Sanità e sicurezza informatica: intervista a Pascal Lamia, Responsabile della sicurezza informatica operativa dell’UFCS
Negli ultimi anni, la digitalizzazione del settore sanitario ha permesso molti cambiamenti positivi, come la semplificazione dei processi amministrativi, ma ha anche portato con sé nuove sfide e nuovi rischi. Il settore della sicurezza informatica richiede un’attenzione particolare. Pascal Lamia, Responsabile della sicurezza informatica operativa presso l’Ufficio federale della cibersicurezza (UFCS), spiega i rischi, le misure collaudate e i nuovi sviluppi per proteggersi dagli attacchi informatici.
Pascal Lamia
Pascal Lamia e il suo team sono al fianco delle aziende svizzere colpite da un attacco informatico e, in determinate circostanze, possono supportarle nella gestione dell’incidente e nella protezione da nuovi attacchi.
Signor Lamia, come descriverebbe l’attuale situazione della sicurezza informatica nel settore sanitario svizzero?
La maggior parte degli attacchi informatici è ancora condotta a pioggia, ossia non in modo mirato ma con invii di massa. Ad esempio, e-mail con allegati dannosi vengono inviate a centinaia di migliaia di potenziali vittime. Di conseguenza, in linea generale il settore sanitario non è più o meno a rischio di altri ambiti.
L’UFCS vede una sfida particolare per il settore sanitario nel fatto che spesso i dispositivi medici possono essere modificati solo con il consenso del produttore. Ciò significa che, in casi estremi, i dispositivi medici possono non soddisfare gli standard di sicurezza più recenti e funzionare con sistemi operativi che hanno raggiunto lo stato di «End of Life», ovvero non ricevono più aggiornamenti dai produttori del sistema operativo. In alcune circostanze, quindi, le falle di sicurezza possono non essere colmate e di conseguenza possono essere sfruttate per attacchi.
I dati sanitari sono molto sensibili e pertanto richiedono una protezione particolare. D’altra parte, il settore sanitario è sottoposto a una forte pressione in termini di tempo. È necessario trovare un buon equilibrio tra progresso digitale, praticità e sicurezza informatica
Quali sono rischi e vulnerabilità specifici in relazione alla sicurezza informatica nel settore sanitario?
Gli attacchi DDoS agli studi medici, agli ospedali e ad altre strutture sanitarie potrebbero far sì che i sistemi connessi a Internet siano talmente sovraccaricati dalle numerose richieste da non essere più accessibili. Di conseguenza, il check-in online per i pazienti potrebbe non funzionare, ad esempio, oppure potrebbe non essere più possibile prenotare online un appuntamento presso uno studio medico. Tuttavia, gli attacchi DDoS complessi possono anche paralizzare intere reti, con gravi conseguenze per il funzionamento di un ospedale.
«Gli attacchi DDoS agli studi medici, agli ospedali e ad altre strutture sanitarie potrebbero far sì che i sistemi connessi a Internet siano talmente sovraccaricati dalle numerose richieste da non essere più accessibili.»
Un’altra forma nota di attacco informatico è quella che utilizza software di crittografia, il cosiddetto attacco ransomware. Mentre gli attacchi DDoS sono solitamente motivati da ragioni politiche, gli attacchi ransomware sono sempre finalizzati al guadagno finanziario. In una prima fase, gli hacker copiano quanti più dati possibile dal sistema di destinazione. Tali dati vengono quindi crittografati sul sistema di destinazione. Segue la prima richiesta di pagamento di un riscatto per poter decrittografare nuovamente i dati. Chi non si adegua a questa richiesta rischia di essere ricontattato dai criminali informatici con una richiesta di riscatto. In assenza di risposta, i dati precedentemente copiati vengono pubblicati nel dark web. In particolare nel settore sanitario, dove vengono gestite quotidianamente grandi quantità di dati sensibili, una fuga di dati di questo tipo può avere conseguenze drammatiche. Il danno reputazionale associato alla pubblicazione di questi dati sensibili è quasi irreparabile. In passato, anche aziende di altri settori hanno dovuto dichiarare bancarotta a causa di attacchi ransomware.
In che misura gli attacchi informatici possono influire sulla sicurezza del paziente e sul funzionamento delle strutture sanitarie?
La sicurezza del paziente è particolarmente a rischio quando vengono compromessi dispositivi medici vitali o non è più possibile accedere ai dati. Ad esempio, quando non si sa quali interventi chirurgici siano in programma o quale sia il dosaggio dei medicamenti da somministrare ai pazienti. Si rimane, per così dire, impotenti e non si è più in grado di agire.
Proprio per questo, oltre ad adottare misure di protezione di base, è importante mantenere aggiornati tutti i dispositivi medici e separarli rigorosamente dal resto dell’infrastruttura informatica.
Maggiore è la digitalizzazione di un’azienda o di un intero settore, più è vasta l’area di attacco. Alla luce di ciò, ha senso digitalizzare ulteriori ambiti del settore sanitario?
La progressiva digitalizzazione pone sfide importanti per tutti i settori ma è inarrestabile. È quindi importante che la sicurezza informatica sia sempre inclusa nella digitalizzazione, che le persone coinvolte nella digitalizzazione siano consapevoli dei rischi potenziali e che la Direzione fornisca le risorse per ridurre tali rischi. In particolare, si tratta di investimenti in personale specializzato, infrastrutture informatiche e acquisto di servizi esterni come la gestione di un SOC (Security Operations Centre) ecc.
Quali metodi comprovati e misure di protezione raccomanda alle istituzioni operanti in campo sanitario per proteggersi dagli attacchi informatici?
La sicurezza informatica consiste sempre in un mix di misure tecniche e organizzative.
Molti attacchi informatici non prendono inizialmente di mira l’infrastruttura tecnica ma piuttosto le persone che vi lavorano. La sensibilizzazione del personale è quindi di fondamentale importanza. L’UFCS ha scoperto che la sensibilizzazione continua è particolarmente efficace: ad esempio, è più efficace affrontare un argomento informatico per mezz’ora una volta al mese durante una riunione interna, piuttosto che formare tutto il personale sui rischi informatici in un solo giorno una volta all’anno.
Le misure tecniche comprendono le consuete precauzioni come firewall, protezione antivirus, aggiornamenti e backup. I sistemi particolarmente critici devono essere ben protetti e, se possibile, separati dal resto dell’infrastruttura informatica.
«L’UFCS ha scoperto che la sensibilizzazione continua è particolarmente efficace: ad esempio, è più efficace affrontare un argomento informatico per mezz’ora una volta al mese durante una riunione interna, piuttosto che formare tutto il personale sui rischi informatici in un solo giorno una volta all’anno.»
Anche la gestione degli utenti è molto importante: i cosiddetti modelli di ruolo definiscono chi ha accesso a determinate applicazioni e se queste persone necessitano o meno dei diritti di amministratore. In una clinica universitaria, ad esempio, non dovrebbe essere necessario che il medico capo abbia accesso all’applicazione utilizzata per il servizio di ristorazione dei pazienti.
Un’ulteriore misura organizzativa è il Business Continuity Management (BCM), un piano di emergenza che definisce come continuare a lavorare se la struttura informatica non è disponibile per un certo periodo di tempo. Il concetto di comunicazione in stato di crisi determina se e in quale forma l’azienda colpita debba informare di essere stata vittima di un attacco informatico. Inoltre, specifica chi è responsabile di queste informazioni, ad esempio il reparto di comunicazione o il Consiglio di amministrazione. Un’altra questione importante da chiarire è quella del canale di comunicazione. L’esperienza ha dimostrato che, dopo un attacco informatico, il sito web, l’e-mail, la telefonia via Internet ecc. non funzionano per diversi giorni. Pertanto, è necessario stabilire un canale alternativo attraverso il quale le persone più importanti possano essere informate dell’attacco informatico, ad esempio Threema, Signal o altri canali di comunicazione.
Esistono anche modi per porre fine alla corsa agli armamenti tra criminali informatici e reparti IT?
I criminali informatici sono costantemente alla ricerca dei cosiddetti «exploit zero-day». Questo termine fa riferimento alle vulnerabilità dei sistemi informatici di cui i produttori non sono ancora a conoscenza. Gli «exploit zero-day» vengono offerti in specifici forum di hacker, in particolare nel dark web. Lo sfruttamento di tali vulnerabilità riduce drasticamente il rischio per gli hacker che gli attacchi possano essere rilevati.
Il Politecnico federale di Zurigo ha condotto per diversi anni ricerche sulla tecnologia SCION (Scalability, Control and Isolation On Next-Generation Networks). L’infrastruttura Internet convenzionale fa sì che i pacchetti di dati (ad esempio le e-mail) spesso non seguano il percorso diretto dal mittente al destinatario. Ciò può significare che tali pacchetti di dati possono essere intercettati, letti o modificati durante il percorso. È qui che entra in gioco SCION: a differenza dell’infrastruttura Internet convenzionale, SCION specifica l’intero percorso del pacchetto di dati, riducendo così drasticamente il rischio che terzi non autorizzati possano manipolarli. SCION consente un routing sicuro dei dati, prevenendo così in modo sostanziale gli attacchi alla rete. Diversi settori industriali stanno già utilizzando la tecnologia SCION per creare domini isolati e scollegati dalla rete Internet pubblica, riducendo così notevolmente l’area di attacco. Tra questi, il settore finanziario con la SSFN (Secure Swiss Finance Network) e il settore sanitario con la SSHN (Secure Swiss Health Network).
SCION nel settore sanitario
SCION – acronimo di «Scalability, Control, and Isolation On Next-Generation Networks» – è un protocollo di rete avanzato e sviluppato per rispondere alle sfide del connesso mondo odierno. È stato originariamente creato dai ricercatori del Politecnico federale di Zurigo ed è stato progettato per migliorare la sicurezza, la scalabilità e il controllo nelle reti.
Il protocollo SCION offre un’architettura alternativa ai convenzionali protocolli di rete, dividendo la comunicazione in cosiddetti «Isolation Domains». Questi domini consentono di indirizzare il traffico di dati in modo sicuro ed efficiente, offrendo al contempo una maggiore resistenza ad attacchi e interruzioni di servizi.
L’impiego di SCION nel settore sanitario avverrà tramite la SSHN (Swiss Secure Health Network). In tale Isolation Domain, tutte le operatrici e tutti gli operatori del settore sanitario possono collaborare in tutta sicurezza e semplicità.
Comment les différents acteurs du système de santé et du secteur public peuvent-ils parvenir ensemble à renforcer la cybersécurité?
L’introduction d’une obligation de signaler les cyberattaques contre des infrastructures critiques est imminente, le Parlement ayant approuvé le projet de loi l’été dernier. Cette obligation de signaler permettra à l’OFCS de mieux évaluer le niveau de menace et de contacter encore plus rapidement les victimes potentielles de manière proactive. Les infrastructures critiques, dont font partie de nombreuses entreprises du secteur de la santé, devront désormais signaler toute cyberattaque à l’OFCS et bénéficieront, si elles le souhaitent, d’un soutien. L’OFCS offre à toutes les entreprises appartenant à un secteur critique la possibilité d’accéder à un portail de sécurité spécifique. Via ce portail, l’OFCS échange avec ces entreprises des informations sur les cybermenaces, les cyberattaques, les vulnérabilités et autres aspects liés à la sécurité. Ces informations proviennent souvent de sources non accessibles au public et offrent donc une importante valeur ajoutée. Enfin, la mise en place de groupes d’échange d’expériences, ou groupes ERFA, est également judicieuse: dans ces groupes, des spécialistes de la sécurité de différentes entreprises d’un même secteur se rencontrent régulièrement pour discuter de sujets liés à la sécurité. Cet échange d’informations ne peut fonctionner que sur la base d’une confiance mutuelle.
Voyez-vous des dangers imminents, p. ex. l’IA est-elle une malédiction ou une bénédiction?
Avec l’intelligence artificielle, les cyberattaques deviennent de plus en plus professionnelles et donc de plus en plus difficiles à détecter pour les spécialistes de la sécurité. Les nouveaux développements tels que l’intelligence artificielle offrent certes d’importantes opportunités, mais ils recèlent aussi des risques qu’il ne faut pas sous-estimer. Comme pour toutes les nouvelles technologies dans le monde numérisé, une «course à l’armement technologique» aura lieu entre cybercriminels et organisations de sécurité également dans le domaine de l’intelligence artificielle.