aziende leader del settore sanitario che considerano la sicurezza delle informazioni come una componente fondamentale del proprio business è stata costituita a partire dal 2007 l’Health Information Trust Alliance (HITRUST), un’organizzazione che, in collaborazione con altri leader della sicurezza tecnologica e dell’informazione, ha creato e mantiene uno specifico Common Security Framework (CSF).
Lo scopo del consorzio e del documento è quello di costituire un insieme completo e certificabile di prescrizioni che può essere utilizzato da tutte le organizzazioni che creano, accedono, memorizzano o scambiano dati sensibili di carattere sanitario, e include un quadro comune di gestione dei rischi, una metodologia di valutazione, un indirizzo per aumentare la consapevolezza riguardo la sicurezza informatica, e una struttura di information sharing che consente a tutti i soggetti di trarre beneficio delle lesson learned dagli incidenti, e di scambiarsi informazioni relative a vulnerabilità, aggiornamenti di sistema e minacce.
Il framework HITRUST si pone come strumento flessibile in grado di poter essere adattato a realtà diverse per dimensione e grado tecnologico, con lo scopo generale di migliorare la sicurezza e resilienza del settore sanitario nel suo complesso.
Security, dal Nist il framework italiano
In Italia non si dispone di un simile documento incentrato sul settore sanitario, ma una risorsa a carattere generale che fornisce linee guida per proteggere gli asset digitali è il Framework Nazionale di Cyber Security, redatto nel 2015. Questo costituisce un adattamento del framework del NIST alla realtà economica italiana principalmente dominata dalle PMI. Il framework nazionale è uno strumento di supporto, non obbligatorio né vincolante, la cui adozione può aiutare le singole organizzazioni nel definire un percorso volto alla cybersecurity e alla protezione dei dati coerente con la normativa vigente, riducendo i costi necessari e aumentando l’efficacia delle misure realizzate.
Un elemento significativo del framework nazionale è la sua flessibilità applicativa che lo rende adattabile a realtà di varia natura assecondando le singole opportunità e necessità. Il documento infatti, oltre a stilare una lista di Categorie e Sottocategorie, ossia di specifici aspetti che è consigliabile trattare, comprende tre livelli di priorità (alta, media e bassa) e tre livelli di maturità (M1, M2, e M3). Mentre i primi semplificano l’individuazione delle misure da intraprendere con maggiore urgenza, i livelli di maturità forniscono uno strumento di autovalutazione per stimare il livello complessivo di cybersecurity dell’azienda. In questo modo gli utilizzatori possono, basandosi su un documento comune, stabilire una strategia ad hoc alla propria realtà.
Anche se già applicati con successo in differenti settori di industria, questi documenti non rispondono completamente alle specificità del settore sanitario italiano; inoltre, in alcuni casi, a causa di una certa rigidità di alcuni di questi standard e linee guida, le organizzazioni non sono state in grado di adattarli al loro contesto specifico e sviluppare pratiche che soddisfino completamente le loro esigenze.
Common Security Framework per la Sanità
Da qui nasce l’esigenza di creare uno strumento che sia elaborato su misura per il settore sanitario e per il tessuto ospedaliero. In particolare, un quadro metodologico di cybersecurity per la realtà sanitaria deve tener conto e indicare strategie gestionali per trattare aspetti unici della filiera.
In primis, gli ospedali sono degli ambienti saturi di elementi tecnologici che scambiano informazioni. L’ambito sanitario, infatti, impiega un’ampia gamma di tecnologie che comprende non solo i comuni sistemi IT (information Technology), ma anche dispositivi medici che con l’adozione sempre più pervasiva dell’IoMT (Internet of Medical Things) risultano connessi ad internet e quindi potenzialmente soggetti ad attacchi cyber provenienti dall’esterno. In un’ottica di cybersecurity, un ambiente così disomogeneo presenta numerosi elementi di vulnerabilità e necessita dunque di una strategia di protezione multidimensionale che comprende tecnologie molto diverse tra di loro.
Un ulteriore elemento da tenere in considerazione riguarda la grande interconnessione dei vari soggetti che compongono il tessuto sanitario. Gli ospedali si scambiano enormi quantità di informazioni che vengono spesso conservate in banche dati comuni e interoperabili. Un esempio è l’EHR (Eletronic Health Record), ossia la cartella clinica informatizzata che consente a vari soggetti sanitari di accedere ed arricchire lo storico sanitario di un paziente al fine di migliorare l’interoperabilità delle varie strutture, e di conseguenza la qualità ed efficacia delle cure.
Questo rappresenta tuttavia un fattore di criticità in quanto un soggetto vulnerabile potrebbe vanificare le misure protettive messe in atto dagli altri operatori. Per esempio, nel già citato attacco WannaCry, il ransomware colpì direttamente 34 soggetti, ma ben 46 soggetti che non furono infettati riportarono perturbazioni e disagi dovuti all’impossibilità di accedere a dati cruciali. È evidente che in un sistema interconnesso ogni anello della catena deve presentare un livello di protezione minimo per poter garantire sicurezza e resilienza all’intera filiera. Questa necessità di protezione “all-encompassing” deve però fare i conti con una realtà molto variegata, popolata da ospedali con risorse tecniche, amministrative, e soprattutto economiche diverse, dove spesso la cybersecurity non rappresenta la priorità primaria. In tal senso, un framework di cybersecurity di successo deve risultare flessibile e applicabile a realtà diverse. Deve inoltre fungere da anello di raccordo in grado di convogliare la totalità dei soggetti in uno sforzo comune a livello di settore.
Sanità: proteggere senza “stringere”
Un ulteriore elemento di unicità della settore ospedaliero riguarda la delicatezza del servizio offerto. Gli ospedali sono strutture incentrate sulla salute del paziente, e l’adozione di strumenti di cybersecurity particolarmente stringenti potrebbe influire negativamente sulla realizzazione della mission primaria, ossia l’erogazione di cure mediche adeguate.
Gli ospedali, infatti, sono caratterizzati dalla costante acquisizione, scambio ed elaborazione di una mole significativa di dati. In tal senso, le misure di cybersecurity, quali encryption, firma digitale o sistemi elaborati di autenticazione, che rafforzano la confidentiality (confidenzialità) delle informazioni sono le stesse che ne limitano l’availability (disponibilità) con potenziali ripercussioni sulla capacità degli ospedali di fornire servizi in modo puntuale ai propri pazienti.
L’idea è che la sicurezza del dato debba essere garantita senza rendere troppo difficoltosa l’erogazione di cure adeguate e tempestive. In tal senso, un framework per la sanità deve orientare gli operatori verso delle misure di cybersecurity basate su un corretto bilanciamento che preveda strumenti di sicurezza rigidi, ma sufficientemente elastici per assicurare l’accesso ai dati in condizioni di urgenza e necessità.
Infine, quello della cybersecurity sta diventando un ambito sempre più regolamentato, e uno strumento di supporto per il settore sanitario deve essere calato in questo contesto, guidando gli operatori ad elaborare strategie nel rispetto della normativa esistente. In materia di cybersecurity i soggetti sanitari italiani devono ottemperare agli obblighi e obiettivi derivanti dalla disciplina nazionale, per quanto riguarda le misure minime e il Piano triennale (2019-2022) di sicurezza informatica per la Pubblica Amministrazione, ma anche a quelli derivanti dalla disciplina europea in tema di protezione dei dati personali (GDPR) e, per tutti i soggetti identificati come OSE (operatori di servizi essenziali), anche alla disciplina NIS (Network and Information Security).
In particolare, la disciplina europea prevede che gli operatori predispongano misure di cybersecurity adeguate con l’eventualità di incorrere in sanzioni amministrative. Non solo, quindi, è necessario che gli ospedali adottino i mezzi per proteggere i propri sistemi contro gli attacchi informatici, ma anche – e in modo sempre più cogente – che esse siano in grado di dimostrare e rendere conto alle Autorità dell’adeguatezza tecnologica, metodologica e procedurale dei propri processi digitali.
La strategia di Confindustria Digitale
Questi elementi di unicità rendono il problema della cybersecurity in ambito ospedaliero una questione particolarmente complessa che necessità una trattazione ad hoc. A tal fine Confindustria Digitale ha attivato uno specifico tavolo di lavoro per la definizione di un Common Security Framework (CSF) con l’obiettivo di creare una cornice organizzativa e metodologica che indichi come strutturare a livello manageriale gli aspetti di cybersecurity dei soggetti che popolano il tessuto ospedaliero in Italia, tenendo conto delle peculiari necessità di settore qui evidenziate.
L’obiettivo è quello di creare uno strumento di lavoro flessibile e organico, che instauri un linguaggio comune di cybersecurity comprensibile a tutti i livelli organizzativi inclusi tecnici, direttori sanitari e manager. Questo strumento potrà, quindi, complementare l’azione promossa a livello governativo con la disciplina relativa alla PA, il GDPR e la NIS con l’obiettivo di creare un livello minimo di cybersecurity nei vari soggetti trasformando dunque l’innovazione tecnologica del settore in un elemento che ne migliora l’efficienza e che rende quello di ricevere cure mediche adeguate un diritto sempre più concreto.
