Servizi, tecnologia, consulenza. Tutti gli atout del gruppo reggiano
Dalle misure AGID prima al GDPR e più di recente con l’adozione del framework nazionale, le aziende del settore sanitario sono chiamate a una forte presa di responsabilità per quel che riguarda la cybersecurity. Devono attuare una serie di misure appropriate per la protezione di sistemi e impianti, la gestione della continuità operativa, il monitoraggio e i test, la notifica di incidenti rilevanti. «Molte di loro hanno ancora difficoltà ad applicare quelle che erano le misure minime dell’AGID» ci dice Mirko Gorrieri, Cybersecurity BU Manager Mead Informatica. «Oggi con il framework nazionale mutuato dal NIST l’impegno sarà ancora maggiore». Anche perché spesso neppure sono presenti figure preposte a gestire la cybersecurity, lasciata di solito alla buona volontà dell’IT. «In realtà affrontando un framework come quello del NIST, ci si accorge che alcune tematiche esulano da quella che è la gestione della parte IT».
Se un attacco informatico spegne una tac o una risonanza magnetica è un problema di ingegneria clinica e di direzione sanitaria osserva Fabio Tolomelli, Marketing Director Mead Informatica. «L’IT a meno che non sia espressamente ingaggiato non si sente coinvolto, anzi. Oggi però negli ospedali buona parte dei dispositivi è collegata in rete. Asset che occorre proteggere da un attacco».
Un problema di BC
Un attacco a un ospedale, un ransomware rischia di bloccare la parte tecnologica fermando interi reparti. «Per questo alla luce dei continui attacchi, il tema della cybersecurity in un ospedale è anzitutto un tema di business continuity». Non sempre poi l’IT della struttura ospedaliera può fare manutenzione su questi dispositivi. «Molte volte è in gestione a un’altra funzione aziendale, solitamente l’ingegneria clinica» conferma Gorrieri. Macchinari che in media saranno utilizzati per 15/20 anni. Ma che non è detto continueranno a ricevere aggiornamenti. «Questi dispositivi non sono stati pensati per ricevere con cadenza periodica gli update come accade per i pc» spiega Gorrieri. «La priorità è la continuità operativa; solo di recente ci si è posto il problema di come mantenerli sicuri. Le cose tuttavia stanno cambiando. I dispositivi più recenti incominciano ad essere più sicuri e prevedono un programma di aggiornamenti di sicurezza oltre a quelli di routine del software, occorre però che le strutture ne prevedano l’applicazione».
Oggi nelle strutture sanitarie i principali interlocutori in materia di sicurezza sono l’IT e l’ingegneria clinica. «Grande assente è la direzione sanitaria» afferma Tolomelli. «Che dovrebbe guardare alla security da una prospettiva più alta. Per questo abbiamo creato un servizio di audit NIST per restituire i tempi rapidi una misura della loro distanza dal framework di riferimento. Un assessment indirizzato in primis alla direzione sanitaria, successivamente all’ingegneria clinica e all’IT, le funzioni che sono responsabili dell’erogazione virtuosa delle prestazioni sanitarie».
L’approccio Mead Informatica
Una proposta – che si tratti di soluzioni tecnologiche o servizi – spiega Gorrieri – che accompagni almeno due punti di vista: tecnologico e consulenziale/organizzativo. «Noi suggeriamo sempre di svolgere prima un’attività di assessment rispetto al framework che ci permetta di identificare con lo stakeholder le priorità» dice Tolomelli. Con questa attività la tematica viene approcciata su più livelli, spiega Gorrieri. «C’è la compliance normativa, dai sempre validi controlli di sicurezza AGID fino al framework NIST nella versione nazionale; c’è la componente umana, ovvero una verifica sulle competenze degli utenti, e c’è la competente tecnologica, l’identificazione delle vulnerabilità software e la verifica del hardening dei sistemi. In questo modo riusciamo a realizzare una fotografia a 360 gradi della postura di sicurezza delle organizzazioni».
Nonostante l’emergenza Covid, in alcune regioni sono già aperti numerosi tavoli di lavoro su questi temi, in particolare riguardanti l’attuazione della normativa NIS, ma è a partire dai prossimi mesi – prevede Tolomelli – che queste attività si intensificheranno presso le strutture sanitarie del Paese. «Senz’altro il recepimento della normativa rappresenterà una sfida molto importante. La cybersecurity non è un problema che si risolve solo con la tecnologia, anche se è quella che purtroppo spesso ci chiedono. Noi offriamo un approccio di valore che parte dall’analisi delle esigenze del cliente, prosegue con l’adeguamento della governance e delle procedure in funzione di queste, e infine con la realizzazione di servizi tecnologici; per questo sposiamo un framework. Purtroppo, spesso si perdono di vista gli obbiettivi, e il mezzo, cioè la tecnologia, diviene l’obbiettivo e non solo il mezzo».