Sanità e sicurezza informatica: intervista a Pascal Lamia, Responsabile della sicurezza informatica operativa dell’UFCS

Signor Lamia, come descriverebbe l’attuale situazione della sicurezza informatica nel settore sanitario svizzero?

La maggior parte degli attacchi informatici è ancora condotta a pioggia, ossia non in modo mirato ma con invii di massa. Ad esempio, e-mail con allegati dannosi vengono inviate a centinaia di migliaia di potenziali vittime. Di conseguenza, in linea generale il settore sanitario non è più o meno a rischio di altri ambiti.

L’UFCS vede una sfida particolare per il settore sanitario nel fatto che spesso i dispositivi medici possono essere modificati solo con il consenso del produttore. Ciò significa che, in casi estremi, i dispositivi medici possono non soddisfare gli standard di sicurezza più recenti e funzionare con sistemi operativi che hanno raggiunto lo stato di «End of Life», ovvero non ricevono più aggiornamenti dai produttori del sistema operativo. In alcune circostanze, quindi, le falle di sicurezza possono non essere colmate e di conseguenza possono essere sfruttate per attacchi.

I dati sanitari sono molto sensibili e pertanto richiedono una protezione particolare. D’altra parte, il settore sanitario è sottoposto a una forte pressione in termini di tempo. È necessario trovare un buon equilibrio tra progresso digitale, praticità e sicurezza informatica

Quali sono rischi e vulnerabilità specifici in relazione alla sicurezza informatica nel settore sanitario?

Il settore sanitario, come tutti gli altri settori, è esposto a tutte le potenziali forme di attacco informatico, nelle quali rientrano in particolare gli attacchi DDoS (Distributed Denial of Service).

Gli attacchi DDoS agli studi medici, agli ospedali e ad altre strutture sanitarie potrebbero far sì che i sistemi connessi a Internet siano talmente sovraccaricati dalle numerose richieste da non essere più accessibili. Di conseguenza, il check-in online per i pazienti potrebbe non funzionare, ad esempio, oppure potrebbe non essere più possibile prenotare online un appuntamento presso uno studio medico. Tuttavia, gli attacchi DDoS complessi possono anche paralizzare intere reti, con gravi conseguenze per il funzionamento di un ospedale.

«Gli attacchi DDoS agli studi medici, agli ospedali e ad altre strutture sanitarie potrebbero far sì che i sistemi connessi a Internet siano talmente sovraccaricati dalle numerose richieste da non essere più accessibili.»

Un’altra forma nota di attacco informatico è quella che utilizza software di crittografia, il cosiddetto attacco ransomware. Mentre gli attacchi DDoS sono solitamente motivati da ragioni politiche, gli attacchi ransomware sono sempre finalizzati al guadagno finanziario. In una prima fase, gli hacker copiano quanti più dati possibile dal sistema di destinazione. Tali dati vengono quindi crittografati sul sistema di destinazione. Segue la prima richiesta di pagamento di un riscatto per poter decrittografare nuovamente i dati. Chi non si adegua a questa richiesta rischia di essere ricontattato dai criminali informatici con una richiesta di riscatto. In assenza di risposta, i dati precedentemente copiati vengono pubblicati nel dark web. In particolare nel settore sanitario, dove vengono gestite quotidianamente grandi quantità di dati sensibili, una fuga di dati di questo tipo può avere conseguenze drammatiche. Il danno reputazionale associato alla pubblicazione di questi dati sensibili è quasi irreparabile. In passato, anche aziende di altri settori hanno dovuto dichiarare bancarotta a causa di attacchi ransomware.

In che misura gli attacchi informatici possono influire sulla sicurezza del paziente e sul funzionamento delle strutture sanitarie?

La sicurezza del paziente è particolarmente a rischio quando vengono compromessi dispositivi medici vitali o non è più possibile accedere ai dati. Ad esempio, quando non si sa quali interventi chirurgici siano in programma o quale sia il dosaggio dei medicamenti da somministrare ai pazienti. Si rimane, per così dire, impotenti e non si è più in grado di agire.

Proprio per questo, oltre ad adottare misure di protezione di base, è importante mantenere aggiornati tutti i dispositivi medici e separarli rigorosamente dal resto dell’infrastruttura informatica.

Maggiore è la digitalizzazione di un’azienda o di un intero settore, più è vasta l’area di attacco. Alla luce di ciò, ha senso digitalizzare ulteriori ambiti del settore sanitario?

La progressiva digitalizzazione pone sfide importanti per tutti i settori ma è inarrestabile. È quindi importante che la sicurezza informatica sia sempre inclusa nella digitalizzazione, che le persone coinvolte nella digitalizzazione siano consapevoli dei rischi potenziali e che la Direzione fornisca le risorse per ridurre tali rischi. In particolare, si tratta di investimenti in personale specializzato, infrastrutture informatiche e acquisto di servizi esterni come la gestione di un SOC (Security Operations Centre) ecc.

Quali metodi comprovati e misure di protezione raccomanda alle istituzioni operanti in campo sanitario per proteggersi dagli attacchi informatici?

La sicurezza informatica consiste sempre in un mix di misure tecniche e organizzative.

Molti attacchi informatici non prendono inizialmente di mira l’infrastruttura tecnica ma piuttosto le persone che vi lavorano. La sensibilizzazione del personale è quindi di fondamentale importanza. L’UFCS ha scoperto che la sensibilizzazione continua è particolarmente efficace: ad esempio, è più efficace affrontare un argomento informatico per mezz’ora una volta al mese durante una riunione interna, piuttosto che formare tutto il personale sui rischi informatici in un solo giorno una volta all’anno.

Le misure tecniche comprendono le consuete precauzioni come firewall, protezione antivirus, aggiornamenti e backup. I sistemi particolarmente critici devono essere ben protetti e, se possibile, separati dal resto dell’infrastruttura informatica.

«L’UFCS ha scoperto che la sensibilizzazione continua è particolarmente efficace: ad esempio, è più efficace affrontare un argomento informatico per mezz’ora una volta al mese durante una riunione interna, piuttosto che formare tutto il personale sui rischi informatici in un solo giorno una volta all’anno.»

Anche la gestione degli utenti è molto importante: i cosiddetti modelli di ruolo definiscono chi ha accesso a determinate applicazioni e se queste persone necessitano o meno dei diritti di amministratore. In una clinica universitaria, ad esempio, non dovrebbe essere necessario che il medico capo abbia accesso all’applicazione utilizzata per il servizio di ristorazione dei pazienti.

Un’ulteriore misura organizzativa è il Business Continuity Management (BCM), un piano di emergenza che definisce come continuare a lavorare se la struttura informatica non è disponibile per un certo periodo di tempo. Il concetto di comunicazione in stato di crisi determina se e in quale forma l’azienda colpita debba informare di essere stata vittima di un attacco informatico. Inoltre, specifica chi è responsabile di queste informazioni, ad esempio il reparto di comunicazione o il Consiglio di amministrazione. Un’altra questione importante da chiarire è quella del canale di comunicazione. L’esperienza ha dimostrato che, dopo un attacco informatico, il sito web, l’e-mail, la telefonia via Internet ecc. non funzionano per diversi giorni. Pertanto, è necessario stabilire un canale alternativo attraverso il quale le persone più importanti possano essere informate dell’attacco informatico, ad esempio Threema, Signal o altri canali di comunicazione.

Esistono anche modi per porre fine alla corsa agli armamenti tra criminali informatici e reparti IT?

I criminali informatici sono costantemente alla ricerca dei cosiddetti «exploit zero-day». Questo termine fa riferimento alle vulnerabilità dei sistemi informatici di cui i produttori non sono ancora a conoscenza. Gli «exploit zero-day» vengono offerti in specifici forum di hacker, in particolare nel dark web. Lo sfruttamento di tali vulnerabilità riduce drasticamente il rischio per gli hacker che gli attacchi possano essere rilevati.

Il Politecnico federale di Zurigo ha condotto per diversi anni ricerche sulla tecnologia SCION (Scalability, Control and Isolation On Next-Generation Networks). L’infrastruttura Internet convenzionale fa sì che i pacchetti di dati (ad esempio le e-mail) spesso non seguano il percorso diretto dal mittente al destinatario. Ciò può significare che tali pacchetti di dati possono essere intercettati, letti o modificati durante il percorso. È qui che entra in gioco SCION: a differenza dell’infrastruttura Internet convenzionale, SCION specifica l’intero percorso del pacchetto di dati, riducendo così drasticamente il rischio che terzi non autorizzati possano manipolarli. SCION consente un routing sicuro dei dati, prevenendo così in modo sostanziale gli attacchi alla rete. Diversi settori industriali stanno già utilizzando la tecnologia SCION per creare domini isolati e scollegati dalla rete Internet pubblica, riducendo così notevolmente l’area di attacco. Tra questi, il settore finanziario con la SSFN (Secure Swiss Finance Network) e il settore sanitario con la SSHN (Secure Swiss Health Network).

Come possono le diverse parti interessate del settore sanitario e pubblico collaborare efficacemente per rafforzare la sicurezza informatica?

L’introduzione dell’obbligo di segnalazione degli attacchi informatici contro le infrastrutture critiche è imminente, dopo l’approvazione da parte del Parlamento del disegno di legge della scorsa estate. L’obbligo di segnalazione aiuterà l’UFCS a valutare ancora meglio la situazione delle minacce e a contattare in modo proattivo le potenziali vittime in tempi ancora più rapidi. Le infrastrutture critiche, tra cui molte aziende del settore sanitario, in futuro dovranno segnalare gli attacchi informatici all’UFCS e, qualora lo desiderino, potranno ricevere assistenza.

L’UFCS offre a tutte le aziende appartenenti a un settore critico la possibilità di accedere a un portale di sicurezza specifico. L’UFCS utilizza il portale per scambiare informazioni con queste aziende su minacce informatiche, attacchi informatici, vulnerabilità e altri aspetti legati alla sicurezza. Tali informazioni provengono spesso da fonti non accessibili al pubblico e offrono quindi già per questo un grande valore aggiunto.

Infine, è utile anche la creazione di gruppi di scambio di esperienze – i cosiddetti gruppi ERFA – nei quali specialiste e specialisti della sicurezza di diverse aziende di un determinato settore si incontrano regolarmente per discutere di tematiche rilevanti. Perché questo scambio di informazioni sia efficace è necessaria la fiducia reciproca.

Vede pericoli emergenti, ad esempio l’IA è più una maledizione o una benedizione?

Con l’avvento dell’intelligenza artificiale, gli attacchi informatici stanno diventando sempre più professionali e quindi sempre più difficili da riconoscere per le specialiste e gli specialisti della sicurezza.

Nuovi sviluppi come l’intelligenza artificiale offrono grandi opportunità ma anche rischi da non sottovalutare. Come per tutte le nuove tecnologie nel mondo digitalizzato, anche nel settore dell’intelligenza artificiale ci sarà una «corsa agli armamenti» tra i criminali informatici e le organizzazioni di sicurezza.