Chiunque si trovi a custodire dati clinici, o comunque monetizzabili, dovrebbe porsi il problema di come proteggerli e proteggersi da attacchi informatici. A maggior ragione se si è un’organizzazione operativa in un contesto in cui ogni minimo “scudo etico” si è già da tempo sgretolato. È questo il caso di EMERGENCY che ha scelto di rafforzare la propria strategia di endpoint security con l’apporto di VMware. Una decisione consapevole, anche alla luce di una generale crescita di attacchi cyber da parte di criminali sempre più precisi nel mirare gli endpoint.
Più tecnologici e smart, più esposti a rischi cyber
Organizzazione di media struttura e di forte impronta italiana, EMERGENCY è nata e ora nota a tutti per la costruzione di ospedali di guerra. Tradotti in termini di sicurezza, sono endpoint da gestire in ambienti complessi. Non sono i soli, visto che si sono aggiunti anche due ospedali di eccellenza: dal 2007 quello di cardiochirurgia, in Sudan, e dal 2021 quello di chirurgia pediatrica in Uganda. Due strutture di massima efficienza e qualità che hanno introdotto un nuovo concetto di cartella clinica. I loro pazienti, infatti, restano tali (gratuitamente) tutta la vita e diventa quindi necessario conservare e condividere efficacemente i loro dati con tutti team coinvolti nel protocollo di cura.
Una piccola rivoluzione informatica che, per EMERGENCY, ha segnato l’inizio di una forte dipendenza dalla tecnologia, in continua crescita. Oggi è a tutti gli effetti una componente fondamentale di ogni sua struttura medica: in caso di attacchi IT e di blocchi, i danni sarebbero incalcolabili, soprattutto in vite umane.
A questa consapevolezza si è unita una forzata e repentina apertura all’esterno causa pandemia (leggasi smart working) nello spingere l’organizzazione a metter mano alla propria strategia di sicurezza. Non per aggiustarla, ma per cambiare il paradigma alla base. La principale esigenza era quella di irrobustire le difese degli endpoint, vista anche la natura complessa e inevitabilmente variegata degli stessi, trattandosi di una organizzazione attiva in Paesi “dove la tecnologia non è la priorità e la connettività è un grosso problema. Anche quando si paga per averla buona, non è molto efficace” spiega Rolando Bricchi, direttore IT di EMERGENCY. È sempre lui a descrivere il quadro di partenza e le condizioni al contorno: una situazione caratterizzata da una forte presenza di strutture on premise in loco, strutturalmente inevitabile, e una migrazione in cloud in corso solo per la sede di Milano.
Endpoint e backup al centro della nuova strategia EMERGENCY
“Affrontando una modernizzazione anche in ottica GDPR, abbiamo scelto di spingere verso nuovi paradigmi, individuando subito due precise aree intervento: backup e protezione degli endpoint. Da subito ci siano mossi per impermeabilizzare le informazioni salvate, in caso di infiltrazioni o esfiltrazioni, creandone una copia protetta con determinate caratteristiche. Per gli endpoint, principali elementi di rischio per noi, abbiamo cercato un XDR, optando per la soluzione Carbon Black Endpoint di VMware. Siamo passati dal concetto di firma a quello di azioni compiute dall’utente” spiega Bricchi.
Al netto di alcune sessioni con gli specialisti di VMware, il deployment della soluzione è stato effettuato integralmente dagli stessi responsabili di EMERGENCY . “Avevamo da gestire oltre 700 endpoint sparsi nel mondo. Trovare la modalità più corretta per farlo è stata la sfida più importante. Il principale scoglio contro cui ci siamo scontrati è stato il set up che richiedeva di far collegare uno per uno ogni singolo endpoint tramite link VPN, per poi lanciare la sincronizzazione. Un iter complesso che, col tempo, siamo riusciti a modificare, anche per affrontare più efficacemente la fase di aggiornamento degli stessi. Abbiamo cambiato paradigma, introducendo il cloud” racconta Bricchi.
Un grattacapo, risolvibile, per il team IT, ma nessun grattacapo per gli utenti che, a suo dire, non hanno percepito alcun impatto con l’inserimento della soluzione VMware. Ciò significa dipendenti, volontari e collaboratori più sereni e protetti ma anche un team sicurezza meno “bombardato” da falsi allarmi. Questa soluzione “trasparente” ha tranquillizzato EMERGENCY anche dal punto di vista della connettività. Carbon Black Endpoint resta infatti una protezione continua e ritorni immediati perfino in presenza di ponti radio e connessioni satellitari non sempre attive e con latenza importante.
Il caso EMERGENCY rassicura le Utilities
Una volta collegati tutti gli endpoint, una nuova sfida attendeva il team IT di EMERGENCY, trovatosi di fronte ad un improvviso “eccesso di visibilità” e di segnalazioni. Una situazione da gestire intraprendendo una meticolosa opera di fine tuning per raggiungere il livello di allerta ottimale.
“Con tutti gli endpoint collegati e le nuove informazioni in nostro possesso, abbiamo stabilito le varie classi di utenti e di servizi, distribuendo con criterio i diversi permessi. In pochi mesi, il numero di alert è diventato ragionevole” racconta Bricchi. L’obiettivo di una soluzione come Carbon Black Endpoint, infatti, come spiega Rodolfo Rotondo, Business Solutions Strategy Director EMEA di VMware, è quello di “minimizzare i rischi, concentrandosi però sul buon funzionamento dei processi e delle attività. Ciò significa ricevere solo gli allarmi utili, evitando quelli che non sono produttivi, nemmeno in vista dell’inserimento di un SOC”.
È proprio questo, tra l’altro, il passo che sta compiendo EMERGENCY nella sua strategia di security post-Carbon Black. “Stiamo introducendo un SOC, con un provider italiano, per poi legarlo alla soluzione VMware e ottenere una visione ancora più ampia della situazione. Miriamo a gestire la security in forma di aggregazione” spiega Bricchi.
Raccontando dell’evoluzione compiuta e del percorso verso una protezione ottimale intrapreso, EMERGENCY dimostra che “si può fare” non solo al terzo settore ma anche a molti altri. La “sua” peculiarità di avere endpoint molto esposti, sparsi e a rischio, non è solo sua, infatti. Il pensiero di Rotondo, va soprattutto “ai sistemi di produzione o di estrazione energia e alle attività upstream. Hanno sedi remote in luoghi anche pericolosi e non ben connessi. La loro situazione è assimilabile a quella di EMERGENCY, lato postura di sicurezza, come anche quella di chi effettua controlli lungo il percorso di distribuzione dell’energia. Sono contesti complessi in cui è necessario, e più che mai prezioso, adottare un approccio alla sicurezza a 360 gradi e zero trust. È l’unico modo per trasformare ogni punto di vulnerabilità in un punto di controllo”.
