Tutelare la Salute nell'insicurezza della Sanità
La Digital Innovation è arrivata negli Ospedali. La protezione e tutela della salute deve prendere in considerazione i rischi relativi alla Cybersecurity. Quali sono i rischi delle strutture sanitarie? Quali sono i rischi di noi cittadini?
In tutti gli ospedali i sistemi informativi sono diventati uno degli asset portanti, poiché concorrono direttamente ed indirettamente alla cura della salute dei pazienti. In che modo?
Sono proprio i sistemi informativi che supportano, con software e hardware, il personale delle strutture sanitarie nell’assistenza ai pazienti. I nostri ticket, le nostre cartelle cliniche, le nostre diagnosi, le nostre analisi e tanto altro ancora, oggi, sono tutti gestiti dai sistemi informativi. L’evoluzione tecnologica ha permesso di rendere sempre più efficiente ed efficace l’utilizzo degli apparati e macchinari medicali ed elettromedicali. Stiamo parlando di medical device collegati con la rete informatica o anche direttamente con Internet. Questa evoluzione digitale nel mondo sanità ha di fatto generato una maggiore efficienza ed efficacia ma, al tempo stesso, la pervasività e l’invadenza della Digital Innovation nei processi di gestione e di cura dei pazienti portano una serie di rischi. Stiamo parlando dei rischi informatici.
Partendo da questa premessa, è nato il primo gruppo di studio nazionale di Healthcare Cybersecurity che ha lo scopo di identificare i rischi e di definire i piani strategici per contrastare i cyberattack e di tutelare la sicurezza dei sistemi informativi nella sanità. Questo “gruppo di lavoro” di fatto si affianca alle leggi e disposizioni in essere, come la nuova privacy GDPR e le indicazioni previste dall’AGID, l’Agenzia per l’Italia Digitale. Per intenderci, l’attenzione è alta; esiste la consapevolezza delle Istituzioni e ci sono le leggi. Allora perché la Sanità è uno dei target maggiormente colpiti dai Cyberattack?
Il vero problema è che ogni singola struttura sanitaria, Azienda Ospedaliera o ASL è di fatto lasciata sola ad affrontare la gestione del Rischio di Data Breach, la protezione dei sistemi informativi e il contrasto al Cybercrime. A tutto questo dobbiamo anche includere due questioni di non poco conto: l’assegnazione del budget da un lato e dall’altro un problema di competenze e cultura.
Il Servizio Sanitario Nazionale e Tutela della salute
Nel dicembre 1978, con la legge n° 833, è nato il Servizio Sanitario Nazionale, un Ente pubblico che ha una serie di complessi e delicati compiti. Se da un lato, di fatto, governa le strutture e le funzioni sanitarie nazionali, dall’altro deve garantire le cure per il recupero e il mantenimento della salute fisica e psichica di tutti i cittadini. Questo obiettivo, la protezione e tutela della salute, deve essere conseguito attraverso l’adozione e l’attuazione di sistemi adeguati ed idonei, come indicato dall’art 32 della Costituzione. Il servizio è strutturato attraverso un programma sanitario, il Piano sanitario Nazionale, che definisce di fatto le linee di riferimento per il Piano sanitario Regionale.
L’attività “operativa” assistenziale viene delegata alle Aziende Ospedaliere e alle ASL. L’obiettivo, come indicato, è la tutela e protezione della salute del cittadino.
- Ma se un attacco di Criminal Hacker riuscisse a bloccare l’intero sistema informativo della struttura sanitaria?
- Ma se un attacco di Criminal Hacker riuscisse ad alterare i risultati delle apparecchiature medicali?
- Ma se un attacco di Criminal Hacker riuscisse a modificare o rubare i dati sanitari dei pazienti?
È proprio questo il punto. La tutela della salute del cittadino oggi passa anche nella capacità di poter gestire in sicurezza tutto l’impianto di attrezzature e sistemi.
È proprio questo il paradosso, dover scegliere tra la Tutela della Salute e Curare in Sicurezza, che comprende anche la Cybersecurity. Lo stesso Dan Coats, direttore della National Intelligence Americana, ha appena lanciato un "allarme rosso" relativo al Cybercrime, ipotizzando un 11 settembre di Cyberattack.
Non è una voce fuori dal coro. I dati degli ultimi mesi confermano questo scenario.
Healthcare Cybersecurity: Cybercrime 2018
Gli episodi eclatanti relativi a violazioni ed attacchi alle strutture sanitarie sono all’ordine del giorno.
Qualche giorno fa è stato attaccato Medevolve, un fornitore di software gestionali per medici e strutture sanitarie. Sono stati violati oltre 200.000 dati di pazienti.
Nei primi di luglio, Healthengine, un portale australiano di prenotazione sanitaria online, ha dichiarato che circa 59.000 dati di pazienti potrebbero essere stati violati.
Qualche settimana fa è stata l’Organizzazione Sanitaria Inglese ad essere vittima di un Data Breach, con circa 150.000 dati compromessi.
A metà giugno abbiamo i casi delle strutture Careparents (struttura canadese) e HealthEquity (struttura americana) che hanno subito una violazione dei dati.
A questi episodi, che sono pubblici, è doveroso segnalare un attacco continuativo e costante da parte di Orangeworm, un gruppo di Criminal Hacker che ha preso di mira proprio le strutture sanitarie. In questo caso i cyberattack sono condotti utilizzando Botnet con l’installazione di un virus (Trojan). Tra i dispositivi colpiti ci sono anche macchinari e apparati medicali, come i sistemi di radiografia.
Ma non finisce qui!
È stata identificata una vulnerabilità su un Cloud Data Base, Firebase, impiegato in diverse applicazioni utilizzate anche dal settore sanitario. Secondo Appthority si stima una violazione di circa 4 milioni di record sanitari.
Un ulteriore caso emblematico è relativo a specifici device medicali. A marzo 2018 è stato scoperto che una serie di macchinari di imaging medicale e radiografico aveva una vulnerabilità tale da permettere a un malintenzionato di poter prendere il pieno possesso e controllo (da remoto) dei sistemi.
Perché la sanità è un target e quali sono le minacce
Elenchiamo di seguito le principali motivazioni degli attacchi informatici al mondo Sanità:
- Cyberterrorismo
- Cyberwarfare
- Spionaggio industriale
- Furto dei Dati
- Device da "reclutare" in Botnet e/o da trasformare in mining per le criptovalute
- Storage di contenuti illegali
- Phishing, Spam, Spamvertize...
Purtroppo le minacce sono tante e diverse. Proviamo ad indicare le principali:
Attacchi Ransomware: Il ransomware è un cyber-attacco tramite “virus” che rende indisponibili i dati dei dispositivi infetti. La vittima spesso è costretta a pagare un riscatto per riprendere l’operatività.
Fattore Umano: L’errore umano è tra le principali cause di incidenti informatici.
Attacchi DDOS: Sono attacchi informatici che hanno lo scopo di saturare i sistemi target per renderli completamente indisponibili.
Internet of Thing: I sistemi IoT sono punti di accesso di interesse per il Cybercrime. Le modalità di attacco e le vulnerabilità sono molte, ma soprattutto le vulnerabilità sono note e completamente disponibili nel web.
Hardware Hacking: L'hardware hacking sta diventando un trend in crescita. Stiamo parlando delle vulnerabilità che hanno già colpito colossi come Intel e AMD. La stessa cosa sta accadendo anche su altri Hardware (immaginiamo i macchinari e dispositivi medicali).
Software Sicuri: Le scoperte di nuove vulnerabilità nei software sono all’ordine del giorno.
Sistemi e Piattaforme: Spesso una non corretta configurazione e disegno dell’architettura informatica sono un facile punto di accesso ai malintenzionati
L’HealthCare Cybersecurity: Il Paradosso
Gli studi e analisi dell’Healthcare Cybersecurity dell’ultimo anno e di questi primi mesi confermano l’evoluzione del rischio informatico a danno delle strutture sanitarie.
A parte una questione di “sicurezza”, dobbiamo anche considerare il danno economico. La struttura sanitaria che ha subito un Data Breach, ha un costo di “ripristino” pari a 380 dollari per singolo data record violato. Il Data Breach più “contenuto” tra quelli citati ha coinvolto circa 20.000 data record. In questo caso, il costo di ripristino dell’operatività ha un costo pari a 7,6 Milioni di dollari.
Considerando questo scenario e i relativi rischi, è abbastanza evidente che per garantire la Cura dei cittadini in Sicurezza è necessario dotarsi di una organizzazione, processi, competenze e tecnologie adeguate, senza dimenticare che il tutto diventa attuabile solo se avallato da una corretta cultura sulla sicurezza.
Il mio dubbio è come le singole strutture Ospedaliere possano garantire tutto questo. Una piccola ASL, è in grado di poter assicurare un livello di protezione e tutela cyber adeguata? Tutte le grandi aziende private hanno di fatto costruito control room centralizzate. Perché non è possibile ipotizzare una Control Room alla Wargame, il film degli anni 80', dedicato alla Sanità anche solo a livello regionale?
In un mondo interconnesso potremmo centralizzare la gestione della Cybersecurity in un unico centro garantendo competenza, tecnologia, abbattimento dei costi, efficienza, efficacia e soprattutto avremmo la corretta gestione e monitoraggio dei possibili rischi informatici.
Con un modello del genere, il personale sanitario potrebbe dedicarsi a fare quello che sa fare meglio: garantire la cura e tutela della salute con la consapevolezza che la sicurezza dei macchinari, dei dati e delle analisi è gestita con l’adeguata competenza.
Tutelare e proteggere la salute del cittadino passa anche dalla gestione del Healthcare Cybersecurity.