sicurezza informatica

Sanità digitale sotto attacco: prevenzione e risposte alle sfide di cyber security



Indirizzo copiato

Il CORE di Reggio Emilia ha ospitato il convegno “Sanità Digitale Sotto Attacco” di Aisis. Con oltre 170 operatori e 30 fornitori, l’evento ha esplorato criticità e soluzioni per la cyber-sicurezza sanitaria. Esperti e responsabili ICT hanno condiviso esperienze di attacchi, sottolineando l’importanza di una preparazione e gestione efficace

Pubblicato il 9 ago 2024

Marco Foracchia

Azienda USL di Reggio Emilia IRCCS, Vicepresidente AISIS



Shutterstock_2476435363 (1)

Lo scenario internazionale, ma in particolare quello italiano, vede un ruolo significativo della sanità come secondo settore vittima di cyber-attacchi con circa il 14,5% del totale (Rapporto Clusit, Primo Semestre 2023, Figura 1).

Figura 1 – CLUSIT – Primo Semestre 2023 – distribuzione attacchi per settore in Italia

Il dato è in linea con analoghe statistiche internazionali, che in alcuni casi collocano la sanità anche come bersaglio principale (Figura 2).

Immagine che contiene testo, schermata, diagramma, linea Descrizione generata automaticamente

Figura 2 – ENISA, CIRAS – 2022 – distribuzione attacchi per settore in Europa

Elemento di particolare preoccupazione è inoltre il trend che, come noto, ha visto negli anni immediatamente post-pandemia una crescita significativa degli attacchi (incremento di oltre il 300%; Figura 3).

Figura 3 – ENISA, CIRAS – 2022 – Trend Attacchi a Settore Sanità

Indice degli argomenti

Cyber-attacchi a strutture sanitarie: dimensione del problema e driver

Uno degli elementi che contribuisce al verificarsi di cyber-attacchi con impatto sull’operatività è forse una generale impreparazione delle strutture sanitarie, legata anche al fenomeno del “Perché dovrebbero attaccare proprio me?”. Per analogia con il crimine “tradizionale” che persegue guadagni di tipo materiale/monetario rimane in molti operatori del settore la convinzione che strutture sanitarie, in particolare pubbliche manchino di “valori da rubare”.

Il valore dei dati sanitari

Questo assunto, rivelatosi fallace negli ultimi anni, non considera infatti alcuni elementi rilevanti:

  • Il dato sanitario è di valore, seppure non monetizzabile direttamente
  • Le strutture sanitarie ad oggi archiviano anche informazioni relative a mezzi di pagamento o allo status economico-finanziario (in particolare le strutture private)
  • Il dato personale non è necessariamente target solo di “furto” ma anche di logiche criminali che traggono valore dalla minaccia di diffusione e dalla minaccia di danno reputazionale

Il valore del dato sanitario diventa evidente nel momento in cui ci si confronta con il mercato ordinario (lecito), che vede una crescente domanda da parte della ricerca e sviluppo di ambito farmacologico e di medical device (il cui time to market è fortemente dipendente dalla possibilità di raccogliere dati in fase di pre-commercializzazione e immediata post-commercializzazione) e anche da parte della aziende che basano la loro attività su marketing mirato a sotto-popolazioni (es. cronici, malattie rare, fragilità) di soluzioni farmacologiche/sanitarie/assistenziali. Per analogia, o meglio per induzione da questo mercato lecito, si può ipotizzare ed anche stimare l’esistenza di un mercato illecito che persegua le medesime finalità (Figura 4).

Figura 4 – Valore del Mercato Illecito del Dato in Sanità

Non è inoltre da escludere il fatto che, analogamente ad altri settori più “tradizionali” quali il finanziario e il commercio, anche le strutture sanitarie archiviano dati personali relativi a mezzi di pagamento, status economico-finanziario e proprietà di vari tipi tali da essere di interesse per un cyber-crimine della “vecchia scuola”.

Un ulteriore elemento che rende l’ambito sanitario di particolare interesse per il cyber-crimine è quello relativo al valore indiretto derivante dalla particolare sensibilità del dato, e criticità del settore. Questi due fattori rendono il settore di interesse per attacchi di tipo ransomware (con o senza esfiltrazione) (Figura 5).

Figura 5 – Threat landscape in Health, ENISA 2023

Lo sfruttamento criminale dei dati sanitari

Questa tipologia, attualmente la più diffusa trasversalmente su tutti i settori, consente uno sfruttamento in varie forme: dal semplice riscatto per il ripristino dell’operatività, al riscatto indiretto sui singoli individui (per esfiltrazione e pubblicazione di dati particolarmente sensibili), al riscatto conseguente alla minaccia di danno reputazionale.

Volendo dimensionare ed analizzare gli impatti dei cyber-attacchi in sanità, è possibile considerare il costo unitario (costo “per record”) conseguente ad un data breach (Figura 6).

Figura 6 – Ponemon Institute, 2015 – Costo Medio per Record per settore

La natura sensibile del dato sanitario

Tale valore in sanità è significativamente più alto che in ogni altro settore. Questo ha origine nella natura sensibile del dato, la cui monetizzazione in sanzioni o risarcimenti è significativa e per l’intrinseca complessità di ri-generazione o recupero del dato stesso. Infine, la natura dei processi sanitari che vedono vari attori interconnessi ed interagenti amplifica l’effetto di qualsiasi attacco a singoli sotto-sistemi in termini di compromissione del processo complessivo. Ne consegue che, a parità di attacco, il danno conseguente sul settore sanitario è significativamente maggiore, rendendolo quindi un settore su cui azioni di cyber-crimine risultano particolarmente impattanti.

Nella valutazione dei costi complessivi di un cyber-attacco è anche possibile considerare la complessiva catena del valore, dimensionando e includendo le conseguenze di tipo sociale e sanitario derivanti dalla indisponibilità di servizi in un particolare contesto geografico. Ad esempio, nel recente attacco su Modena che ha colpito le tre principali strutture sanitarie della provincia, l’indisponibilità di attività ambulatoriali, di screening e la limitazione delle attività di Emergenza Urgenza ha sicuramente avuto un impatto sociale e sanitario sulla cittadinanza, la cui monetizzazione è difficile, ma va sicuramente considerato nel bilancio complessivo dell’incidente.

Strutture sanitarie: una debolezza strutturale da affrontare

Nell’analizzare in termini di profilo di cyber-sicurezza le strutture sanitarie, vanno considerate due caratteristiche che lo contraddistinguono:

  • Problematiche intrinseche al settore
  • Problematiche indotte da politiche di finanziamento/modalità organizzative/governance ICT

Gli elementi intrinseci che rendono la sanità più vulnerabile ai cyberattacchi

La sanità è contraddistinta da alcuni peculiari elementi intrinseci, che la rendono più vulnerabile a cyber-attacchi:

  • Il primo elemento è l’esistenza di un numero significativo di sistemi e sotto-sistemi tra loro interagenti, che coprono l’insieme degli ambiti disciplinari specifici delle strutture sanitarie. Questa frammentazione porta alla necessità di gestire un insieme di sistemi spesso di dimensione medio-piccola, con fornitori il cui mercato è limitato, e conseguentemente anche la capacità di adeguamento alle sfide di sicurezza emergenti. Questi sistemi medio-piccoli sono inoltre spesso caratterizzati da aggiornamenti poco frequenti e adozione di piattaforme legacy. La frammentazione comporta anche una forte esigenza di integrazione e interdipendenza tra i sistemi, che costituisce un elemento sia di potenziale diffusione di un attacco (conseguente alla difficoltà di segmentare) sia di amplificazione dei danni conseguenti alla compromissione di un singolo sistema, a cui consegue l’indisponibilità di tutti i processi dipendenti da tale sistema.
  • Il secondo elemento strutturale che rende il settore sanitario più vulnerabile è la presenza componenti sia hardware che software vincolati a certificazioni come Dispositivi Medici o Dispositivi Diagnostici in Vitro. Le rispettive normative di riferimento (Regolamenti Europei MDR 2017/745 e IVDR 2017/746) impongono un iter per la messa in commercio di nuove versioni dei dispositivi orientato principalmente alla sicurezza intesa come tutela della salute del paziente e dell’efficacia dello strumento. Tali obiettivi, più che giustificati nel contesto specifico, inevitabilmente confliggono con l’esigenza di una rapida evoluzione per contrastare la dinamica delle evoluzioni dei rischi di tipo cyber. Sebbene attori del settore, istituzionali, privati e associazioni da tempo lavorino su linee guida e approcci metodologici che tentano di far conciliare una maggiore attenzione agli aspetti di cyber-sicurezza con le normative di riferimento, le due esigenze rimangono, sotto molti aspetti, inevitabilmente conflittuali. Ne consegue che il settore ICT sanitario ha dovuto sviluppare (o, meglio, sta sviluppando) strategie di mitigazione della inevitabile “scarsa cyber-sicurezza” di molti dispositivi medici.
  • Un ulteriore elemento, emerso e divenuto più rilevante negli anni post-pandemia, è la naturale evoluzione del settore sanitario verso la sanità territoriale. Questo spostamento del focus dal contesto ospedaliero verso le strutture extra-ospedaliere (inclusa la mobilità e il domicilio del paziente) è fortemente basato sul supporto delle tecnologie digitali quali elemento abilitante. Tale supporto non è però un nuovo “silos” parallelo a quello ospedaliero, ma una vera e propria estensione dell’ecosistema digitale ospedaliero vero strutture geograficamente (e digitalmente) distanti dall’ospedale (la cosiddetta “continuità ospedale-territorio”). Questa esigenza rende velleitaria la strategia di difesa da cyber-attacchi da sempre attuata dalle strutture ospedaliere di “trincerarsi” dietro ad una totale chiusura verso l’esterno, e impone l’adozione, peraltro in tempi molto rapidi, di modalità sicure di apertura e estensione di una parte significativa dell’infrastruttura digitale al di fuori della propria rete. Questa estensione dovrebbe arrivare, nel suo completamento, anche a “toccare” ecosistemi digitali di altre organizzazioni (es. strutture socio-sanitarie), estendendo quindi il potenziale perimetro di cyber-attacco oltre i tradizionali interlocutori istituzionali (FSE, Regione, Ministero, SOGEI, ecc.).

Gli elementi organizzativi critici in caso di cyberattacco

Se da un lato il settore sanitario è contraddistinto da elementi di criticità strutturali quali quelli sopra descritti, le cui ricadute sul rischio cyber sono mitigabili ma difficilmente eliminabili, le strutture sanitarie hanno da sempre “peccato” su aspetti organizzativi che, in una situazione di rapido incremento di attacchi-cyber diventano critici:

  • Assenza di strategia complessiva nella gestione del parco applicativi, con conseguente scarsa attenzione verso architetture unitarie, centralizzate che possano ospitare strumenti e metodologie di cyber-sicurezza (es. sistemi di provisioning e gestione di utenti, MFA diffuso, log di sistema, log applicativi centralizzati).
  • Assenza di strutturazione dei team ICT per competenze. A fronte di team privi di specifiche professionalità o ambiti di competenza, risulta difficile inserire o definire figure dedicate in toto o in parte a seguire ambiti di cyber-sicurezza. Questa problematica è ancora più presente in realtà in cui la gestione dell’ecosistema digitale sia frammentata organizzativamente su pià servizi (es. ICT, Ingegneria Clinica, Fisica, ecc.)
  • “Sudditanza” eccessiva alle esigenze di operatività sanitaria, con conseguente riduzione in secondo piano di politiche di gestione della sicurezza (es. vincoli sulle password, obbligo di autenticazione, MFA, limitazione agli strumenti di condivisione extra-organizzazione)
  • Scarsità generale di investimenti che non vedano una ricaduta immediata sulla operatività sanitaria. Questo approccio è fortemente legato alla scarsa maturità dei management aziendali che non vedono nell’investimento in cyber-sicurezza un ritorno economico “virtuale” da intendersi come riduzione del rischio di costi indotti da incidenti cyber. Questa scarsa sensibilità è peculiare se si considera che il settore sanitario ha fatto del rischio clinico, e delle valutazioni degli investimenti in tale settore, un ambito di grande attenzione.

Le azioni di mitigazione dei rischi intrinseci

Se gli elementi strutturali non possono trovare soluzione, ma al più azioni di mitigazione, le problematiche organizzative possono e devono trovare rapidamente soluzioni. Peraltro, le azioni di mitigazione dei rischi intrinseci possono essere implementate solo a seguito di superamento delle problematiche organizzative. Ad esempio, attivare soluzioni avanzate di segmentazione e protezione dei Medical Device richiede una visione d’insieme della architettura dell’ecosistema digitale dell’organizzazione, un project management specializzato e dedicato, livelli adeguati di investimento e la capacità di imporre agli operatori sanitari anche politiche restrittive in termini di utilizzo dei device quali ad esempio il banale vincolo di autenticazione sugli stessi…

Politiche semplici ma efficaci di riduzione del rischio organizzativo

Gli elementi organizzativi presentano complessità non tanto in termini di investimenti, ma di cambiamento della modalità di governance e di strutturazione del team ICT. Tale evoluzione, anche in assenza di significativi finanziamenti, consentirebbe comunque di attuare politiche semplici ma efficaci di riduzione del rischio quali ad esempio la gestione efficace del provisioning utenti e relativa profilazione, la gestione delle password aziendali, l’introduzione di tecnologie MFA, la segmentazione di rete, il censimento e controllo degli accessi esterni (es. manutentivi, attività clinica esternalizzata, smart working). Peraltro, da una analisi di molti dei recenti attacchi in Italia (compresi quelli presentati nell’evento di Reggio Emilia), emerge come azioni tecniche semplici avrebbero potuto significativamente ridurre l’impatto sulle organizzazioni colpite.

Tre esperienze a confronto: Parma, Modena e Torino

Le tre esperienze raccontate dai direttori dei servizi ICT di Parma, Modena e Torino presentano elementi simili in termini di tipologia di attacco (Ransomware) e modalità di ingresso (uso di credenziali rubate tramite strategie di social engineering), seppure con aspetti tecnici leggermente diversi.

Nel convegno di Reggio Emilia è stato però deciso dal comitato scientifico di non concentrarsi su tali aspetti tecnici, sicuramente descritti in altri eventi o in letteratura, ma focalizzare la narrazione sugli aspetti di gestione dell’incident.

La dimensione organizzativa della risposta all’incidente

Elemento fondamentale evidenziato in tutte le tre esperienze è stata la dimensione organizzativa della risposta all’incidente. Lo scenario conseguente un cyber-attacco è qualcosa per cui normalmente strutture ICT in ambito sanitario non sono formate e preparate. I team ICT delle tre realtà coinvolte hanno infatti in parte “improvvisato” la gestione avvalendosi delle loro professionalità interne e del supporto di istituzioni coinvolte: Agenzia per la Cyber-sicurezza Nazionale ACN, CSIRT nazionale, Polizia Postale, Autorità Garante per la Protezione dei Dati personali. Questi ultimi attori si sono rivelati fondamentali sia per supporto organizzativo (cosa fare, quando farlo) che tecnico (come farlo).

Quanto emerso dalle testimonianze dei colleghi non vuole avere valenza “metodologica”, ma esperienziale… e viene come tale riportata di seguito.

L’attacco di Parma: la gestione immediata

La realtà di Parma in passato non aveva mai affrontato problematiche rilevanti di cyber-sicurezza e la prima affermazione che il direttore ICT Brambilla riporta ricordando l’accaduto è “Non te lo aspetti”. Figura 7.

Figura 7 – Marco Brambilla – La gestione immediata

Narrando l’esperienza, Brambilla così descrive i primi momenti di gestione dell’incidente:

Domenica 12 febbraio 2023 ore 5:40: Il tecnico reperibile che sta lavorando su problemi manifestatosi sul PACS mi avvisa che ritiene che ci siano comportamenti anomali dei sistemi. Il tecnico, stranamente, non chiede aiuto nella risoluzione dei problemi ma ritiene che il comportamento sia anomalo, al punto da chiamare il responsabile IT per avvisarlo. Un po’ assonnato, un po’ contrariato per una chiamata per un semplice sospetto, la sveglia prosegue con la sua routine ed un dubbio che inizia a frullarmi nella testa….

Una incertezza ed un dubbio che si protraggono fino alle 10:40 dello stesso giorno (una domenica) in cui approfondimenti da parte dei vari colleghi confermano azioni anomale sui database svolte da utenze di servizio.

Gli effetti dell’impreparazione operativa ai cyberattacchi

Questo tipo di incertezza e forse impreparazione/inesperienza nel riconoscere i sintomi o ipotizzarne una origine malevola, a cui consegue un inevitabile ritardo nell’intraprendere azioni specifiche, è un elemento su cui riflettere. La narrazione dei colleghi di Parma rafforza la consapevolezza di quanto sarebbe stato fondamentale sia in termini procedurali che di figure dedicate (interne o esterne, ad es. servizi di NOC/SOC) per una interpretazione degli eventi in chiave di sicurezza. La presenza di una organizzazione predisposta in tal senso può infatti guidare le prime azioni di analisi accorciando i tempi di “presa coscienza” della tipologia di incident.

Ripercorrendo i vari momenti del percorso ICT dell’azienda ospedaliera di Parma dedicati al tema della cyber-sicurezza emergono corsi fatti, certificazioni/attestazioni a enti di controllo e intenti dichiarati e forse mai perseguiti del tutto (MMAGID, Isolamento reti, NIS, GDPR, Piano Triennale, ecc.). Tutti elementi mai accompagnati da una vera e propria preparazione operativa per la gestione di eventi di questo tipo.

Domenica 12 febbraio 2023 dalle ore 11:00: Descrivere quelle sensazioni non è facile e, per quanto abbia già avuto modo di dimostrare a me stesso di possedere un minimo di sangue freddo, l’emozione provata, almeno per qualche istante, presumo possa essere simile a quella del panico… Pensi alla possibilità di aver consegnato a criminali i dati sanitari della tua realtà.

La strutturazione del team di gestione dell’incident

Elemento di svolta nella gestione dell’incident è stata la strutturazione, per quanto improvvisata, del team di gestione dell’incident.

Domenica 12 febbraio 2023 dalle ore 14:00: In poco tempo però, riguadagnata lucidità e in contatto con i tuoi si iniziano a chiudere tutti i canali tramite i quali presumi possano riuscire ad entrare. Capisci e ricordi ancora una volta di non essere solo. Apprezzi, ringrazi e ti fai forza del gruppo che hai!

La pianificazione delle attività

Si costruisce il team con tutti “gli interlocutori sensati” individuati a vari livelli aziendali. Solo dopo l’attivazione e organizzazione del team inizia una vera e propria pianificazione delle attività. Il team viene inoltre supportato/integrato da CSIRT nazionale che in modo proattivo offre disponibilità di competenze sia tecniche che organizzative.

Domenica 12 febbraio 2023 ore 18:00: Allinei la direzione strategica sul fatto che ancora non si conoscono i danni effettuati. Inizi a cancellare appuntamenti dei giorni successivi. Contatti la referente privacy avvisando che domani potrebbe essere una giornata significativamente complicata. Si iniziano a preparare un po’ di mini relazioni funzionali all’indomani mentre i tuoi continuano a lavorare sul fronte tecnico.

La pianificazione si concentra, oltre che sugli aspetti operativi, sugli aspetti di comunicazione/informazione. Il mantenimento di una comunicazione costante con tutti gli interlocutori è fondamentale sia su un piano formale che per ottenere la massima collaborazione e coordinamento nelle azioni organizzative di compensazione dei servizi non più erogabili in conseguenza dell’incident.

Le attività di relazione/integrazione con i principali attori

Vengono quindi assegnate nel team le attività di relazione/integrazione con i principali attori:

  • Interlocutori istituzionali
    • Rapporto con CSIRT;
    • Rapporto con Garante Privacy;
    • Rapporto con Direzione
    • Rapporto con Procura della Repubblica.
  • Interlocutori interni:
    • Rapporto con tutti i miei collaboratori
    • Rapporto con utenti in generale
  • Rapporto con la stampa

L’attivazione dei canali istituzionali

L’attivazione dei canali istituzionali con ACN/CSIRT, Autorità Garante per la Protezione dei Dati Personali, Magistratura, Polizia Postale si dimostra anche più facili del previsto, e soprattutto con una certa sorpresa emerge un grande supporto sia su un piano operativo che di “morale”.

I contatti con l’esterno ci hanno dato una significativa iniezione di fiducia! In tutte le realtà si sono incontrate persone preparate e disponibili!

I rapporti con la stampa

I rapporti con la stampa, nonostante le indicazioni di riservatezza suggerite/imposte dalle varie autorità coinvolte, sono stati contraddistinti da fughe di notizie incontrollate e spesso imprecise. Queste hanno di riflesso generato la necessità di maggiore interlocuzione con le direzioni aziendali e le autorità locali per fugare fraintendimenti e paure/panico, oltre a tutelare la riservatezza dei professionisti aziendali coinvolti (come vittime) nelle azioni di phishing all’origine del problema.

Le lezioni apprese

L’esperienza ha lasciato negli operatori del servizio ICT di Parma la consapevolezza che:

  • È necessario aumentare la consapevolezza generalizzata sulla problematica da parte di tutte le strutture aziendali
  • È necessario aumentare gli strumenti di cybersecurity (direzione NIS2)
  • È necessario dotarsi di una procedura organizzativa (ed unità di crisi ad hoc) per governare queste situazioni
  • È necessario presidiare da subito le comunicazioni con tutti gli attori coinvolti, sia allo scopo di non sentirsi soli e gestire l’operatività in coordinamento, sia per evitare diffusione di informazioni e indicazioni operative non coerenti con la realtà

L’attacco di Modena: la gestione delle comunicazioni e relazioni

Come emerso dall’esperienza di Parma, uno degli aspetti che va maggiormente presidiato fin dai primi momenti di gestione dell’incident è la comunicazione tra gli attori convolti.

Le tre dimensioni della comunicazione

La comunicazione ha in effetti tre diverse dimensioni da tenere in considerazione:

  • Comunicazione tra gli operatori della struttura sanitaria, per consentire il ripristino dell’operatività.
  • Comunicazione interna al team di gestione dell’incident e con i principali attori coinvolti nella gestione (direzioni aziendali, altri servizi tecnici incaricati di gestire sistemi specifici, enti terzi che danno supporto, fornitori, ecc.)
  • Comunicazione istituzionale verso l’esterno (autorità, media, singole persone in quanto interessati)

La comunicazione tra gli operatori della struttura sanitaria

Un primo aspetto che tocca principalmente le comunicazioni tra operatori sanitari e all’interno del team di gestione è prettamente tecnico. Se la compromissione della infrastruttura ICT è totale, o comunque le azioni imposte per mitigare il danno comprendono la totale disattivazione di tutta l’infrastruttura, come conseguenza vengono meno tutti i consueti mezzi di comunicazione (mail, fonia interna VOIP, strumenti intranet, strumenti di collaborazione interna, ecc.).

Il problema iniziale è quindi operativo: definire soluzioni alternative per garantire la comunicazione di minima a supporto dell’operatività sanitaria. Le azioni possibili nel breve, messe in piedi nell’arco di poche ore o giorni, hanno compreso la riattivazione di linee fax, la dotazione di dispositivi di fonia mobile, così come l’attivazione di account temporanei su provider di posta esterni alla struttura.

Questi approcci, improvvisati in questo caso, meritano sicuramente attenzione nell’ottica di pianificazione e predisposizione tecnica in ottica preventiva. Sono infatti azioni di difficile gestione se improvvisate, e richiedono un assorbimento di risorse umane tecniche che probabilmente potrebbero essere dedicate a problematiche più inerenti il ripristino dei sistemi clinici.

Comunicazione interna al team di gestione dell’incident 

La gestione delle comunicazioni nel team di gestione dell’incident è sicuramente un elemento prioritario in quanto la sua operatività è fondamentale per ogni altro aspetto. Va tenuto in considerazione che l’operatività di un insieme di persone non può essere gestito tramite fonia tradizionale “a due”, quindi diventa fondamentale dotarsi di strumenti di collaborazione alternativi (es. gruppi Whatsapp, repository documentali su piattaforme esterne, piattaforme di videoconferenza esterne (Zoom)). Non va inoltre trascurata l’alternativa più ovvia, ma sicuramente più efficace nei momenti iniziali: la comunicazione di persona. In un momento storico in cui gran parte delle interazioni sono virtualizzate, il contesto di un incident di cyber-sicurezza impone quanto meno nelle fasi iniziali un ritorno agli incontri in presenza fisica.

L’esperienza di Modena ha visto l’attivazione di un gruppo di coordinamento unico, mutuato dalla Unità di Crisi aziendale (già istituita formalmente) ed integrata con i principali attorni del servizio ICT e di servizi coinvolti nella gestione di porzioni dell’ecosistema digitale (Ingegneria Clinica, Fisica, Servizio Tecnico) oltre ai principali fornitori coinvolti nelle azioni di ripristino. Il gruppo risultante era composto da 46 membri in rappresentanza di tutti gli attori, inclusi i referenti di tutti i dipartimenti. Questi ultimi hanno svolto un ruolo fondamentale di diffusione capillare delle comunicazioni verso gli operatori sanitari e del resto dell’azienda.

La prima comunicazione formale scritta a tutte le Unità Operative cliniche è avvenuta a distanza di circa 12 ore dal blocco dei sistemi informatici, con richiamo alle procedure di contingenza previste per i fermi dei sistemi ICT e riassumeva le azioni già intraprese. Successivamente è stato scelto di inviare un aggiornamento quotidiano (.pdf via WhatsApp) ai membri dell’Unità di Crisi, con il compito di diffonderlo all’interno del proprio dipartimento e poi alle singole unità operative.

Le comunicazioni quotidiane avevano lo scopo di aggiornare rispetto al progressivo ripristino dei sistemi. Particolare attenzione è stata posta nell’avvertire delle parziali funzionalità, legate alla progressiva e non contemporanea riattivazione degli applicativi. Era infatti necessario chiarire con gli operatori quali funzionalità, apparentemente riattivate, non erano ancora da utilizzarsi per assenza di una completa integrazione tra sistemi.

Obiettivo fondamentale delle primissime attività di ripristino è stato comunque quello di tornare a comunicare internamente in modo efficiente ed efficace, ancora prima del ripristino di gran parte dei sistemi di gestione clinica. La posta elettronica è stata riattivata dopo 90 ore dall’attacco.

La comunicazione con gli interlocutori esterni all’organizzazione

L’altro aspetto di comunicazione rilevante è stato con gli interlocutori esterni all’organizzazione. In particolare, in quanto obbligo dettato dalla normativa sulla gestione dei data breach (GDPR), è stato fondamentale garantire una diffusione controllata e tempestiva delle comunicazioni verso il pubblico.

Il primo comunicato stampa è stato trasmesso in modo congiunto dalle 3 aziende modenesi, quasi contemporaneamente alla prima comunicazione interna, dopo circa 12 ore dall’attacco.

I siti Internet delle aziende sanitarie modenesi sono collocati in datacenter esterni alla infrastruttura aziendale e pertanto sono rimasti sempre raggiungibili. Questo elemento costituisce sicuramente un aspetto da valutare, in ottica generale, come azione preventiva. La comunicazione istituzionale è stata pertanto continuativa, con aggiornamenti giornalieri rivolti sia all’esterno che, indirettamente, anche al personale dipendente (in aggiunta alla comunicazione mediata dal team di gestione dell’incident).

La comunicazione pubblica verso l’esterno è stata incentrata principalmente sul fornire indicazioni operative ai cittadini sulla disponibilità dei servizi sanitari, e come gestire gli appuntamenti pendenti e l’accesso alle strutture di emergenza e urgenza. Allo stesso tempo, la comunicazione inerente alle cause e le dinamiche dell’attacco è stata coordinata di concerto con CSIRT e Polizia Postale, che hanno richiesto di mantenere certi livelli di riservatezza ed un “profilo basso” almeno nei primi giorni dopo l’evento. Questa indicazione nasce dall’evolversi anche di azioni investigative da parte di queste autorità.

L’attenzione mediatica sul caso di Modena ha inevitabilmente avuto riflessi di ambito politico. Si è quindi inserita anche l’esigenza, gestita principalmente ma non esclusivamente dalla Direzione aziendale, di relazionare e fornire livelli di dettaglio maggiori rispetto alla comunicazione pubblica alle autorità politiche locali (Sindaci, Conferenza Territoriale Socio-Sanitaria) e regionali (Presidenza della Regione, Assessorato).

Attacco di Modena: la gestione del ripristino dei servizi

Rapidità vs Sicurezza: il ripristino dei sistemi è stato dettato da questo elemento di compromesso.

Dopo la scelta inevitabile ma fondamentale fatta dal team ICT di Modena di spegnere l’intera infrastruttura informatica delle tre aziende coinvolte, gli stessi operatori del CSIRT hanno da subito imposto al team di gestione dell’incident di procedere con la riattivazione in modo continuativo ma senza eccessi. La riattivazione doveva essere condotta sistema per sistema solo dopo una accurata analisi di assenza di compromissione. La natura stessa degli attacchi ransomware impone infatti una riattivazione con certezza di non introdurre nell’ecosistema digitale “bonificato” un sistema ancora compromesso, da cui potesse ripartire una diffusione secondaria.

È stato quindi fondamentale dedicare tempo alla predisposizione di procedure di contingenza che garantissero una operatività sanitaria di base anche in assenza di sistemi digitali, affinché fosse possibile operare con la necessaria cautela e relativa tranquillità al ripristino graduale dell’intero parco (nell’arco di giorni, in alcuni casi settimane).

Le attività del team di ripristino

Le attività di ripristino dei sistemi sono state condotte da un Team di Ripristino dedicato, composto da:

  • Tecnici ICT dell’azienda sanitaria
  • Tecnici specialisti esterni (in particolare del fornitore del sistema coinvolto nella riattivazione)
  • Tecnici CSIRT di ACN
  • Analisti cybersecurity di ditta esterna

La metodologia di riattivazione del Csirt

Il CSIRT, pur lasciando la definizione dei piani di contingenza e della priorità di riattivazione al team di gestione dell’incident locale, ha definito (e, in parte, imposto) una metodologia di riattivazione basata su:

  • Individuazione dei tool specifici per analisi e supporto alla remediation
  • Indicazione delle attività da effettuare a seguito dell’individuazione di un nuovo artefatto/Indicatore di compromissione
  • Condivisione di una checklist da applicare ai sistemi prima della loro riattivazione
  • Condivisione di best practices per la gestione delle riattivazioni

Le attività di analisi obbligatorie

Tra le attività di Analisi obbligatorie da attuare preliminarmente al ripristino di ogni singolo sistema il CSIRT ha indicato:

  • Individuazione degli elementi utili alla ricomposizione di una timeline degli eventi•
  • Estrazione degli artefatti e dei log dei sistemi oggetto di compromissione per la valutazione del danno e, di conseguenza, per supportare la fase di recovery
  • Scansioni delle macchine tramite l utilizzo di tools specifici con l aggiunta degli indicatori di compromissione specifici rilevati durante l analisi
  • Log degli accessi e del traffico dati su sistemi che costituiscono l’infrastruttura della rete aziendale

Il Team di Ripristino ha operato in presenza (nelle primissime fasi, passando in remoto per sistemi secondari in fasi tardive), seguendo le seguenti modalità:

  • Costituzione War Room
    • Riunioni veloci per coordinamento
    • Canale di comunicazione sempre attivo
    • Condivisione documentazione
  • Condivisione del «diario di bordo»
    • System List: elenco dei server con livello di compromissione
    • Task list: definizione della attività pianificate e relativo responsabile
  • Principali regole base:
    • Inserire immediatamente i nuovi Indicatori di Compromissione (IoC)su tutti i sistemi AntiVirus ed Endpoint Detection and Response (EDR) presenti nelle diverse infrastrutture
    • Aggiornare i vari tool di Incident Response con gli IoC individuati per utilizzare le nuove versioni con le firme aggiornate
    • Evidenziare qualsiasi anomalia riscontrata riportando tale informazione attraverso i canali di comunicazione definiti a supporto della War Room
    • Condividere immediatamente gli artefatti per l analisi

La definizione delle priorità di ripristino

La definizione delle priorità di ripristino (elenco dei sistemi in ordine di priorità) è stata ovviamente affidata al Team di Gestione dell’Incident generale, comprendente anche le Direzioni e i rappresentanti degli operatori sanitari. Le linee generali seguite in questa definizione sono state:

  • È necessario che il piano di ripristino sia costantemente rivisto a seguito degli elementi che emergono durante le attività che, modificando i tempi di rispristino del singolo sistema, possono portare a rivedere le priorità
  • La valutazione dipende anche dalla relazione di dipendenza tra tempo di inattivit à del sistema e peso delle attività necessarie alla ripartenza e al recupero del pregresso;
  • Si deve valutare quanto il sistema sia centrale rispetto all’architettura applicativa complessiva. Es. i sistemi di integrazione, gli ESB e, in generale, i sistemi master
  • Si deve dare priorità ai sistemi che hanno maggiore impatto sull’attività sanitaria quindi, tendenzialmente, viene assegnata bassa priorità alla parte amministrativa
  • Si deve valutare il livello di automazione dei processi dando alta priorità ai sistemi a supporto di processi che non sono gestibili (o scarsamente gestibili) manualmente (es. laboratorio)
  • In certi ambiti i dati sono nativamente digitali per cui occorre monitorare costantemente la capienza degli archivi locali e rendere disponibili in tempo utile gli archivi centralizzati (es. diagnostiche per immagini)
  • L’interdipendenza tra i differenti sistemi rende spesso necessaria la riattivazione contemporanea
  • I sistemi non compromessi, sottoposti alle procedure standard di verifica, anche se non prioritari, possono essere resi disponibili velocemente
  • Nei casi in cui differenti applicativi siano istallati sulla medesime infrastruttura (server), la loro riattivazione può essere contemporanea anche se le priorità assegnate sono differenti

Da questi principi di base sono derivate alcune priorità forse ovvie, ma comunque da esplicitare in pianificazione:

  • MPI: anagrafe pazienti interaziendale
  • CUP: per la ripresa delle prenotazioni da parte dei cittadini e per i centri prelievo ad accesso diretto
  • SIO: ecosistema ospedaliero e di specialistica ambulatoriale:
    • ADT: gestione dei percorsi di ricovero
    • Order Entry: gestione delle richieste per interni
    • Repository: storia clinica dei pazienti
    • Refertazione specialistica ambulatoriale: presa in carico delle worklist ambulatoriale e erogazione delle prestazioni
  • LIS: supporto all’automazione del laboratorio necessaria all attività ordinaria e presa in carico delle prenotazioni
  • RIS/PACS: gestione delle immagini DICOM e presa in carico delle worklist

Il ruolo dei fornitori degli applicativi

Un ruolo fondamentale in ogni step di ripristino viene svolto dai fornitori degli applicativi stessi. Il loro immediato coinvolgimento per garantirne la disponibilità nel momento opportuno è sicuramente una azione di pianificazione/comunicazione fondamentale per non incorrere in ritardo o slittamenti di priorità per assenza di supporto. Va tenuto presente nel loro coinvolgimento che a differenza della normale operatività di assistenza e manutenzione, svolta in remoto, le attività di ripristino devono essere svolte in loco, e conseguentemente il fornitore deve organizzare la necessaria trasferta dei suoi tecnici.

Concludendo, usando le parole dell’Ing. Viani, “Il ripristino dei sistemi è una maratona. Vanno gestite correttamente anche le energie del team”.

L’attacco di Torino: la gestione del medio/lungo termine

La gestione dell’incidente sul medio/lungo periodo è, nel contesto normativo attuale, in gran parte dedicata ai rapporti con l’Autorità Garante per la Protezione dei Dati Personali. È possibile che su eventi più complessi e a fronte di impatti particolarmente gravi emergano anche profili di tipo Giudiziario, al momento non verificatesi nel contesto dell’incident di Torino.

L’esperienza di Torino ha evidenziato che l’iter di dialogo iniziale, di visita ispettiva e conseguentemente anche l’epilogo impositivo/sanzionatorio con l’Autorità Garante è fortemente influenzato dalle decisioni e gestione delle comunicazioni in fase di notifica di data breach, quindi nei momenti immediatamente successivi all’incidente.

Notifica iniziale e rapporti con l’Autorità Garante: i principi base

La notifica iniziale e i successivi rapporti con l’Autorità Garante dovrebbero basarsi su alcuni principi base:

  • Tempestività: anche nella “corsa” dei momenti critici, la tempestiva notifica è un elemento apprezzato che consente all’Autorità Garante di attivare immediatamente il suo iter di approfondimento
  • Completezza: per quanto l’incident sia complesso e la sua descrizione anche nel dettaglio possa apparire lunga e articolata, è fondamentale trasmette ogni dettaglio possibile. In particolare, ogni indicatore relativo alla possibile/probabile estensione è fondamentale per l’individuazione degli interessati e categorie di dati coinvolti.
  • Trasparenza: anche in situazioni di scarsa chiarezza degli accadimenti, è opportuno trasmettere ogni elemento che possa contribuire, in un secondo momento, a chiarire il quadro, ivi compresi aspetti che possano apparire come “indicatori di responsabilità” della struttura
  • Collaborazione: esattamente come con gli altri attori istituzionali che in fase di gestione dell’incident aiutano ad affrontare vari aspetti (ACN, CSIRT, Polizia Postale), anche l’Autorità Garante va concepita come un attore a cui si chiede e a cui si offre collaborazione. In particolare, risulta fondamentale mettersi a disposizione per approfondire gli elementi di loro specifico interesse quali il livello di estensione degli individui coinvolti, le tipologie di dato coinvolte e la natura della violazione (distruzione, indisponibilità, diffusione, ecc.).
  • Disponibilità: pur nella concitazione del momento è opportuno mantenere anche con l’Autorità Garante un atteggiamento da subito di disponibilità per ogni approfondimento o azione da loro richiesta. In particolare, per quanto riguarda le azioni di comunicazione a gli interessati, e le azioni di mitigazione del danno.
  • Proattività: trasmettere anche successivamente alla notifica iniziale in modo sempre tempestivo ogni elemento che dovesse emergere che amplia o contribuisce a confermare o rettificare/integrare gli elementi già trasmessi

I principi di cui sopra, nella storia ispettiva dell’Autorità Garante su data breach di dimensione medio-grande sembrano essere elementi che influenzano la fase sanzionatoria. Sono infatti riportati sia casi di data breach relativamente “minori” come numero di interessati e tipologie di dato (es. invio di SMS pubblicitari inviati da ateneo on line senza consenso) sanzionati in modo più pesante rispetto a casi decisamente più estesi, contraddistinti però da una maggiore collaborazione in tutte le fasi dell’iter (es. ASL con esfiltrazione di dati di quasi un milione di assistiti).

A fronte di incident di questo tipo segue inevitabilmente una Ispezione dell’Autorità Garante. È un momento in cui l’approccio di collaborazione e trasparenza sopra declinato diventa fondamentale. Un ulteriore elemento da considerare nell’affrontare l’ispezione è l’opportunità di dare un chiaro messaggio di presa in carico della problematica da parte dell’intera organizzazione. Le conseguenze in termini di trattamento del dato e relative responsabilità non possono essere affrontate e discusse solo da referenti tecnici. È quindi opportuno che al tavolo siano presenti tutte le articolazioni aziendali coinvolte, dalla direzione alla funzione privacy, e l’ICT sia presente principalmente a supporto per quanto di sua competenza.

La struttura del provvedimento del Garante

Ulteriori elementi di riflessione, ed anche spunti per meglio impostare le azioni inerenti la gestione del data breach vengono dalla struttura stessa dei provvedimenti “tipo” dell’Autorità Garante, sotto riportati:

Appare evidente come la struttura del provvedimento si basi su un confronto/integrazione tra quanto notificato al Garante e quanto emerso dalle attività ispettive, in termini di descrizione del fatto, delle azioni messe in opera e delle misure strutturali pianificate o attuate. Questo aspetto evidenzia ancora di più il fatto che una comunicazione tempestiva e completa in fase di notifica e successive integrazioni riduce la necessità di completamento del quadro in fase ispettiva, e sicuramente tale aspetto non può che deporre a favore della consapevolezza, volontà e capacità gestionale dell’evento da parte della struttura colpita.

Elemento fondamentale del provvedimento è la relazione sulle modalità di comunicazione della violazione agli interessati. Tale aspetto si ricollega, nella gestione operativa dell’incident, agli aspetti di individuazione immediata degli interessati coinvolti, coinvolgimento della funzione privacy per i rapporti anche con questi attori, e governo della comunicazione con i media, che costituiscono in questi casi elemento fondamentale per una corretta e completa informazione agli interessati (sia potenziali che confermati).

Le sezioni finali del provvedimento su cui il Garante declina la sua valutazione sull’accaduto, sono anch’esse elementi da considerare nel guidare le azioni sia preventive che di gestione dell’incident. La valutazione sulle misure preventive messa in atto è sicuramente un fattore valutato, ma tali misure non sono necessariamente sul piano tecnico, ma anche (se non soprattutto) organizzativo. Tra queste viene sottolineata la necessità di predisporre misure atte alla “rilevazione tempestiva” dell’incidente. Questo sottolinea quindi che se da un lato l’incidente ha una sua gravità intrinseca nel fatto, un elemento aggravante, imputabile interamente sulla struttura attaccata è la mancata o tardiva rilevazione e identificazione dell’incidente e delle sue conseguenze sul trattamento dei dati. Ancora una volta, l’organizzazione (in particolare il servizio ICT) deve essere in grado sia su un piano tecnico che su un piano organizzativo di rilevare potenziali indicatori di compromissione, analizzarli prontamente e identificare conseguentemente l’avvenuta compromissione, attivando le azioni conseguenti.

Conclusioni

Il convegno organizzato da AISIS a Reggio Emilia si è contraddistinto, rispetto al panorama dei momenti di formazione e divulgazione sul tema della cyber-sicurezza, per la natura “esperienziale” del narrato.

L’inquadramento generale sul fenomeno, necessario per comprendere che il problema esiste (ed è crescente) e che la necessità di affrontarlo non può essere frenata dalla complessità del settore sanitario in quanto almeno azioni organizzative vanno messe in atto per garantire che azioni tecniche di minima siano implementate immediatamente e che ci sia una risposta rapida ad eventuali incidenti.

La narrazione delle esperienze dei direttori ICT di Torino, Parma e Modena ha consentito di raccogliere elementi e “consigli” emersi sul campo, non tanto sugli aspetti di prevenzione (tecnica e organizzativa) forse già noti a tutti, quanto sugli aspetti di gestione dell’incident, che possono essere riassunti in:

  • La gestione dell’incident va preparata, non improvvisata… altrimenti si perde tempo prezioso
  • La gestione dell’incident parte dalla capacità di intercettare e interpretare in tempi rapidi come incident di sicurezza eventuali anomalie/segnalazioni in arrivo già oggi
  • La gestione dell’incident parte dalla organizzazione interna di un team di incident response della struttura sanitaria (e non solo del team ICT)
  • La gestione dell’incident impone una gestione della comunicazione e condivisione delle informazioni:
    • nei team di gestione interna
    • con gli stakeholders esterni
  • La gestione dell’incident deve trarre vantaggio dalla collaborazione con attori istituzionali quali:
    • ACN e CSIRT
    • Polizia Postale
    • Garante per la Protezione dei Dati Personali
  • La gestione dei seguiti di un incident di sicurezza deve essere improntata sulla massima condivisione di informazione, trasparenza e collaborazione con le autorità inquirenti (a tutti i livelli)

La gestione di un incident di cyber-sicurezza è uno di quegli eventi per cui al momento “non esiste un manuale”… ma forse dovrebbe.


Tratto dai contributi di:

Ing. Luca Capitani, Azienda Ospedaliero- Universitaria S.Orsola, Bologna

Prof.ssa Greta Nasi, direttrice del Master in Cyber-sicurezza congiunto di SDA Bocconi e Politecnico di Milano

Prof. Michele Colajanni, professore di Cyber-sicurezza presso l’Università di Bologna

Dott. Ing. Marco Brambilla, Azienda Ospedaliero Universitaria di Parma

Ing. Mario Lugli, AOU Policlinico di Modena

Ing. Francesco Pensalfini, Azienda Sanitaria Locale “Città di Torino”

Ing. Simona Viani, Azienda USL di Modena

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4