Digitalizzazione, interoperabilità e continuità operativa sono le tre promesse dell’innovazione tecnologica in tutti i settori, ma nell’healthcare assume una importanza che va ben oltre gli aspetti di business, dal momento che la posta in gioco è la salute delle persone. Un progresso digitale che in ambito ospedaliero ha un percorso parallelo fatto da un OT dove la ricerca specialistica sta mettendo tutti i suoi sforzi e investimenti. Dispositivi sofisticatissimi che sono sempre più connessi e integrati con le infrastrutture IT, un ambiente che sta diventando sempre più complesso all’interno del quale circolano dati clinici vitali e altrettanto sensibili. Quello della sicurezza nel settore healthcare è un tema che sta a cuore ad Armis, che ogni anno redige un report sullo stato dell’arte e la percezione del mercato nei confronti della cybersecurity, che quest’anno riporta in generale una preoccupazione crescente sugli effetti della guerra informatica globale.
Più in particolare, nel nostro Paese il timore di un impatto derivante dalla cyberwarefare arriva a toccare l’83% dei responsabili IT, mentre il 66% delle organizzazioni denuncia di avere già subito una violazione. E la cosa più grave è che di queste, quasi la metà non è ancora riuscita a ripristinare un livello di sicurezza adeguato. Dati e situazioni che rivelano una diretta proporzionalità tra livello di innovazione e aumento dei pericoli di attacco. Un paradosso che deriva dall’utilizzo di strumentazioni, macchine e ambienti per l’operatività fino a qualche tempo fa isolati e oggi sempre più connessi.
Più innovi e più ti esponi: il paradosso della digitalizzazione
Una corsa alla digitalizzazione che vede in prima fila l’ambito clinico, dove tutto è connesso. Ma non tutto è protetto.
“Il 90% dei dispositivi presenti in un ospedale è unmanaged, e come tale non può ospitare software di protezione come un EDR – spiega Nicola Altavilla, director of Mediterranean region di Armis –. Parliamo di telecamere, stampanti, chioschi, sistemi di climatizzazione, ma anche e soprattutto di apparati clinici come TAC e pompe d’infusione. Tutti elementi fondamentali per il funzionamento della struttura. Senza visibilità su questi asset, la rete è esposta e non lo sapremo mai, se non a danno avvenuto”.
In un ambiente così complesso, avere una visione unificata di tutti i dispositivi connessi è fondamentale, anche perché la scarsa integrazione tra team IT e ingegneria clinica, che spesso sono strutturati su binari paralleli, rende la gestione dei rischi ancora più difficile.
Ospedali miniere d’oro per il cybercrime
Il settore ospedaliero è sotto attacco ripetuto. Lo riportano le cronache. Eppure si tratta di un ambito dove le logiche di business, ad eccezione ovviamente delle strutture private, appaiono secondarie rispetto all’ambito d’azione, dove il profitto va in secondo piano rispetto al valore sociale della salute del cittadino.
Eppure il settore risulta essere particolarmente attrattivo per il cybercrime, sia per motivi economici sia strategici.
Una cartella clinica può valere centinaia di dollari sul dark web, e in un attacco possono esserne sottratte decine di migliaia. E l’obiettivo non è solo il furto di dati, ma in un contesto di cyberwar, più o medo attivo, nel quale sempre più ci stiamo addentrando, l’effetto di un ransomware può essere drammatico, potendo bloccare interi reparti, impedire l’uso dei macchinari o interrompere la climatizzazione di una sala operatoria.
“L’impatto è multiplo – sottolinea Altavilla – . C’è il danno alla privacy del paziente, alla sicurezza clinica e all’operatività della struttura. Ogni interruzione si traduce in perdita di servizi, costi economici, sanzioni normative, dal momento che si tratta di soggetti che sono tra i primi assoggettati alla NIS2 e danni reputazionali”.
L’intelligenza artificiale sul doppio fronte
E ora, come se non bastasse, ci si mette anche l’intelligenza artificiale, tecnologia do la criminalità cyber è maestra, avendo imparato prima di altri come sfruttarne le potenzialità. Secondo il report Armis sembra che l’AI rappresenti oggi una minaccia prioritaria per il 70% delle organizzazioni italiane. Il suo utilizzo da parte degli attori malevoli è plurimo, andando dall’identificazione delle vulnerabilità, all’automatizzazione degli attacchi e all’affinamento della loro precisione.
Strumenti che nel mercato malavitoso stanno calando di prezzo e di complessità d’impiego, aumentandone la portata in una sorta di democratizzazione che incrementa velocemente il numero di soggetti interessati a guadagni illeciti
“L’intelligenza artificiale è una forza moltiplicatrice – conferma Altavilla – . Permette anche ad attori minori, a nazioni piccole o a gruppi non statali, di operare come potenze informatiche. Ed è necessario che il mercato, il mondo, si protegga, contrastando questi possibili attacchi con le stesse armi, adottando piattaforme che integrano AI per difendersi in tempo reale e in maniera dinamica, adattandosi rapidamente a scenari in continua evoluzione”.
La consapevolezza di tutto questo sta aumentando. Oltre metà degli IT leader italiani, pari al 52%, ritiene che l’AI stia democratizzando le capacità offensive, annullando le differenze tra Stati e criminali comuni. E mentre il 74% vede nell’instabilità geopolitica un fattore aggravante, cresce sempre di più la necessità di impostare l’evoluzione delle proprie difese verso una postura proattiva.
Dalla reazione alla prevenzione. Armis sposta la prospettiva della protezione
Un approccio proattivo alla sicurezza in grado di prevenire le violazioni e anticipare le minacce che pare sia nei piani di investimento di quest’anno per il 79% delle realtà intervistate. Una corsa al riparo, visto che attualmente ancora il 60% delle organizzazioni italiane rileva un attacco solo quando è già in corso o ha già prodotto danni.
“Il rischio è reale e crescente – spiega Altavilla – . La guerra informatica è uno strumento economico ed efficace per creare danni o mettere in ginocchio una nazione che non ha bisogno di armi. Per colpire un’infrastruttura critica non servono eserciti, bastano algoritmi. E si torna al settore healthare, dove un sistema sanitario bloccato anche per 24 ore può subire e generare danni incalcolabili, e lo vediamo praticamente ogni settimana”.
Visibilità, AI e integrazione. La controffensiva di Armi
La maggiore debolezza che apre le porte agli attacchi alla sanità è dunque la presenza di ambienti molto complessi ed eterogenei, che integra macchinari e dispositivi con una ingegneria specialistica ed estremamente sofisticati, che difficilmente sono allineano alle infrastrutture IT, rendendo complicato adottare soluzioni e strategie di difesa uniformi e integrate per tutta la struttura ospedali. Ed è proprio sulla protezione di questi ambienti eterogenei che Armis ha focalizzato la propria ricerca e offerta, affrontando architetture ad alta densità di dispositivi connessi e scarsamente standardizzati che sono tipici degli ambienti ospedalieri o e non solo. Una protezione che riesce a essere efficace per il fatto di essere agentless e di potere quindi monitorare in tempo reale ogni asset senza interferire con il suo funzionamento.
La forza della piattaforma Armis sta in un data lake globale sul cloud che monitora oltre 6 miliardi di dispositivi, riuscendo a riconoscere ogni device, attribuirgli un comportamento atteso, segnalare anomalie, individuare vulnerabilità e prioritizzare i rischi per il team di sicurezza.
“Se una telecamera parla con un server sconosciuto, il sistema lo rileva. Se un firmware è obsoleto, lo segnala. Ma soprattutto, suggerisce dove concentrarsi – spiega Altavilla – . Il nostro obiettivo è ridurre il rumore di fondo e fornire informazioni univoche e realmente utilizzabili”
Una piattaforma che si integra nativamente con oltre 200 tecnologie già presenti nei SOC e nelle architetture dei clienti, dal firewall agli EDR, dai SIEM ai SOAR, creando un ecosistema di protezione flessibile e in sintonia con gli strumenti esistenti. Gli investimenti già effettuati vengono potenziati, mentre l’automazione consente di attivare risposte rapide, come l’isolamento di una porzione di rete o il blocco di un asset compromesso.
Un ecosistema di partner Armis specializzati
Si tratta di un’offerta che richiede un alto grado di conoscenza del contesto sia del settore che del singolo cliente, sia che si tratti di enti ospedalieri sia di altri ambiti dove l’eterogeneità delle infrastrutture rischiano di aumentare l’esposizione agli attacchi. Per questo motivo Armis in Italia si avvale delle capacità consulenziali e di copertura territoriale di un canale certificato che conta una trentina di system integrator, sia nazionali sia locali. La disponibilità o meno di competenze specializzate interne indirizza due opzioni diverse per la vendita della piattaforma, come licenza con servizi a valore o come servizio gestito all’interno del SOC del partner.
“Non tutti i clienti hanno un team di cybersecurity interno evoluto – spiega Altavilla – . Per questo il nostro canale è strutturato per offrire supporto completo, anche tramite servizi di sicurezza as– a– service. È un modello che sta funzionando molto bene, anche nella Sanità e che consente anche alle realtà più piccole, come le ASL territoriali, di accedere a una protezione avanzata, grazie alla possibilità di monitorare l’ambiente in tempo reale e ricevere supporto specializzato.
L’ospedale come infrastruttura critica. E soggetta a NIS2
Tecnologie efficaci, competenze e consulenza personalizzata che i partner vedono parricolarmente valorizzate in questo periodo in cui le pressioni normative sulle posture di sicurezza delle aziende stanno crescendo. Molte aziende, e tra queste ci sono proprio gli ospedali, sono infatti tra i soggetti classificati come infrastrutture critiche, di importanza vitale per il Paese, che sono chiamate ad adeguarsi alla direttiva NIS2, che impone obblighi di sicurezza, con scadenze ravvicinate e controlli severi sull’efficacia della protezione dei dati e sulla garanzia di continuità di servizi critici. Pena, pesanti multe proporzionate al fatturato.
Argomentazioni che riguardano in particolar modo l’ambito Sanità, dove l’attenzione agli aspetti della sicurezza è condizione prioritaria per potere erogare i servizi ai cittadini in maniera sicura, continua e affidabile. E che la sua inadempienza, oltre ad arrecare danno a terzi, può costare parecchio.,
“Il rischio di non proteggere in maniera adeguata le proprie attività è certamente operativo ed economico, ma anche normativo. E di conseguenza ancora economico, vista l’entità delle sanzioni per i non adempienti – conclude Altavilla – . La mancata conformità può infatti portare a multe fino al 2% del fatturato. Aziende sia pubbliche che private devono quindi dotarsi i strumenti e tecnologie che consentano eventuali audit che richiedono tracciabilità e risposta agli incidenti, anche a distanza di settimane”.
