Quello sanitario rappresenta un comparto assai critico nell’ottica della cybersecurity e della cyber resilience (con esiti molto rischiosi, in caso di attacco informatico, come il blocco di sale operatorie, terapie intensive e centri trasfusionali). Da qui l’importanza del report “La minaccia cibernetica al settore sanitario”, a cura dell’Agenzia per la Cybersicurezza Nazionale. Ecco le 12 linee guida di ACN.
“Da gennaio 2022 a giugno 2024 in Italia ci sono stati 26 eventi ransomware nel settore sanitario. Hanno interessato quasi 50 fra strutture, presidi ospedalieri, servizi medici sul territorio”. Parole del Sottosegretario alla Presidenza del Consiglio e Autorità delegata per la sicurezza della Repubblica, Alfredo Mantovano, nel corso del convegno a Roma “La Minaccia Cibernetica al Settore Sanitario”. Per l’ACN diretta dal Prefetto Bruno Frattasi, i cyber incidenti sono l’esito di scarsa attenzione o di una carente formazione specifica in materia di cybersecurity del personale impiegato in ospedali, centri medici, cliniche e altre strutture sanitarie. Durante il convegno presso la sala Tirreno della Regione Lazio (che ha visto anche l’intervento del Vice Direttore Generale dell’ACN, Nunzia Ciardi), l’Agenzia ha presentato il report “La minaccia cibernetica al settore sanitario” contenente le 12 linee guida di ACN.
Un documento che nel sottolineare come, a livello globale, il comparto sanitario emerge tra quelli più colpiti da attacchi cyber alle infrastrutture digitali (nel 2023, l’Italia è risultata il terzo Paese Ue, dopo Germania e Francia, e il sesto a livello globale più colpito da ransomware) dettaglia le raccomandazioni generali, le bad practice da evitare e le contromisure da mettere in atto. Per contrastare, o quantomeno arginare, incidenti come l’attacco informatico all’Azienda Ospedaliera Verona, nel gennaio scorso, oppure – per tornare più indietro con la memoria – l’attacco ransomware contro gli ospedali di Milano.
Criticità nella cybersecurity sanitaria
Nel capitolo dedicato alle raccomandazioni e contromisure, il report di ACN sviscera un’analisi delle peggiori pratiche di sicurezza emerse durante le attività DFIR (Digital Forensic Incident Response) – digital forensics e risposta agli incidenti –, dunque quelle in cui il personale del CSIRT Italia ha supportato, in loco o da remoto, le vittime degli incidenti nel comparto sanitario. In merito alle cattive pratiche da scongiurare, il documento redatto dall’Agenzia per la Cybersicurezza Nazionale cita:
- gestione decentralizzata di sistemi digitali: reparti e/o uffici diversi, all’interno della medesima struttura, hanno l’opportunità di approvvigionamento di hardware, software e servizi IT da società terze in maniera autonoma, senza una IT unica centrale e senza una politica comune che circoscriva processi, regole, strutture e strumenti volti a guidare le decisioni e l’orientamento strategico delle singole decisioni.
- obsolescenza dei dispositivi: gli apparati medicali, spesso molto costosi, hanno una vita utile estremamente più lunga rispetto alle tecnologie di sicurezza e di IT in generale: apparati obsoleti dal punto di vista informatico, non più aggiornabili e/o non più supportati dai produttori, restano nelle disponibilità poiché perché la manutenzione evolutiva è considerata troppo costosa.
- carenza quantitativa e qualitativa di personale dedicato alla cybersecurity: è assente il personale dedicato alla sicurezza informatica, che pertanto viene gestita dal personale IT al meglio delle proprie possibilità.
Le tre condizioni citate – che hanno effettivamente permesso gli accessi indebiti e i relativi impatti – rappresentano le considerazioni da cui partire per l’adozione delle buone pratiche elencate da ACN.
Best practice di gestione del rischio
Quindi l’Agenzia per la Cybersicurezza Nazionale circostanzia quelle che sono le più gravi pratiche errate rilevate dai team d’intervento. Ognuna è corredata di alcune raccomandazioni per agevolarne la mitigazione.
- Assenza di autenticazione multi-fattore sulle Virtual Private Network (VPN): la contromisura è l’implementazione dell’autenticazione multifattore (MFA).
- Utilizzo i protocolli di autenticazione e cifratura obsoleti: prediligere l’utilizzo di versioni recenti di protocolli di autenticazione e comunicazione e disabilitazione di protocolli obsoleti sul Domain Controller.
- Password Policy inadeguata: da qui, l’importanza di creare una password policy in grado di rispettare le best practice (altresì supportata dagli strumenti preposti quali password manager).
- Errata gestione dei privilegi utente: in questo caso la “risposta” deve essere duplice, grazie all’applicazione del principio del privilegio minimo sul account utente e di servizio e revisione periodica dei privilegi ad essi attribuiti.
- Mancanza di inventario dei servizi critici: diventa basilare la redazione e il costante aggiornamento sia di una lista relativa ai servizi IT critici sia di un elenco delle funzionalità e dei dati critici degli ospedali.
- Prodotti non aggiornati: è fondamentale la creazione di un asset inventory dei dispositivi con relativa versione del software e del firmware in uso (nonché l’applicazione degli aggiornamenti di sicurezza ed eventuali patch rilasciati dai produttori e l’isolamento o dismissione dei dispositivi che non sono più supportati né aggiornabili).
- Errata gestione di Microsoft Active Directory: il giusto orientamento prevede la corretta architettura e gestione seguendo le indicazioni di hardening fornite dal vendor e l’impiego di tool specifici che permettano sia il monitoraggio sia il rilevamento di criticità nella configurazione.
- Errata gestione dei log: da qui, la redazione di una policy di gestione dei log per il rilevamento nonché l’analisi degli eventi, l’adozione di strumenti dedicati quali SIEM, SOAR, XSOAR e log collector e backup dei log e corretta conservazione dei medesimi.
- Errata gestione dei backup: dunque, l’importanza di implementare una politica di gestione dei backup per la memorizzazione in porzioni di rete segregate ed una frequenza di backup proporzionata alle criticità delle informazioni memorizzate (non tralasciando di approntare un piano di ripristino in caso di perdita dei dati).
- Rete non segmentata: piuttosto, una rete isolata e segmentata per gestire, in modo proattivo, la sicurezza e la conformità. E ancora, l’utilizzo approccio Zero Trust in caso di gestione decentralizzata dell’infrastruttura IT.
- Assenza di procedure di Incident Response: di contro, la rilevanza di redigere e aggiornare costantemente un piano di risposta agli incidenti informatici che individui ruoli e responsabilità di ogni soggetto incaricato nelle varie fasi della gestione e degli incidenti (e che comprenda elenchi di eventuali fornitori di servizi, di hardware e software).
- Mancanza di Endpoint Detection and Response: è imprescindibile adottare soluzioni EDR o XDR capaci di rilevare e bloccare condotte anomale all’interno degli host.
Va da sé che tali raccomandazioni risultano più efficaci e gestibili laddove venga assicurata una governance centralizzata della cybersecurity e dell’IT, assicurando la separazione di ruoli (Segregation of Duties), ottenibile con un approccio programmatico, strutturato e integrato, fondato sulla gestione del rischio.