In Italia il settore dell’assistenza sanitaria è ormai bersaglio crescente e persistente di attacchi informatici. Nel 2023, nel nostro paese, gli attacchi cyber indirizzati verso queste organizzazioni, e andati a segno, sono quasi raddoppiati. Il trend è evidenziato dai dati dell’Hackmanac Global Cyber Attacks Report 2024, citati nel Rapporto Clusit 2024. Le tecniche di attacco includono malware, phishing, social engineering, attacchi web. Ospedali e aziende sanitarie italiane sono stati più volte oggetto di attacchi e incidenti di gravità elevata, in cui sono stati esfiltrati file contenenti dati sanitari e amministrativi dei pazienti, minacciando non solo la privacy delle persone, ma anche la continuità operativa delle strutture di cura, e la sicurezza dei differenti dispositivi medicali. Il mondo sanitario, indica il Rapporto Clusit, sta comunque attuando una trasformazione digitale che, attraverso l’adozione di tecnologie evolute, punta a migliorare la qualità delle cure e l’efficienza operativa.
Crescenti esigenze di sicurezza in ambito medico-sanitario
Nello scenario di trasformazione digitale e potenziamento della resilienza e sicurezza delle varie strutture sanitarie italiane si colloca anche il progetto di rafforzamento della cybersecurity dell’infrastruttura informatica realizzato dall’Azienda Ospedaliera di Rilievo Nazionale (AORN) Santobono Pausilipon di Napoli, che rappresenta uno dei principali poli nazionali di riferimento nell’assistenza pediatrica.
Come spiega Gennaro Sirico, responsabile IT AORN Santobono Pausilipon, inizialmente l’infrastruttura era costituita da un server per la creazione e gestione delle buste paga dei dipendenti, e da una rete cablata, formata da un insieme di reti, e controllata da apparati di networking obsoleti.
Ormai oltre una decina d’anni fa tale infrastruttura è stata progressivamente ammodernata: i vecchi dispositivi sono stati sostituiti con switch Cisco, ed è stata utilizzata una MAN (Metropolitan Area Network) esistente, per creare un’unica rete digitalizzata su cui è stato fatto confluire tutto il traffico. L’infrastruttura è stata potenziata con la realizzazione di un sistema di comunicazione unificata, la graduale digitalizzazione dei servizi, l’implementazione della telefonia IP e la connessione verso l’esterno con Internet.
Misure NIS2 ottemperate al 90%
“Man mano che questa infrastruttura si sviluppava” racconta Sirico “abbiamo dovuto cominciare a predisporre i vari meccanismi di sicurezza, partendo da firewall e antivirus. Poi, anche in ragione delle crescenti necessità di sicurezza in ambito medico-sanitario, abbiamo adottato ulteriori soluzioni”.
Il sistema di cybersecurity vero e proprio, spiega, è stato implementato nel 2023, cogliendo l’occasione giunta con la pubblicazione del decreto della Regione Campania, che ha consentito di finanziare il progetto. “Il progetto di cybersecurity per l’infrastruttura IT dell’ospedale ha richiesto circa quattro milioni di euro, ed ha permesso di estendere le funzionalità esistenti, con l’obiettivo di rispondere ai dettami e requisiti della direttiva NIS2. Oggi, allo stato attuale di implementazione dei servizi, possiamo dire di aver ottemperato quasi al 90% alle misure previste dalla NIS2” aggiunge Sirico.
Tra i vari problemi di sicurezza informatica, l’ospedale, adottando una particolare soluzione Cisco, è anche riuscito a mitigare le minacce derivanti dall’ancora diffusa presenza di dispositivi di archiviazione esterni, come drive e chiavette USB. Tali dispositivi sono infatti spesso utilizzati per memorizzare e trasferire file, immagini radiologiche e referti relativi a esami a cui i pazienti sono stati sottoposti da organizzazioni sanitarie e laboratori esterni. Installando al proprio interno la soluzione Cisco Secure Endpoint, e impostando una specifica policy per l’uso di tali file in sola lettura, e il blocco di file eseguibili, l’ospedale è riuscito a limitare la proliferazione del malware e delle minacce informatiche provenienti da questo tipo di fonti.
Apparecchi elettromedicali: protetti con il “virtual patching”
“L’Ospedale Santobono Pausilipon” precisa Graziano Leuzzi, account manager di Cisco per la pubblica amministrazione “ha acquisito l’intera suite di prodotti di cybersecurity di Cisco, che include sistemi di firewalling, multifactor authentication, network access control, nonché soluzioni di incident response, supportate dagli specialisti di intelligence sulla cybersecurity di Cisco Talos.
Nella suite vi sono poi anche soluzioni più verticali, come quelle di virtual patching, che rispondono a esigenze oggi molto sentite nell’ambito della sanità, soprattutto quando si tratta di gestire apparecchi elettromedicali, ad esempio, sistemi radiografici e apparecchiature per la tomografia assiale computerizzata”.
Il software embedded che controlla queste delicate attrezzature può infatti contenere vulnerabilità che, se non adeguatamente risolte, possono essere sfruttate da un attacco cyber, mettendo in pericolo non solo la protezione dei dati, ma anche l’incolumità dei pazienti. Il problema è che, applicando patch di sicurezza e aggiornando il software di tali apparecchi, l’organizzazione IT dell’ospedale rischia di invalidare la garanzia del fornitore, che di norma gestisce la manutenzione dell’attrezzatura elettromedicale.
“Per ovviare a tale inconveniente, ed evitare di eseguire aggiornamenti software sugli apparecchi elettromedicali, l’Ospedale Santobono Pausilipon ha adottato una soluzione basata su tecnologia IPS (Intrusion Prevention System, ndr) e su appliance installate nella rete, a monte del dispositivo medicale, in grado di intercettare il traffico malevolo, le minacce note, e di mitigare o bloccare l’attacco cyber” conclude Leuzzi.
Correlazione di eventi per potenziare la difesa
Quali risultati sta dando il progetto? “L’infrastruttura di cybersecurity già utilizzava sistemi di content filtering e antivirus” spiega Andrea Russo, system engineer all’Ospedale Santobono Pausilipon. “Tuttavia, dopo l’integrazione dei servizi Cisco Umbrella, da qualche mese stiamo riscontrando che alcuni tipi di traffico, che prima entrava nella rete, ora vengono bloccati. Il vero punto di forza di questo progetto è comunque la tecnologia XDR di Cisco, che consente alla nostra organizzazione IT di ottenere visibilità su tutti gli eventi di rete rilevati dai vari tool di sicurezza, e di correlare gli eventi stessi, per comprendere subito dove c’è una vulnerabilità, dove nasce un rischio, un attacco, semplificando notevolmente l’attività di analisi e il controllo dei sistemi” conclude Russo.