Il tema della sicurezza degli ambienti operativi (OT security) non è di sicuro un’esclusiva degli ecosistemi industriali, degli smart building o dei sistemi di distribuzione energetica. Va infatti incluso un settore healthcare che da sempre fa affidamento sui device medicali per supportare i percorsi di prevenzione e di cura dei pazienti, e che negli ultimi anni ha intrapreso con vigore (complice la pandemia) il percorso della digitalizzazione. Questa coinvolge sia l’ambito informativo e documentale, con il fascicolo sanitario elettronico, le cartelle cliniche digitali e molto altro, sia tutto l’universo operativo, laddove i sensori e sistemi IoT (o IoMT, per la precisione) abilitano casi d’uso evoluti come il telemonitoraggio da remoto e la telechirurgia.
OT security, una priorità per gli ospedali
Sotto questo specifico punto di vista, le strutture sanitarie tendono ad assomigliare agli ecosistemi industriali, con la differenza che in un ospedale possono essere presenti migliaia di device medicali, poiché nella definizione rientrano tutti gli strumenti di monitoraggio dei parametri vitali, i ventilatori polmonari, gli strumenti per le analisi di laboratorio o di imaging come la TAC o la risonanza magnetica. È quasi superfluo sottolineare quanto sia critico preservare la continuità di questi dispositivi, perché in gioco non c’è un ordine di produzione, ma la salute delle persone.
La distanza tra IT e OT e il ruolo dell’ingegneria clinica
Com’è noto, sicurezza IT e OT hanno sempre vissuto su universi paralleli: la prima è chiamata a tutelare la cosiddetta triade CIA (confidenzialità, integrità e disponibilità del dato), la seconda la triade SRP, composta da sicurezza, affidabilità e produttività degli ambienti operativi. Il termine sicurezza, declinato nel mondo healthcare, non è la cybersecurity ma è la salute del paziente.
Nell’universo sanitario, la tradizionale separazione IT/OT trova un riscontro nelle diverse professionalità coinvolte: se il primo comparto è sotto la responsabilità dei team di sicurezza IT, il secondo ricade nella sfera del clinical engineering, tra le cui mansioni vi è proprio la supervisione dei device medicali di strutture anche molto ampie e complesse. Data la storica distanza tra IT e OT, i team di ingegneria clinica si sono sempre concentrati sulla continuità operativa dei dispositivi, non avendo un mandato chiaro nell’ambito della sicurezza e, talvolta, le competenze specialistiche necessarie per occuparsene.
I tempi sono cambiati, ma ancora oggi in alcune strutture potrebbe non essere chiaro a chi competa la responsabilità della OT security, cosa che tende a separare ulteriormente i due mondi sotto il profilo organizzativo, mentre la diffusione di IoMT (Internet of Medical Things) spinge nel verso opposto e crea vulnerabilità molto insidiose. Qualche esempio? L’ingegneria clinica potrebbe affidare il monitoraggio dei device IoMT a un partner esterno passando dalla rete dell’ospedale senza che l’IT abbia il pieno controllo; l’IT, dal canto suo, potrebbe non avere idea di quanti e quali dispositivi medicali siano presenti in rete. E così si crea terreno fertile per svariate tecniche e tattiche di attacco.
IT security troppo prioritaria e le sfide del mondo OT
La convergenza IT/OT porterà un giorno ad avere un solo paradigma di cybersecurity, ma a giudicare dalle informazioni più recenti a disposizione, l’obiettivo parrebbe ancora lontano.
Negli ultimi anni si è diffusa molto la consapevolezza dei rischi e della necessità di proteggere gli ambienti operativi ospedalieri. Tuttavia, una ricerca del 2021 dell’Healthcare Information and Management Systems Society (HIMSS) fece notare l’assenza di budget dedicato alla OT security nel 77% delle strutture sanitarie. Curiosamente, anche laddove disponibile, questo budget era sempre inferiore a quello della sicurezza IT. Nessuno intende sottovalutare tematiche come la tutela della privacy e l’integrità dei dati sanitari, ma occorre senza dubbio creare un miglior bilanciamento, che come si è visto dipende anche da tematiche culturali e organizzative.
È peraltro vero che IT e OT security hanno importanti elementi di differenziazione anche sotto il profilo tecnico, e per questo i team che si occupano di sicurezza operativa non hanno a disposizione quell’ecosistema di tool e di soluzioni che compone la cybersecurity moderna. Ad esempio, il concetto di active monitoring non è applicabile alla maggior parte dei device OT per limiti riconducibili ai sistemi operativi, alla potenza di calcolo e ai protocolli usati; gli esperti in sicurezza operativa sopperiscono con tecniche di fingerprinting, ovvero con l’introduzione di sonde all’interno delle reti OT e l’utilizzo di metodologie di monitoring passivo che, per definizione, non interagisce direttamente con il device. E poi c’è il tema più importante, ovvero quello delle competenze e dell’expertise, che è ancora diverso tra i due comparti, soprattutto nell’ambito della mitigazione del rischio e della remediation.
Come approcciare la sicurezza dei dispositivi medicali
La sicurezza degli ambienti OT ospedalieri (IoMT) passa attraverso una serie di elementi che devono operare sinergicamente per garantire alti livelli di prevenzione e di risposta alle minacce.
Oltre ad una serie di tecniche preventive consolidate, come la micro-segmentazione delle reti, gli aggiornamenti regolari lato software e firmware (laddove possibile) e la security awareness per gli operatori della struttura, la sicurezza OT passa dai concetti di visibilità e di monitoraggio. La visibilità di per sé non è scontata, poiché in questo caso si tratta di gestire ecosistemi con centinaia o migliaia di dispositivi di vendor diversi, di età differenti e tecnologie eterogenee integrate all’interno del network della struttura. Un’attività di device inventory, tutt’altro che banale, risulta quindi consigliata per identificare (discovery) e gestire da un ambiente centralizzato i molteplici device presenti nel network, ma anche per supportare il monitoring degli stessi, un task per nulla agevole per via dell’eterogeneità di cui si è detto.
Anche in condizioni di grande complessità, una buona visibilità e un monitoraggio continuo da parte di professionisti dedicati aiuta a rilevare proattivamente le vulnerabilità e, soprattutto, a valutare rapidamente gli eventi di sicurezza, che se non gestiti tramite procedure e azioni dedicate, possono portare a downtime dalle conseguenze disastrose. La buona notizia è che le tecnologie esistono e le competenze anche; ciò che va fatto con una certa rapidità, piuttosto, è accelerare la trasformazione culturale e organizzativa sottostante.
