Tecnologie digitali, dati clinici, esperienza di staff e pazienti. Tre punti chiave da considerare per migliorare l’efficienza operativa nell’ambito della sanità e tra gli aspetti più importanti su cui lavorare considerata la complessità delle sfide che è chiamato a sostenere questo verticale, anche nel nostro Paese.
Affidarsi a software/dispositivi/architetture digitali, il proliferare dei dispositivi medici, di app e piattaforme connesse, richiede di elevare il livello dell’attenzione per quanto riguarda il tema della sicurezza. Basta pensare all’importanza dei dati sanitari in relazione a temi chiave come quello della privacy e del valore delle informazioni.
In questi anni le minacce alla cybersecurity dei sistemi e delle strutture di una Sanità sempre più 4.0 sono cresciute per intensità e pericolosità. Accedere, analizzare, gestire e condividere i dati, contribuisce a trasformare l’assistenza, migliorandola e a ridurre i costi, ma ha anche un prezzo. Sono gli stessi numeri degli analisti ad aiutarci a comprendere quanto sia importante innalzare il livello di attenzione. Secondo Beazley, un’importante compagnia assicurativa specializzata in cybersecurity, per esempio, il 45% di tutti gli attacchi ransomware nel 2017 ha avuto come bersaglio organizzazioni sanitarie.
Ancora più interessante in questo caso è guardare al contesto della sicurezza nel nostro Paese, dove il numero degli attacchi andati a segno nel settore sanitario è raddoppiato negli ultimi quattro anni, passando da 161 nel 2018, a 304 nel 2022 (fonte: Rapporto Clusit, 2023).
La sicurezza di dispositivi, reti e dati per la sanità
Per violare i sistemi della sanità, chi attacca sfrutta prima di tutto le vulnerabilità di architetture e dispositivi in una percentuale sensibilmente cresciuta nel corso degli ultimi due anni – anche considerato il proliferare di un volume crescente di dispositivi interconnessi. Parliamo anche di sistemi di monitoraggio dei parametri vitali nelle aree intensive degli ospedali che rappresentano una componente fondamentale all’interno dell’ecosistema sanitario digitale e, allo stesso tempo, costituiscono un punto critico di vulnerabilità.
La loro costante connessione alle reti interne li espone ancora di più in quanto possono fungere da porte d’ingresso per gli hacker verso una o più reti ospedaliere, tecnica che apre le porte a violazioni tali da riflettersi poi nella gravità dell’impatto finale sulle aziende e le realtà di questo verticale, ma anche sui cittadini esposti, con tutti i rischi collegati in relazione al tema della privacy e della riservatezza di dati sensibili e, nei casi più gravi, alle interruzioni vere e proprie nell’erogazione dei servizi, finanche nei momenti critici.
Si pensi, per esempio, ai rischi connessi a quegli attacchi in cui gli hacker arrivano a compromettere le reti ospedaliere, rendono inaccessibili sistemi, sottraggono dati confidenziali, fino alla minaccia ‘ransomware‘ applicata non solo ai dati ma declinata in forma di estorsione attraverso la richiesta di un riscatto agli ospedali ed alle cliniche per consentire il ripristino del funzionamento del sistema o, appunto, evitare la divulgazione o vendita dei dati sottratti.
L’intero “ecosistema” sanità è esposto, quindi: da quando il paziente è preso in carico, attraverso l’indagine clinica, fino a quando sono presi in carico i suoi dati e sono affidati ai sistemi IT interconnessi, così come poi lungo tutto l’iter di cura e ancora a seguire attraverso l’adozione di sistemi di monitoraggio remoto. Per questo non si deve mai perdere di vista l’obiettivo finale della sicurezza che è un lavoro di squadra con precise regole e linee guida, a partire da quelle di base sulla sicurezza informatica per i dispositivi medici (Eumdr) vòlte a garantire la sicurezza nell’erogazione dei servizi sanitari come responsabilità congiunta di tutte le parti interessate nel garantire la creazione di un ambiente sicuro per i pazienti. Sono coinvolti produttori di dispositivi medici, fornitori, le stesse strutture sanitarie, i pazienti, chi offre servizi Ict, gli operatori sanitari e gli enti regolatori.
L’impegno di tutti ha di fatto tre obiettivi principali: il pieno controllo dell’accesso ai dati (confidenzialità), la possibilità di tracciare le modifiche che vengono fatte sui dati (integrità) e che le informazioni restino accessibili quando e dove è necessario (disponibilità). E una strategia di difesa ben congegnata allo stesso tempo deve basarsi sulla capacità di fronteggiare gli attacchi malware ma anche prevenire i movimenti laterali, prevenire e risolvere le vulnerabilità, restringere gli accessi, individuando i movimenti anomali nelle reti.
Il modello di sicurezza Zero Trust di Philips
In questo scenario Philips, che opera nel comparto della sanità con un’offerta completa di dispositivi e sistemi digitali, offre anche gli strumenti e le competenze per comprendere e applicare le pratiche di gestione del rischio, aiutare attori della sanità e organizzazioni ad evitare potenziali minacce informatiche, mitigare i rischi. Offre quindi assistenza e consulenza specializzata per l’implementazione di soluzioni di monitoraggio che garantiscono la conformità agli standard di sicurezza e una gestione dei rischi efficace.
La proposta dell’azienda è quella di un modello di difesa multistrato, più efficace quindi, in grado di limitare gli accessi fisici solo a chi ne deve disporre, disabilitare i servizi non necessari e chiudere le porte non necessarie per, customizzare su più livelli per ridurre le superfici di attacco, delimitare il controllo su applicazioni e librerie consentendo accesso solo a quelle certificate e conosciute.
Come si può ben comprendere è di fatto questo un vero e proprio approccio Zero Trust su tutto il dominio, che abbraccia i sistemi di monitoraggio dei pazienti, i dispositivi medici di terze parti, server e dispositivi mobile ma anche le Lan. In questo modo tutti i componenti sono identificati in modo univoco; identificazione che consente quindi di criptare il flusso di dati tra i componenti del sistema. In un contributo dedicato, gli esperti di Philips ce ne parlano più nel dettaglio.
Quello che qui è invece importante sottolineare della proposta di un modello di sicurezza come quello di Philips è la piena conformità della proposta ai regolamenti ed alle linee guida (Gdpr e Nis), anche attraverso una documentazione completa di condivisione delle informazioni per ogni dispositivo (MDS2). In particolare vogliamo sottolineare come l’aderenza al Gdpr è da Philips interpretata in modo corretto non solo in relazione ai “prodotti” ma anche ai “processi”, per quanto riguarda in particolare la trasparenza, i sistemi di controllo di accesso e crittografia, i consensi, la possibilità di gestire correttamente i dati anche attraverso la loro anonimizzazione, così come gli update dei dispositivi. E’ un punto chiave. Infatti alcune delle caratteristiche che distinguono Philips includono l’adozione di sistemi sempre aggiornati e testati, il pieno supporto degli aggiornamenti di sicurezza del sistema operativo e delle applicazioni attive, l’integrazione agevole nelle reti ospedaliere e l’implementazione di robusti protocolli di crittografia.
PIC iX (Philips Information Center) è il componente chiave di questa proposta, alla base della sicurezza di tutta le rete clinica, e dei pazienti. Permette l’autenticazione dei nodi, a protezione della rete, la crittografia dei dati e quindi la privacy sulle informazioni dei pazienti trasmessi e codificati in modo sicuro e comprende la possibilità di accedere alle informazioni provenienti da fonti attendibili nella rete ospedaliera ai monitor al letto del paziente, in base al contesto della situazione sulla base di un servizio di Web Proxy. Il sistema è sicuro perché dotato di modalità di encryption sofisticate e controllo degli accessi granulare con autenticazione utente basata sui ruoli tramite Microsoft Active Directory; prevede anche la gestione degli incident e delle patch e rispetta le linee guida più avanzate, con tutta la parte di monitoring pure allineata alle sfide della sicurezza attraverso la proposta della famiglia IntelliVue MX.
A questo Philips affianca una serie di servizi proposti con un approccio modulare che vanno dal supporto remoto, al training, comprendono servizi di manutenzione e per l’interoperabilità ed ovviamente – lato software/rete/hardware – gli aggiornamenti (anche hardware), i servizi di patching, oltre a networking e cybersecurity assessment.
In particolare, la proposta Philips per il cybersecurity assessment valuta la soluzione di monitoraggio del cliente rispetto ai controlli di sicurezza informatica e delle prestazioni. Non solo: attraverso specifici tool e interviste degli stakeholder principali gli specialisti Philips sono in grado di fornire un report con i risultati, gli approfondimenti e le raccomandazioni per il miglioramento e il rafforzamento della sicurezza.
Per disporre della tecnologia sempre attuale, sicura e aggiornata per ogni esigenza specifica, i servizi comprendono infine manutenzione del software, servizi di sicurezza informatica, servizi di permuta e modelli finanziari per fornire l’accesso alla tecnologia più recente durante l’intero ciclo di vita in modo sostenibile.
* contenuto destinato solo ad operatori sanitari
Per saperne di più scarica il whitepaper: Un solido approccio alla sicurezza informatica nel settore sanitario
Non perdere tutti gli approfondimenti di Voice of Philips
© RIPRODUZIONE RISERVATA