89%
delle organizzazioni sanitarie ha subito un data breach negli ultimi 2 anni - Mckinsey
Negli ultimi anni il mondo della sanità pubblica e privata è stato teatro di numerosi cyber-attacchi gravi con finalità di cybercrime e furto di dati personali dei pazienti.
Il GDPR da un lato ha permesso di sensibilizzare molto il settore healthcare sulla necessità – e l’obbligo – di proteggere le informazioni di pazienti e personale sanitario ma, dall’altra parte, ha reso il patrimonio informativo ancora più appetibile per i professionisti del cybercrime. Infatti, più un dato viene protetto ed è soggetto a normative e potenziali sanzioni, più diventa prezioso per gli hacker che vedono proprio nelle sanzioni una grandissima leva da sfruttare a fini ricattatori, per poterne ricavare un guadagno illecito.
Il primo passo per difendere il proprio patrimonio di dati e informazioni dai cyber attacchi è sapere quali sono gli specifici mix di minacce cui è esposta la tipologia di azienda o ente cui si appartiene.
La comprensione delle maggiori minacce e delle vulnerabilità proprie del mondo della sanità, rappresentata dall’Healthcare Cyber Risk Matrix (HCRM), è quindi una guida fondamentale per i responsabili della sicurezza e della compliance per definire gli indirizzi di investimento prioritari e determinare le contromisure più idonee a ridimensionare i rischi rilevati.
Una guida per i CIO e i responsabili della sicurezza: la Healthcare Cyber Risk Matrix
La matrice di sintesi riportata fornisce indicazioni preziose ai responsabili della sicurezza del settore sanitario sulle misure difensive da adottare, bisogna però considerare che, oltre a quanto evidenziato sopra, esistono alcuni temi che devono essere presi in debita considerazione e che, in ambito sanitario, possono avere dei risvolti ad alto impatto. Il riferimento è agli altissimi livelli di disponibilità che è necessario garantire ai dati medici, ai servizi, alle infrastrutture IT e ai dispositivi biomedicali.
Una struttura sanitaria non può assolutamente permettersi la minima indisponibilità di apparecchiature ed informazioni che possono essere fondamentali per la tutela della vita delle persone.
Per questo motivo, a tutte le misure utili a ridimensionare la probabilità di accadimento dei maggiori incidenti di cybersecurity evidenziate nella HCRM sopra, sarà necessario aggiungere tutte le contromisure volte a garantire altissimi livelli di disponibilità di dati ed infrastrutture tecnologiche.
Disponibilità massima di dati e sistemi sanitari e garanzia di sicurezza degli stessi devono sempre coesistere.
Healthcare Digital Transformation: Cybersecurity per la tutela del paziente e dei dati
Il settore healthcare è caratterizzato da alcune peculiarità che hanno dei risvolti importanti sulla cybersecurity e sui modi in cui deve essere approcciata, con l’implicazione di vincoli di cui è necessario tenere conto.
Processi e sistemi IT : interdipendenza e frammentarietà dello scenario
Occorre innanzitutto considerare che il numero, la varietà e l’interdipendenza dei diversi processi di business, ovvero dei processi a tutela della salute del paziente è molto vasta ed esprime una complessità interna enorme. L’adozione di soluzioni IT a supporto di tali processi non è stata uniforme e pianificata ma ha avuto evoluzioni diverse, spesso indipendenti e non condivise, a partire dai reparti intrinsecamente più tecnologici (come ad esempio la radiologia) e via via a ricoprire tutte le diverse funzioni.
Negli ultimi quindici anni la digitalizzazione e in generale l’adozione di soluzioni IT ha avuto una fortissima accelerazione avendo come obiettivo sia la razionalizzazione ed integrazione dell’esistente sia la copertura di nuovi processi. Tenuto conto della diversità e difformità di partenza, della mancanza di un coordinamento a livello nazionale e talvolta regionale, il risultato è mediamente un sistema informativo estremamente articolato, diversificato e stratificato sulle diverse linee evolutive.
Data la fortissima interdipendenza fra applicativi e processi, tenuto conto della numerosità e della tipologia degli utenti, risulta estremamente costoso, in termini organizzativi e formativi, sostituire un applicativo. La conseguenza principale è una forte presenza di soluzioni legacy, progettate e sviluppate con metodologie, framework e tecnologie talvolta obsolete e in un contesto ove la sicurezza non era uno dei requisiti principali. Si è oggi in presenza di un ecosistema applicativo informativo complesso e frammentato, con soluzioni integrate fra loro con le più diverse tecnologie e metodologie, talvolta anche scarsamente documentate. Ne consegue che la vulnerabilità di un singolo applicativo spesso si riflette sull’intero sistema e risulta molto complessa anche un’analisi di tipo what-if.
Correlazione tra applicativi e processi
I processi aziendali e la loro efficienza dipendono sempre più dalle soluzioni IT implementate e l’aspettativa di un servizio sempre disponibile è sempre più alta.
Compliance e leggi a tutela della privacy nell’healthcare
Cultura della sicurezza
Per il personale sanitario, naturalmente incentrato sul paziente e sul processo di cura, è fondamentale un percorso di sensibilizzazione e formazione sulle tematiche di sicurezza.
A livello normativo il mondo healthcare è impattato in modo pervasivo dalle leggi a tutela della privacy e da alcune direttive sulla cybersecurity (ad esempio la Direttiva 2016/1148 sulla sicurezza delle reti e dei sistemi informativi, meglio nota come Direttiva NIS). La compliance normativa è molto importante e ai contenziosi legati ad errori, o presunti tali, nei processi di cura, si potrebbero aggiungere quelli derivanti dalle violazioni dei diritti tutelati dalla normativa sulla protezione dei dati personali.
Continuità operativa H24 del servizio ospedaliero
Una struttura ospedaliera è caratterizzata dalla necessità di operare in continuità di servizio: non esistono finestre manutentive. Di conseguenza l’aggiornamento e il patching di sistemi e applicativi risultano essere complessi da realizzare, tenuto anche conto delle architetture spesso obsolete che non consentono di aggiornare i sistemi senza interrompere i servizi. Non è quindi inusuale avere un numero elevato di sistemi soggetti a vulnerabilità note anche da tempo e per le quali sono state rilasciate le relative patch ma che per le motivazioni di cui sopra non sono mai state applicate.
Necessità di allineare attenzione alla sicurezza ed efficienza della prestazione sanitaria
Da un punto di vista di dotazioni tecnologiche si è in presenza di apparati che storicamente hanno avuto come focus la ricerca della prestazione in termini diagnostici o di supporto alla diagnosi, trascurando quasi completamente gli aspetti di security. Ecco quindi che apparati estremamente sofisticati da un punto di vista biomedicale possono utilizzare sistemi operativi obsoleti e non più supportati. La situazione è ancor più gravata dal fatto che su tali apparati richiedono certificazioni che potrebbero essere compromesse qualora si cercasse di installare a posteriori, su tali sistemi operativi, soluzioni di sicurezza.
Device medicali usati in mobilità: focus su sicurezza e safety del paziente
Legislazione sui Device Medicali
Con i regolamenti 745/2017 e 746/2017, operativi a maggio 2020, la Comunità Europea ha posto l’attenzione sulla cybersecurity, ponendo vincoli per i dispositivi immessi sul mercato UE
La criticità degli elettromedicali è oggi accentuata sia da un processo di miniaturizzazione che dal sempre maggior utilizzo di tecnologie wireless. Se da un lato questo consente la produzione di apparati che possono essere utilizzati in mobilità con grandi benefici sia per il personale addetto che per i pazienti, d’altro canto pongono problemi di sicurezza sempre maggiori. Inoltre, per garantire la continuità operativa delle proprie soluzioni, le case produttrici spesso offrono un servizio di monitoraggio da remoto che tuttavia richiede l’apertura di connessioni VPN, talvolta realizzate con apparati proprietari, che risultano complesse da gestire e monitorare. Tali connessioni, in alcuni casi, sono anche un prerequisito indispensabile per poter usufruire dell’assistenza sugli apparati stessi.
Nel valutare gli aspetti di security relativamente agli elettromedicali va tenuto conto che tali apparati non hanno solo un uso diagnostico ma sempre più spesso sono anche di supporto alle terapie e alle cure. Basti pensare all’uso della robotica nella chirurgia di precisione, alla radioterapia o agli ultimi ritrovati che combinando tecnologie diverse quali risonanza magnetica e ultrasuoni sono in grado di rimuovere cellule del cervello danneggiate. Poiché tali dispositivi intervengono direttamente sul paziente il problema non è più solo di security ma anche di safety: una loro compromissione può avere effetti anche gravissimi.
A tutela di entrambe si è mossa la Comunità Europea con leggi principalmente rivolte ai produttori di device medicali, ma la sicurezza, per essere efficace, deve basarsi su un modello di responsabilità condiviso, è quindi fondamentale garantire che l’infrastruttura IT in cui i dispositivi medicali vengono installati, soddisfi i requisiti di sicurezza condivisi.
“I produttori devono stabilire i requisiti minimi relativi all'hardware, alle caratteristiche delle reti IT e alle misure di sicurezza IT, inclusa la protezione contro l'accesso non autorizzato, necessari per eseguire il software come previsto”. – Annex I, punto 17,4
Perché affidarsi a un partner con un approccio security end-to-end
Multidisciplinarietà per la qualità dei servizi e la compliance
Il connubio tra competenze tecniche e legali è la sine qua non per garantire prestazioni sicure e rispetto delle normative.
La complessità crescente dell’infrastruttura IT e delle applicazioni, in un contesto sempre più hybrid Cloud, ha spinto, e sta spingendo, verso una loro esternalizzazione, parziale o totale. Questo processo pone infatti sfide nuove e richiede competenze diverse sempre più caratterizzate da aspetti di natura giuridico-legale.
L’informatizzazione e la complessità dei sistemi informativi, non sempre è andata di pari passo con la dotazione organica, in particolare nel settore pubblico. Come conseguenza i sistemi informativi si sono trovati talvolta a dover inseguire l’evoluzione tecnologica, lavorando più sull’emergenza che sulla pianificazione. I processi IT non hanno quindi sempre avuto modo di evolvere nel modo opportuno e possono in alcuni casi risultare inadeguati a gestire tematiche quali l’incident management e il change management che sono alla base di una corretta gestione della cybersecurity.
Lutech adotta un approccio olistico alla cybersecurity e alla compliance nel mondo della sanità, per costruire una strategia pragmatica e sostenibile dei cyber-risk, tenendo conto di:
- L’analisi dei trend delle minacce, per determinare gli scenari più probabili di attacco
- La puntuale comprensione dei processi e degli elementi di complessità propri dell’healthcare , per individuare le conseguenze di un attacco e i possibili impatti
CyberRisk=f (Probabilità, Impatto)
Lutech, nel definire una strategia concreta con relativi piani di intervento per i clienti del mondo sanitario, raccoglie, considera e raffronta tutte le informazioni disponibili relative ai cyber-risk al fine di identificare ed ottimizzare gli investimenti più opportuni.
Per ottimizzare gli investimenti più opportuni di ognuno dei propri Clienti Lutech analizza, verifica, progetta, implementa e gestisce le soluzioni individuate come le migliori a garanzia della sicurezza e della continuità operativa della struttura sanitaria.
Security end-to-end con Lutech
Seguiamo il cliente in ogni fase: dall’advisory, all’implementazione delle soluzioni proposte, al supporto nella gestione operativa, grazie ai Managed Security Services offerti dal Next Generation Security Operations Center (NG-SOC) di Lutech.
Cybersecurity Advisory services di Lutech
Fondamentale fattore di successo è rappresentato dagli Advisory Services di Lutech e dal relativo portafoglio di servizi professionali che risponde alle esigenze proprie del mondo healthcare. È necessario infatti indirizzare esigenze sia più tradizionali e specifiche legate a temi di ambienti legacy, di multistrati tecnologici o di silos architetturali propri degli ambienti bio/elettro-medicali e sia quelle afferenti ai nuovi paradigmi multicloud, IoT o, ancora, all’applicazione di Intelligenza Artificiale e Machine Learning.
Nel complesso i servizi Advisory consentono di ottenere una visione olistica dell’azienda o dell’ente sanitario, partendo dai requisiti di business (Fornitura di servizi di qualità ai pazienti) fino ad ottenere la giusta declinazione – realizzata “su misura” – di idonee soluzioni organizzative, procedurali e tecnologiche, seguendo fasi e modalità definite e condivise con il Cliente.
Grazie per il tuo interesse
Abbiamo ricevuto la tua richiesta di contatto, ti contatteremo a breve per approfondire le tue esigenze di business.