sicurezza informatica

Sanità digitale sotto attacco: prevenzione e risposte alle sfide di cyber security

Home Sicurezza digitale
Indirizzo copiato

Il CORE di Reggio Emilia ha ospitato il convegno “Sanità Digitale Sotto Attacco” di Aisis. Con oltre 170 operatori e 30 fornitori, l’evento ha esplorato criticità e soluzioni per la cyber-sicurezza sanitaria. Esperti e responsabili ICT hanno condiviso esperienze di attacchi, sottolineando l’importanza di una preparazione e gestione efficace

Pubblicato il 9 ago 2024
Marco Foracchia

Azienda USL di Reggio Emilia IRCCS, Vicepresidente AISIS

Shutterstock_2476435363 (1)

Lo scenario internazionale, ma in particolare quello italiano, vede un ruolo significativo della sanità come secondo settore vittima di cyber-attacchi con circa il 14,5% del totale (Rapporto Clusit, Primo Semestre 2023, Figura 1).

Figura 1 – CLUSIT – Primo Semestre 2023 – distribuzione attacchi per settore in Italia

Il dato è in linea con analoghe statistiche internazionali, che in alcuni casi collocano la sanità anche come bersaglio principale (Figura 2).

Immagine che contiene testo, schermata, diagramma, linea Descrizione generata automaticamente

Figura 2 – ENISA, CIRAS – 2022 – distribuzione attacchi per settore in Europa

Elemento di particolare preoccupazione è inoltre il trend che, come noto, ha visto negli anni immediatamente post-pandemia una crescita significativa degli attacchi (incremento di oltre il 300%; Figura 3).

Figura 3 – ENISA, CIRAS – 2022 – Trend Attacchi a Settore Sanità

Indice degli argomenti

Cyber-attacchi a strutture sanitarie: dimensione del problema e driver

Uno degli elementi che contribuisce al verificarsi di cyber-attacchi con impatto sull’operatività è forse una generale impreparazione delle strutture sanitarie, legata anche al fenomeno del “Perché dovrebbero attaccare proprio me?”. Per analogia con il crimine “tradizionale” che persegue guadagni di tipo materiale/monetario rimane in molti operatori del settore la convinzione che strutture sanitarie, in particolare pubbliche manchino di “valori da rubare”.

Sanità nel mirino del cybercrime: cosa imparare dall’attacco alla ASL1 Abruzzo

Il valore dei dati sanitari

Questo assunto, rivelatosi fallace negli ultimi anni, non considera infatti alcuni elementi rilevanti:

  • Il dato sanitario è di valore, seppure non monetizzabile direttamente
  • Le strutture sanitarie ad oggi archiviano anche informazioni relative a mezzi di pagamento o allo status economico-finanziario (in particolare le strutture private)
  • Il dato personale non è necessariamente target solo di “furto” ma anche di logiche criminali che traggono valore dalla minaccia di diffusione e dalla minaccia di danno reputazionale

Il valore del dato sanitario diventa evidente nel momento in cui ci si confronta con il mercato ordinario (lecito), che vede una crescente domanda da parte della ricerca e sviluppo di ambito farmacologico e di medical device (il cui time to market è fortemente dipendente dalla possibilità di raccogliere dati in fase di pre-commercializzazione e immediata post-commercializzazione) e anche da parte della aziende che basano la loro attività su marketing mirato a sotto-popolazioni (es. cronici, malattie rare, fragilità) di soluzioni farmacologiche/sanitarie/assistenziali. Per analogia, o meglio per induzione da questo mercato lecito, si può ipotizzare ed anche stimare l’esistenza di un mercato illecito che persegua le medesime finalità (Figura 4).

Figura 4 – Valore del Mercato Illecito del Dato in Sanità

Non è inoltre da escludere il fatto che, analogamente ad altri settori più “tradizionali” quali il finanziario e il commercio, anche le strutture sanitarie archiviano dati personali relativi a mezzi di pagamento, status economico-finanziario e proprietà di vari tipi tali da essere di interesse per un cyber-crimine della “vecchia scuola”.

Un ulteriore elemento che rende l’ambito sanitario di particolare interesse per il cyber-crimine è quello relativo al valore indiretto derivante dalla particolare sensibilità del dato, e criticità del settore. Questi due fattori rendono il settore di interesse per attacchi di tipo ransomware (con o senza esfiltrazione) (Figura 5).

Figura 5 – Threat landscape in Health, ENISA 2023

Lo sfruttamento criminale dei dati sanitari

Questa tipologia, attualmente la più diffusa trasversalmente su tutti i settori, consente uno sfruttamento in varie forme: dal semplice riscatto per il ripristino dell’operatività, al riscatto indiretto sui singoli individui (per esfiltrazione e pubblicazione di dati particolarmente sensibili), al riscatto conseguente alla minaccia di danno reputazionale.

Volendo dimensionare ed analizzare gli impatti dei cyber-attacchi in sanità, è possibile considerare il costo unitario (costo “per record”) conseguente ad un data breach (Figura 6).

Figura 6 – Ponemon Institute, 2015 – Costo Medio per Record per settore

La natura sensibile del dato sanitario

Tale valore in sanità è significativamente più alto che in ogni altro settore. Questo ha origine nella natura sensibile del dato, la cui monetizzazione in sanzioni o risarcimenti è significativa e per l’intrinseca complessità di ri-generazione o recupero del dato stesso. Infine, la natura dei processi sanitari che vedono vari attori interconnessi ed interagenti amplifica l’effetto di qualsiasi attacco a singoli sotto-sistemi in termini di compromissione del processo complessivo. Ne consegue che, a parità di attacco, il danno conseguente sul settore sanitario è significativamente maggiore, rendendolo quindi un settore su cui azioni di cyber-crimine risultano particolarmente impattanti.

Nella valutazione dei costi complessivi di un cyber-attacco è anche possibile considerare la complessiva catena del valore, dimensionando e includendo le conseguenze di tipo sociale e sanitario derivanti dalla indisponibilità di servizi in un particolare contesto geografico. Ad esempio, nel recente attacco su Modena che ha colpito le tre principali strutture sanitarie della provincia, l’indisponibilità di attività ambulatoriali, di screening e la limitazione delle attività di Emergenza Urgenza ha sicuramente avuto un impatto sociale e sanitario sulla cittadinanza, la cui monetizzazione è difficile, ma va sicuramente considerato nel bilancio complessivo dell’incidente.

Strutture sanitarie: una debolezza strutturale da affrontare

Nell’analizzare in termini di profilo di cyber-sicurezza le strutture sanitarie, vanno considerate due caratteristiche che lo contraddistinguono:

  • Problematiche intrinseche al settore
  • Problematiche indotte da politiche di finanziamento/modalità organizzative/governance ICT

Gli elementi intrinseci che rendono la sanità più vulnerabile ai cyberattacchi

La sanità è contraddistinta da alcuni peculiari elementi intrinseci, che la rendono più vulnerabile a cyber-attacchi:

  • Il primo elemento è l’esistenza di un numero significativo di sistemi e sotto-sistemi tra loro interagenti, che coprono l’insieme degli ambiti disciplinari specifici delle strutture sanitarie. Questa frammentazione porta alla necessità di gestire un insieme di sistemi spesso di dimensione medio-piccola, con fornitori il cui mercato è limitato, e conseguentemente anche la capacità di adeguamento alle sfide di sicurezza emergenti. Questi sistemi medio-piccoli sono inoltre spesso caratterizzati da aggiornamenti poco frequenti e adozione di piattaforme legacy. La frammentazione comporta anche una forte esigenza di integrazione e interdipendenza tra i sistemi, che costituisce un elemento sia di potenziale diffusione di un attacco (conseguente alla difficoltà di segmentare) sia di amplificazione dei danni conseguenti alla compromissione di un singolo sistema, a cui consegue l’indisponibilità di tutti i processi dipendenti da tale sistema.
  • Il secondo elemento strutturale che rende il settore sanitario più vulnerabile è la presenza componenti sia hardware che software vincolati a certificazioni come Dispositivi Medici o Dispositivi Diagnostici in Vitro. Le rispettive normative di riferimento (Regolamenti Europei MDR 2017/745 e IVDR 2017/746) impongono un iter per la messa in commercio di nuove versioni dei dispositivi orientato principalmente alla sicurezza intesa come tutela della salute del paziente e dell’efficacia dello strumento. Tali obiettivi, più che giustificati nel contesto specifico, inevitabilmente confliggono con l’esigenza di una rapida evoluzione per contrastare la dinamica delle evoluzioni dei rischi di tipo cyber. Sebbene attori del settore, istituzionali, privati e associazioni da tempo lavorino su linee guida e approcci metodologici che tentano di far conciliare una maggiore attenzione agli aspetti di cyber-sicurezza con le normative di riferimento, le due esigenze rimangono, sotto molti aspetti, inevitabilmente conflittuali. Ne consegue che il settore ICT sanitario ha dovuto sviluppare (o, meglio, sta sviluppando) strategie di mitigazione della inevitabile “scarsa cyber-sicurezza” di molti dispositivi medici.
  • Un ulteriore elemento, emerso e divenuto più rilevante negli anni post-pandemia, è la naturale evoluzione del settore sanitario verso la sanità territoriale. Questo spostamento del focus dal contesto ospedaliero verso le strutture extra-ospedaliere (inclusa la mobilità e il domicilio del paziente) è fortemente basato sul supporto delle tecnologie digitali quali elemento abilitante. Tale supporto non è però un nuovo “silos” parallelo a quello ospedaliero, ma una vera e propria estensione dell’ecosistema digitale ospedaliero vero strutture geograficamente (e digitalmente) distanti dall’ospedale (la cosiddetta “continuità ospedale-territorio”). Questa esigenza rende velleitaria la strategia di difesa da cyber-attacchi da sempre attuata dalle strutture ospedaliere di “trincerarsi” dietro ad una totale chiusura verso l’esterno, e impone l’adozione, peraltro in tempi molto rapidi, di modalità sicure di apertura e estensione di una parte significativa dell’infrastruttura digitale al di fuori della propria rete. Questa estensione dovrebbe arrivare, nel suo completamento, anche a “toccare” ecosistemi digitali di altre organizzazioni (es. strutture socio-sanitarie), estendendo quindi il potenziale perimetro di cyber-attacco oltre i tradizionali interlocutori istituzionali (FSE, Regione, Ministero, SOGEI, ecc.).

Gli elementi organizzativi critici in caso di cyberattacco

Se da un lato il settore sanitario è contraddistinto da elementi di criticità strutturali quali quelli sopra descritti, le cui ricadute sul rischio cyber sono mitigabili ma difficilmente eliminabili, le strutture sanitarie hanno da sempre “peccato” su aspetti organizzativi che, in una situazione di rapido incremento di attacchi-cyber diventano critici:

  • Assenza di strategia complessiva nella gestione del parco applicativi, con conseguente scarsa attenzione verso architetture unitarie, centralizzate che possano ospitare strumenti e metodologie di cyber-sicurezza (es. sistemi di provisioning e gestione di utenti, MFA diffuso, log di sistema, log applicativi centralizzati).
  • Assenza di strutturazione dei team ICT per competenze. A fronte di team privi di specifiche professionalità o ambiti di competenza, risulta difficile inserire o definire figure dedicate in toto o in parte a seguire ambiti di cyber-sicurezza. Questa problematica è ancora più presente in realtà in cui la gestione dell’ecosistema digitale sia frammentata organizzativamente su pià servizi (es. ICT, Ingegneria Clinica, Fisica, ecc.)
  • “Sudditanza” eccessiva alle esigenze di operatività sanitaria, con conseguente riduzione in secondo piano di politiche di gestione della sicurezza (es. vincoli sulle password, obbligo di autenticazione, MFA, limitazione agli strumenti di condivisione extra-organizzazione)
  • Scarsità generale di investimenti che non vedano una ricaduta immediata sulla operatività sanitaria. Questo approccio è fortemente legato alla scarsa maturità dei management aziendali che non vedono nell’investimento in cyber-sicurezza un ritorno economico “virtuale” da intendersi come riduzione del rischio di costi indotti da incidenti cyber. Questa scarsa sensibilità è peculiare se si considera che il settore sanitario ha fatto del rischio clinico, e delle valutazioni degli investimenti in tale settore, un ambito di grande attenzione.

Le azioni di mitigazione dei rischi intrinseci

Se gli elementi strutturali non possono trovare soluzione, ma al più azioni di mitigazione, le problematiche organizzative possono e devono trovare rapidamente soluzioni. Peraltro, le azioni di mitigazione dei rischi intrinseci possono essere implementate solo a seguito di superamento delle problematiche organizzative. Ad esempio, attivare soluzioni avanzate di segmentazione e protezione dei Medical Device richiede una visione d’insieme della architettura dell’ecosistema digitale dell’organizzazione, un project management specializzato e dedicato, livelli adeguati di investimento e la capacità di imporre agli operatori sanitari anche politiche restrittive in termini di utilizzo dei device quali ad esempio il banale vincolo di autenticazione sugli stessi…

Politiche semplici ma efficaci di riduzione del rischio organizzativo

Gli elementi organizzativi presentano complessità non tanto in termini di investimenti, ma di cambiamento della modalità di governance e di strutturazione del team ICT. Tale evoluzione, anche in assenza di significativi finanziamenti, consentirebbe comunque di attuare politiche semplici ma efficaci di riduzione del rischio quali ad esempio la gestione efficace del provisioning utenti e relativa profilazione, la gestione delle password aziendali, l’introduzione di tecnologie MFA, la segmentazione di rete, il censimento e controllo degli accessi esterni (es. manutentivi, attività clinica esternalizzata, smart working). Peraltro, da una analisi di molti dei recenti attacchi in Italia (compresi quelli presentati nell’evento di Reggio Emilia), emerge come azioni tecniche semplici avrebbero potuto significativamente ridurre l’impatto sulle organizzazioni colpite.

Il convegno “Sanità Digitale Sotto Attacco”

Il giorno 2 Febbraio 2024 si è svolto presso la Sala Conferenze dell’Centro Oncologico di Reggio Emilia (CORE) il convegno “Sanità Digitale Sotto Attacco” promosso da AISIS (Associazione Italiana Sistemi Informativi in Sanità, www.aisis.it).

L’evento ha raccolto oltre 170 operatori del settore, provenienti da 20 aziende sanitarie pubbliche e private italiane, e oltre 30 fornitori del settore della sanità digitale.

Dopo i saluti istituzionali di Cristina Marchesi, Direttore Generale dell’AUSL di Reggio Emilia, la mattina è stata affidata a Greta Nasi, direttrice del Master in Cyber-sicurezza congiunto di SDA Bocconi e Politecnico di Milano, e a Michele Colajanni, professore di cyber-sicurezza presso l’Università di Bologna. I due accademici hanno introdotto il tema inquadrandone dimensioni, cause, e trattando le criticità intrinseche della sanità in termini di arretratezza architetturale, diffusione di soluzioni legacy, frammentazione delle soluzioni e forte dipendenza da politiche di investimento pubbliche.

Sono poi state condivise le esperienze di attacco subite da ASL Di Torino, avvenuto nel 2022, e più recentemente, nel 2023 dall’Azienda Ospedaliera di Parma e dalle Aziende Sanitarie di Modena. I responsabili dei servizi ICT delle aziende colpite hanno condiviso le criticità che hanno portato all’ingresso dei criminali informatici, e le modalità di gestione della drammatica situazione conseguente alla perdita di dati e operatività dei sistemi informativi fondamentali per l’attività del personale sanitario delle loro aziende. Le conseguenze di questi attacchi sono infatti state sia sul piano di violazione della riservatezza di dati potenzialmente anche molto sensibili, che sul piano di interruzione anche per varie settimane di buona parte dell’attività sanitaria, oltre che reputazionali.

La sessione conclusiva dell’evento, a porte chiuse, è stata dedicata agli operatori delle strutture sanitarie e manutenuta riservata allo scopo di affrontare elementi di particolare sensibilità riguardanti le modalità tecniche di attacco individuate, e le strategie di difesa adottate dalle aziende convenute a Reggio.

Il convegno è stato coordinato da Marco Foracchia, Direttore del Servizio Tecnologie Informatiche dell’Azienda USL di Reggio Emilia, e vicepresidente dell’associazione AISIS, nonché membro di comitati nazionali e internazionali del settore, e dall’Ing. Luca Capitani, Direttore del Servizio Tecnologie Informatiche dell’Azienda Ospedaliero Universitaria Sant’Orsola di Bologna.

Tre esperienze a confronto: Parma, Modena e Torino

Le tre esperienze raccontate dai direttori dei servizi ICT di Parma, Modena e Torino presentano elementi simili in termini di tipologia di attacco (Ransomware) e modalità di ingresso (uso di credenziali rubate tramite strategie di social engineering), seppure con aspetti tecnici leggermente diversi.

Nel convegno di Reggio Emilia è stato però deciso dal comitato scientifico di non concentrarsi su tali aspetti tecnici, sicuramente descritti in altri eventi o in letteratura, ma focalizzare la narrazione sugli aspetti di gestione dell’incident.

La dimensione organizzativa della risposta all’incidente

Elemento fondamentale evidenziato in tutte le tre esperienze è stata la dimensione organizzativa della risposta all’incidente. Lo scenario conseguente un cyber-attacco è qualcosa per cui normalmente strutture ICT in ambito sanitario non sono formate e preparate. I team ICT delle tre realtà coinvolte hanno infatti in parte “improvvisato” la gestione avvalendosi delle loro professionalità interne e del supporto di istituzioni coinvolte: Agenzia per la Cyber-sicurezza Nazionale ACN, CSIRT nazionale, Polizia Postale, Autorità Garante per la Protezione dei Dati personali. Questi ultimi attori si sono rivelati fondamentali sia per supporto organizzativo (cosa fare, quando farlo) che tecnico (come farlo).

Quanto emerso dalle testimonianze dei colleghi non vuole avere valenza “metodologica”, ma esperienziale… e viene come tale riportata di seguito.

L’attacco di Parma: la gestione immediata

La realtà di Parma in passato non aveva mai affrontato problematiche rilevanti di cyber-sicurezza e la prima affermazione che il direttore ICT Brambilla riporta ricordando l’accaduto è “Non te lo aspetti”. Figura 7.

Figura 7 – Marco Brambilla – La gestione immediata

Narrando l’esperienza, Brambilla così descrive i primi momenti di gestione dell’incidente:

Domenica 12 febbraio 2023 ore 5:40: Il tecnico reperibile che sta lavorando su problemi manifestatosi sul PACS mi avvisa che ritiene che ci siano comportamenti anomali dei sistemi. Il tecnico, stranamente, non chiede aiuto nella risoluzione dei problemi ma ritiene che il comportamento sia anomalo, al punto da chiamare il responsabile IT per avvisarlo. Un po’ assonnato, un po’ contrariato per una chiamata per un semplice sospetto, la sveglia prosegue con la sua routine ed un dubbio che inizia a frullarmi nella testa….

Una incertezza ed un dubbio che si protraggono fino alle 10:40 dello stesso giorno (una domenica) in cui approfondimenti da parte dei vari colleghi confermano azioni anomale sui database svolte da utenze di servizio.

Gli effetti dell’impreparazione operativa ai cyberattacchi

Questo tipo di incertezza e forse impreparazione/inesperienza nel riconoscere i sintomi o ipotizzarne una origine malevola, a cui consegue un inevitabile ritardo nell’intraprendere azioni specifiche, è un elemento su cui riflettere. La narrazione dei colleghi di Parma rafforza la consapevolezza di quanto sarebbe stato fondamentale sia in termini procedurali che di figure dedicate (interne o esterne, ad es. servizi di NOC/SOC) per una interpretazione degli eventi in chiave di sicurezza. La presenza di una organizzazione predisposta in tal senso può infatti guidare le prime azioni di analisi accorciando i tempi di “presa coscienza” della tipologia di incident.

Ripercorrendo i vari momenti del percorso ICT dell’azienda ospedaliera di Parma dedicati al tema della cyber-sicurezza emergono corsi fatti, certificazioni/attestazioni a enti di controllo e intenti dichiarati e forse mai perseguiti del tutto (MMAGID, Isolamento reti, NIS, GDPR, Piano Triennale, ecc.). Tutti elementi mai accompagnati da una vera e propria preparazione operativa per la gestione di eventi di questo tipo.

Domenica 12 febbraio 2023 dalle ore 11:00: Descrivere quelle sensazioni non è facile e, per quanto abbia già avuto modo di dimostrare a me stesso di possedere un minimo di sangue freddo, l’emozione provata, almeno per qualche istante, presumo possa essere simile a quella del panico… Pensi alla possibilità di aver consegnato a criminali i dati sanitari della tua realtà.

La strutturazione del team di gestione dell’incident

Elemento di svolta nella gestione dell’incident è stata la strutturazione, per quanto improvvisata, del team di gestione dell’incident.

Domenica 12 febbraio 2023 dalle ore 14:00: In poco tempo però, riguadagnata lucidità e in contatto con i tuoi si iniziano a chiudere tutti i canali tramite i quali presumi possano riuscire ad entrare. Capisci e ricordi ancora una volta di non essere solo. Apprezzi, ringrazi e ti fai forza del gruppo che hai!

La pianificazione delle attività

Si costruisce il team con tutti “gli interlocutori sensati” individuati a vari livelli aziendali. Solo dopo l’attivazione e organizzazione del team inizia una vera e propria pianificazione delle attività. Il team viene inoltre supportato/integrato da CSIRT nazionale che in modo proattivo offre disponibilità di competenze sia tecniche che organizzative.

Domenica 12 febbraio 2023 ore 18:00: Allinei la direzione strategica sul fatto che ancora non si conoscono i danni effettuati. Inizi a cancellare appuntamenti dei giorni successivi. Contatti la referente privacy avvisando che domani potrebbe essere una giornata significativamente complicata. Si iniziano a preparare un po’ di mini relazioni funzionali all’indomani mentre i tuoi continuano a lavorare sul fronte tecnico.

La pianificazione si concentra, oltre che sugli aspetti operativi, sugli aspetti di comunicazione/informazione. Il mantenimento di una comunicazione costante con tutti gli interlocutori è fondamentale sia su un piano formale che per ottenere la massima collaborazione e coordinamento nelle azioni organizzative di compensazione dei servizi non più erogabili in conseguenza dell’incident.

Le attività di relazione/integrazione con i principali attori

Vengono quindi assegnate nel team le attività di relazione/integrazione con i principali attori:

  • Interlocutori istituzionali
    • Rapporto con CSIRT;
    • Rapporto con Garante Privacy;
    • Rapporto con Direzione
    • Rapporto con Procura della Repubblica.
  • Interlocutori interni:
    • Rapporto con tutti i miei collaboratori
    • Rapporto con utenti in generale
  • Rapporto con la stampa

L’attivazione dei canali istituzionali

L’attivazione dei canali istituzionali con ACN/CSIRT, Autorità Garante per la Protezione dei Dati Personali, Magistratura, Polizia Postale si dimostra anche più facili del previsto, e soprattutto con una certa sorpresa emerge un grande supporto sia su un piano operativo che di “morale”.

I contatti con l’esterno ci hanno dato una significativa iniezione di fiducia! In tutte le realtà si sono incontrate persone preparate e disponibili!

I rapporti con la stampa

I rapporti con la stampa, nonostante le indicazioni di riservatezza suggerite/imposte dalle varie autorità coinvolte, sono stati contraddistinti da fughe di notizie incontrollate e spesso imprecise. Queste hanno di riflesso generato la necessità di maggiore interlocuzione con le direzioni aziendali e le autorità locali per fugare fraintendimenti e paure/panico, oltre a tutelare la riservatezza dei professionisti aziendali coinvolti (come vittime) nelle azioni di phishing all’origine del problema.

Le lezioni apprese

L’esperienza ha lasciato negli operatori del servizio ICT di Parma la consapevolezza che:

  • È necessario aumentare la consapevolezza generalizzata sulla problematica da parte di tutte le strutture aziendali
  • È necessario aumentare gli strumenti di cybersecurity (direzione NIS2)
  • È necessario dotarsi di una procedura organizzativa (ed unità di crisi ad hoc) per governare queste situazioni
  • È necessario presidiare da subito le comunicazioni con tutti gli attori coinvolti, sia allo scopo di non sentirsi soli e gestire l’operatività in coordinamento, sia per evitare diffusione di informazioni e indicazioni operative non coerenti con la realtà

L’attacco di Modena: la gestione delle comunicazioni e relazioni

Come emerso dall’esperienza di Parma, uno degli aspetti che va maggiormente presidiato fin dai primi momenti di gestione dell’incident è la comunicazione tra gli attori convolti.

Le tre dimensioni della comunicazione

La comunicazione ha in effetti tre diverse dimensioni da tenere in considerazione:

  • Comunicazione tra gli operatori della struttura sanitaria, per consentire il ripristino dell’operatività.
  • Comunicazione interna al team di gestione dell’incident e con i principali attori coinvolti nella gestione (direzioni aziendali, altri servizi tecnici incaricati di gestire sistemi specifici, enti terzi che danno supporto, fornitori, ecc.)
  • Comunicazione istituzionale verso l’esterno (autorità, media, singole persone in quanto interessati)

La comunicazione tra gli operatori della struttura sanitaria

Un primo aspetto che tocca principalmente le comunicazioni tra operatori sanitari e all’interno del team di gestione è prettamente tecnico. Se la compromissione della infrastruttura ICT è totale, o comunque le azioni imposte per mitigare il danno comprendono la totale disattivazione di tutta l’infrastruttura, come conseguenza vengono meno tutti i consueti mezzi di comunicazione (mail, fonia interna VOIP, strumenti intranet, strumenti di collaborazione interna, ecc.).

Il problema iniziale è quindi operativo: definire soluzioni alternative per garantire la comunicazione di minima a supporto dell’operatività sanitaria. Le azioni possibili nel breve, messe in piedi nell’arco di poche ore o giorni, hanno compreso la riattivazione di linee fax, la dotazione di dispositivi di fonia mobile, così come l’attivazione di account temporanei su provider di posta esterni alla struttura.

Questi approcci, improvvisati in questo caso, meritano sicuramente attenzione nell’ottica di pianificazione e predisposizione tecnica in ottica preventiva. Sono infatti azioni di difficile gestione se improvvisate, e richiedono un assorbimento di risorse umane tecniche che probabilmente potrebbero essere dedicate a problematiche più inerenti il ripristino dei sistemi clinici.

Comunicazione interna al team di gestione dell’incident 

La gestione delle comunicazioni nel team di gestione dell’incident è sicuramente un elemento prioritario in quanto la sua operatività è fondamentale per ogni altro aspetto. Va tenuto in considerazione che l’operatività di un insieme di persone non può essere gestito tramite fonia tradizionale “a due”, quindi diventa fondamentale dotarsi di strumenti di collaborazione alternativi (es. gruppi Whatsapp, repository documentali su piattaforme esterne, piattaforme di videoconferenza esterne (Zoom)). Non va inoltre trascurata l’alternativa più ovvia, ma sicuramente più efficace nei momenti iniziali: la comunicazione di persona. In un momento storico in cui gran parte delle interazioni sono virtualizzate, il contesto di un incident di cyber-sicurezza impone quanto meno nelle fasi iniziali un ritorno agli incontri in presenza fisica.

L’esperienza di Modena ha visto l’attivazione di un gruppo di coordinamento unico, mutuato dalla Unità di Crisi aziendale (già istituita formalmente) ed integrata con i principali attorni del servizio ICT e di servizi coinvolti nella gestione di porzioni dell’ecosistema digitale (Ingegneria Clinica, Fisica, Servizio Tecnico) oltre ai principali fornitori coinvolti nelle azioni di ripristino. Il gruppo risultante era composto da 46 membri in rappresentanza di tutti gli attori, inclusi i referenti di tutti i dipartimenti. Questi ultimi hanno svolto un ruolo fondamentale di diffusione capillare delle comunicazioni verso gli operatori sanitari e del resto dell’azienda.

La prima comunicazione formale scritta a tutte le Unità Operative cliniche è avvenuta a distanza di circa 12 ore dal blocco dei sistemi informatici, con richiamo alle procedure di contingenza previste per i fermi dei sistemi ICT e riassumeva le azioni già intraprese. Successivamente è stato scelto di inviare un aggiornamento quotidiano (.pdf via WhatsApp) ai membri dell’Unità di Crisi, con il compito di diffonderlo all’interno del proprio dipartimento e poi alle singole unità operative.

Le comunicazioni quotidiane avevano lo scopo di aggiornare rispetto al progressivo ripristino dei sistemi. Particolare attenzione è stata posta nell’avvertire delle parziali funzionalità, legate alla progressiva e non contemporanea riattivazione degli applicativi. Era infatti necessario chiarire con gli operatori quali funzionalità, apparentemente riattivate, non erano ancora da utilizzarsi per assenza di una completa integrazione tra sistemi.

Obiettivo fondamentale delle primissime attività di ripristino è stato comunque quello di tornare a comunicare internamente in modo efficiente ed efficace, ancora prima del ripristino di gran parte dei sistemi di gestione clinica. La posta elettronica è stata riattivata dopo 90 ore dall’attacco.

La comunicazione con gli interlocutori esterni all’organizzazione

L’altro aspetto di comunicazione rilevante è stato con gli interlocutori esterni all’organizzazione. In particolare, in quanto obbligo dettato dalla normativa sulla gestione dei data breach (GDPR), è stato fondamentale garantire una diffusione controllata e tempestiva delle comunicazioni verso il pubblico.

Il primo comunicato stampa è stato trasmesso in modo congiunto dalle 3 aziende modenesi, quasi contemporaneamente alla prima comunicazione interna, dopo circa 12 ore dall’attacco.

I siti Internet delle aziende sanitarie modenesi sono collocati in datacenter esterni alla infrastruttura aziendale e pertanto sono rimasti sempre raggiungibili. Questo elemento costituisce sicuramente un aspetto da valutare, in ottica generale, come azione preventiva. La comunicazione istituzionale è stata pertanto continuativa, con aggiornamenti giornalieri rivolti sia all’esterno che, indirettamente, anche al personale dipendente (in aggiunta alla comunicazione mediata dal team di gestione dell’incident).

La comunicazione pubblica verso l’esterno è stata incentrata principalmente sul fornire indicazioni operative ai cittadini sulla disponibilità dei servizi sanitari, e come gestire gli appuntamenti pendenti e l’accesso alle strutture di emergenza e urgenza. Allo stesso tempo, la comunicazione inerente alle cause e le dinamiche dell’attacco è stata coordinata di concerto con CSIRT e Polizia Postale, che hanno richiesto di mantenere certi livelli di riservatezza ed un “profilo basso” almeno nei primi giorni dopo l’evento. Questa indicazione nasce dall’evolversi anche di azioni investigative da parte di queste autorità.

L’attenzione mediatica sul caso di Modena ha inevitabilmente avuto riflessi di ambito politico. Si è quindi inserita anche l’esigenza, gestita principalmente ma non esclusivamente dalla Direzione aziendale, di relazionare e fornire livelli di dettaglio maggiori rispetto alla comunicazione pubblica alle autorità politiche locali (Sindaci, Conferenza Territoriale Socio-Sanitaria) e regionali (Presidenza della Regione, Assessorato).

Attacco di Modena: la gestione del ripristino dei servizi

Rapidità vs Sicurezza: il ripristino dei sistemi è stato dettato da questo elemento di compromesso.

Dopo la scelta inevitabile ma fondamentale fatta dal team ICT di Modena di spegnere l’intera infrastruttura informatica delle tre aziende coinvolte, gli stessi operatori del CSIRT hanno da subito imposto al team di gestione dell’incident di procedere con la riattivazione in modo continuativo ma senza eccessi. La riattivazione doveva essere condotta sistema per sistema solo dopo una accurata analisi di assenza di compromissione. La natura stessa degli attacchi ransomware impone infatti una riattivazione con certezza di non introdurre nell’ecosistema digitale “bonificato” un sistema ancora compromesso, da cui potesse ripartire una diffusione secondaria.

È stato quindi fondamentale dedicare tempo alla predisposizione di procedure di contingenza che garantissero una operatività sanitaria di base anche in assenza di sistemi digitali, affinché fosse possibile operare con la necessaria cautela e relativa tranquillità al ripristino graduale dell’intero parco (nell’arco di giorni, in alcuni casi settimane).

Le attività del team di ripristino

Le attività di ripristino dei sistemi sono state condotte da un Team di Ripristino dedicato, composto da:

  • Tecnici ICT dell’azienda sanitaria
  • Tecnici specialisti esterni (in particolare del fornitore del sistema coinvolto nella riattivazione)
  • Tecnici CSIRT di ACN
  • Analisti cybersecurity di ditta esterna

La metodologia di riattivazione del Csirt

Il CSIRT, pur lasciando la definizione dei piani di contingenza e della priorità di riattivazione al team di gestione dell’incident locale, ha definito (e, in parte, imposto) una metodologia di riattivazione basata su:

  • Individuazione dei tool specifici per analisi e supporto alla remediation
  • Indicazione delle attività da effettuare a seguito dell’individuazione di un nuovo artefatto/Indicatore di compromissione
  • Condivisione di una checklist da applicare ai sistemi prima della loro riattivazione
  • Condivisione di best practices per la gestione delle riattivazioni

Le attività di analisi obbligatorie

Tra le attività di Analisi obbligatorie da attuare preliminarmente al ripristino di ogni singolo sistema il CSIRT ha indicato:

  • Individuazione degli elementi utili alla ricomposizione di una timeline degli eventi•
  • Estrazione degli artefatti e dei log dei sistemi oggetto di compromissione per la valutazione del danno e, di conseguenza, per supportare la fase di recovery
  • Scansioni delle macchine tramite l utilizzo di tools specifici con l aggiunta degli indicatori di compromissione specifici rilevati durante l analisi
  • Log degli accessi e del traffico dati su sistemi che costituiscono l’infrastruttura della rete aziendale

Il Team di Ripristino ha operato in presenza (nelle primissime fasi, passando in remoto per sistemi secondari in fasi tardive), seguendo le seguenti modalità:

  • Costituzione War Room
    • Riunioni veloci per coordinamento
    • Canale di comunicazione sempre attivo
    • Condivisione documentazione
  • Condivisione del «diario di bordo»
    • System List: elenco dei server con livello di compromissione
    • Task list: definizione della attività pianificate e relativo responsabile
  • Principali regole base:
    • Inserire immediatamente i nuovi Indicatori di Compromissione (IoC)su tutti i sistemi AntiVirus ed Endpoint Detection and Response (EDR) presenti nelle diverse infrastrutture
    • Aggiornare i vari tool di Incident Response con gli IoC individuati per utilizzare le nuove versioni con le firme aggiornate
    • Evidenziare qualsiasi anomalia riscontrata riportando tale informazione attraverso i canali di comunicazione definiti a supporto della War Room
    • Condividere immediatamente gli artefatti per l analisi

La definizione delle priorità di ripristino

La definizione delle priorità di ripristino (elenco dei sistemi in ordine di priorità) è stata ovviamente affidata al Team di Gestione dell’Incident generale, comprendente anche le Direzioni e i rappresentanti degli operatori sanitari. Le linee generali seguite in questa definizione sono state:

  • È necessario che il piano di ripristino sia costantemente rivisto a seguito degli elementi che emergono durante le attività che, modificando i tempi di rispristino del singolo sistema, possono portare a rivedere le priorità
  • La valutazione dipende anche dalla relazione di dipendenza tra tempo di inattivit à del sistema e peso delle attività necessarie alla ripartenza e al recupero del pregresso;
  • Si deve valutare quanto il sistema sia centrale rispetto all’architettura applicativa complessiva. Es. i sistemi di integrazione, gli ESB e, in generale, i sistemi master
  • Si deve dare priorità ai sistemi che hanno maggiore impatto sull’attività sanitaria quindi, tendenzialmente, viene assegnata bassa priorità alla parte amministrativa
  • Si deve valutare il livello di automazione dei processi dando alta priorità ai sistemi a supporto di processi che non sono gestibili (o scarsamente gestibili) manualmente (es. laboratorio)
  • In certi ambiti i dati sono nativamente digitali per cui occorre monitorare costantemente la capienza degli archivi locali e rendere disponibili in tempo utile gli archivi centralizzati (es. diagnostiche per immagini)
  • L’interdipendenza tra i differenti sistemi rende spesso necessaria la riattivazione contemporanea
  • I sistemi non compromessi, sottoposti alle procedure standard di verifica, anche se non prioritari, possono essere resi disponibili velocemente
  • Nei casi in cui differenti applicativi siano istallati sulla medesime infrastruttura (server), la loro riattivazione può essere contemporanea anche se le priorità assegnate sono differenti

Da questi principi di base sono derivate alcune priorità forse ovvie, ma comunque da esplicitare in pianificazione:

  • MPI: anagrafe pazienti interaziendale
  • CUP: per la ripresa delle prenotazioni da parte dei cittadini e per i centri prelievo ad accesso diretto
  • SIO: ecosistema ospedaliero e di specialistica ambulatoriale:
    • ADT: gestione dei percorsi di ricovero
    • Order Entry: gestione delle richieste per interni
    • Repository: storia clinica dei pazienti
    • Refertazione specialistica ambulatoriale: presa in carico delle worklist ambulatoriale e erogazione delle prestazioni
  • LIS: supporto all’automazione del laboratorio necessaria all attività ordinaria e presa in carico delle prenotazioni
  • RIS/PACS: gestione delle immagini DICOM e presa in carico delle worklist

Il ruolo dei fornitori degli applicativi

Un ruolo fondamentale in ogni step di ripristino viene svolto dai fornitori degli applicativi stessi. Il loro immediato coinvolgimento per garantirne la disponibilità nel momento opportuno è sicuramente una azione di pianificazione/comunicazione fondamentale per non incorrere in ritardo o slittamenti di priorità per assenza di supporto. Va tenuto presente nel loro coinvolgimento che a differenza della normale operatività di assistenza e manutenzione, svolta in remoto, le attività di ripristino devono essere svolte in loco, e conseguentemente il fornitore deve organizzare la necessaria trasferta dei suoi tecnici.

Concludendo, usando le parole dell’Ing. Viani, “Il ripristino dei sistemi è una maratona. Vanno gestite correttamente anche le energie del team”.

L’attacco di Torino: la gestione del medio/lungo termine

La gestione dell’incidente sul medio/lungo periodo è, nel contesto normativo attuale, in gran parte dedicata ai rapporti con l’Autorità Garante per la Protezione dei Dati Personali. È possibile che su eventi più complessi e a fronte di impatti particolarmente gravi emergano anche profili di tipo Giudiziario, al momento non verificatesi nel contesto dell’incident di Torino.

L’esperienza di Torino ha evidenziato che l’iter di dialogo iniziale, di visita ispettiva e conseguentemente anche l’epilogo impositivo/sanzionatorio con l’Autorità Garante è fortemente influenzato dalle decisioni e gestione delle comunicazioni in fase di notifica di data breach, quindi nei momenti immediatamente successivi all’incidente.

Notifica iniziale e rapporti con l’Autorità Garante: i principi base

La notifica iniziale e i successivi rapporti con l’Autorità Garante dovrebbero basarsi su alcuni principi base:

  • Tempestività: anche nella “corsa” dei momenti critici, la tempestiva notifica è un elemento apprezzato che consente all’Autorità Garante di attivare immediatamente il suo iter di approfondimento
  • Completezza: per quanto l’incident sia complesso e la sua descrizione anche nel dettaglio possa apparire lunga e articolata, è fondamentale trasmette ogni dettaglio possibile. In particolare, ogni indicatore relativo alla possibile/probabile estensione è fondamentale per l’individuazione degli interessati e categorie di dati coinvolti.
  • Trasparenza: anche in situazioni di scarsa chiarezza degli accadimenti, è opportuno trasmettere ogni elemento che possa contribuire, in un secondo momento, a chiarire il quadro, ivi compresi aspetti che possano apparire come “indicatori di responsabilità” della struttura
  • Collaborazione: esattamente come con gli altri attori istituzionali che in fase di gestione dell’incident aiutano ad affrontare vari aspetti (ACN, CSIRT, Polizia Postale), anche l’Autorità Garante va concepita come un attore a cui si chiede e a cui si offre collaborazione. In particolare, risulta fondamentale mettersi a disposizione per approfondire gli elementi di loro specifico interesse quali il livello di estensione degli individui coinvolti, le tipologie di dato coinvolte e la natura della violazione (distruzione, indisponibilità, diffusione, ecc.).
  • Disponibilità: pur nella concitazione del momento è opportuno mantenere anche con l’Autorità Garante un atteggiamento da subito di disponibilità per ogni approfondimento o azione da loro richiesta. In particolare, per quanto riguarda le azioni di comunicazione a gli interessati, e le azioni di mitigazione del danno.
  • Proattività: trasmettere anche successivamente alla notifica iniziale in modo sempre tempestivo ogni elemento che dovesse emergere che amplia o contribuisce a confermare o rettificare/integrare gli elementi già trasmessi

I principi di cui sopra, nella storia ispettiva dell’Autorità Garante su data breach di dimensione medio-grande sembrano essere elementi che influenzano la fase sanzionatoria. Sono infatti riportati sia casi di data breach relativamente “minori” come numero di interessati e tipologie di dato (es. invio di SMS pubblicitari inviati da ateneo on line senza consenso) sanzionati in modo più pesante rispetto a casi decisamente più estesi, contraddistinti però da una maggiore collaborazione in tutte le fasi dell’iter (es. ASL con esfiltrazione di dati di quasi un milione di assistiti).

A fronte di incident di questo tipo segue inevitabilmente una Ispezione dell’Autorità Garante. È un momento in cui l’approccio di collaborazione e trasparenza sopra declinato diventa fondamentale. Un ulteriore elemento da considerare nell’affrontare l’ispezione è l’opportunità di dare un chiaro messaggio di presa in carico della problematica da parte dell’intera organizzazione. Le conseguenze in termini di trattamento del dato e relative responsabilità non possono essere affrontate e discusse solo da referenti tecnici. È quindi opportuno che al tavolo siano presenti tutte le articolazioni aziendali coinvolte, dalla direzione alla funzione privacy, e l’ICT sia presente principalmente a supporto per quanto di sua competenza.

La struttura del provvedimento del Garante

Ulteriori elementi di riflessione, ed anche spunti per meglio impostare le azioni inerenti la gestione del data breach vengono dalla struttura stessa dei provvedimenti “tipo” dell’Autorità Garante, sotto riportati:

Appare evidente come la struttura del provvedimento si basi su un confronto/integrazione tra quanto notificato al Garante e quanto emerso dalle attività ispettive, in termini di descrizione del fatto, delle azioni messe in opera e delle misure strutturali pianificate o attuate. Questo aspetto evidenzia ancora di più il fatto che una comunicazione tempestiva e completa in fase di notifica e successive integrazioni riduce la necessità di completamento del quadro in fase ispettiva, e sicuramente tale aspetto non può che deporre a favore della consapevolezza, volontà e capacità gestionale dell’evento da parte della struttura colpita.

Elemento fondamentale del provvedimento è la relazione sulle modalità di comunicazione della violazione agli interessati. Tale aspetto si ricollega, nella gestione operativa dell’incident, agli aspetti di individuazione immediata degli interessati coinvolti, coinvolgimento della funzione privacy per i rapporti anche con questi attori, e governo della comunicazione con i media, che costituiscono in questi casi elemento fondamentale per una corretta e completa informazione agli interessati (sia potenziali che confermati).

Le sezioni finali del provvedimento su cui il Garante declina la sua valutazione sull’accaduto, sono anch’esse elementi da considerare nel guidare le azioni sia preventive che di gestione dell’incident. La valutazione sulle misure preventive messa in atto è sicuramente un fattore valutato, ma tali misure non sono necessariamente sul piano tecnico, ma anche (se non soprattutto) organizzativo. Tra queste viene sottolineata la necessità di predisporre misure atte alla “rilevazione tempestiva” dell’incidente. Questo sottolinea quindi che se da un lato l’incidente ha una sua gravità intrinseca nel fatto, un elemento aggravante, imputabile interamente sulla struttura attaccata è la mancata o tardiva rilevazione e identificazione dell’incidente e delle sue conseguenze sul trattamento dei dati. Ancora una volta, l’organizzazione (in particolare il servizio ICT) deve essere in grado sia su un piano tecnico che su un piano organizzativo di rilevare potenziali indicatori di compromissione, analizzarli prontamente e identificare conseguentemente l’avvenuta compromissione, attivando le azioni conseguenti.

Conclusioni

Il convegno organizzato da AISIS a Reggio Emilia si è contraddistinto, rispetto al panorama dei momenti di formazione e divulgazione sul tema della cyber-sicurezza, per la natura “esperienziale” del narrato.

L’inquadramento generale sul fenomeno, necessario per comprendere che il problema esiste (ed è crescente) e che la necessità di affrontarlo non può essere frenata dalla complessità del settore sanitario in quanto almeno azioni organizzative vanno messe in atto per garantire che azioni tecniche di minima siano implementate immediatamente e che ci sia una risposta rapida ad eventuali incidenti.

La narrazione delle esperienze dei direttori ICT di Torino, Parma e Modena ha consentito di raccogliere elementi e “consigli” emersi sul campo, non tanto sugli aspetti di prevenzione (tecnica e organizzativa) forse già noti a tutti, quanto sugli aspetti di gestione dell’incident, che possono essere riassunti in:

  • La gestione dell’incident va preparata, non improvvisata… altrimenti si perde tempo prezioso
  • La gestione dell’incident parte dalla capacità di intercettare e interpretare in tempi rapidi come incident di sicurezza eventuali anomalie/segnalazioni in arrivo già oggi
  • La gestione dell’incident parte dalla organizzazione interna di un team di incident response della struttura sanitaria (e non solo del team ICT)
  • La gestione dell’incident impone una gestione della comunicazione e condivisione delle informazioni:
    • nei team di gestione interna
    • con gli stakeholders esterni
  • La gestione dell’incident deve trarre vantaggio dalla collaborazione con attori istituzionali quali:
    • ACN e CSIRT
    • Polizia Postale
    • Garante per la Protezione dei Dati Personali
  • La gestione dei seguiti di un incident di sicurezza deve essere improntata sulla massima condivisione di informazione, trasparenza e collaborazione con le autorità inquirenti (a tutti i livelli)

La gestione di un incident di cyber-sicurezza è uno di quegli eventi per cui al momento “non esiste un manuale”… ma forse dovrebbe.

Tratto dai contributi di:

Ing. Luca Capitani, Azienda Ospedaliero- Universitaria S.Orsola, Bologna

Prof.ssa Greta Nasi, direttrice del Master in Cyber-sicurezza congiunto di SDA Bocconi e Politecnico di Milano

Prof. Michele Colajanni, professore di Cyber-sicurezza presso l’Università di Bologna

Dott. Ing. Marco Brambilla, Azienda Ospedaliero Universitaria di Parma

Ing. Mario Lugli, AOU Policlinico di Modena

Ing. Francesco Pensalfini, Azienda Sanitaria Locale “Città di Torino”

Ing. Simona Viani, Azienda USL di Modena

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

F
Marco Foracchia
Azienda USL di Reggio Emilia IRCCS, Vicepresidente AISIS
Seguimi su

Argomenti

Canali

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

  • Intelligenza Artificiale

    Il futuro del lavoro con l'IA visto da LinkedIn: cifre e tendenze

    30 Nov 2023

    di Fabio Moioli

    Condividi

  • verso le europee

    Voto digitale: una soluzione contro l'astensionismo?

    31 Mag 2024

    di Riccardo Scarfato

    Condividi

  • strategie

    Computer quantistici: quale architettura software è in grado di sfruttarli al meglio

    19 Mar 2024

    di Vincenzo Calabrò

    Condividi

Prossimo

Il futuro del lavoro con l'IA visto da LinkedIn: cifre e tendenze

Articolo 1 di 4