Il settore sanitario è tra i bersagli privilegiati della criminalità informatica. Non è difficile capire perché: gli ospedali e le strutture sanitarie gestiscono quotidianamente volumi importanti di dati sensibili — dalle cartelle cliniche alle immagini diagnostiche, dalle prescrizioni ai risultati di laboratorio — e operano con un livello di tolleranza all’interruzione prossimo allo zero. Un attacco informatico che blocchi un sistema di pronto soccorso o comprometta i dati di un reparto non è solo un problema tecnologico: è un rischio diretto per la vita delle persone. A questo si aggiunge un fattore strutturale che rende la sanità particolarmente esposta: la proliferazione dei dispositivi biomedicali connessi. Quella che un tempo era una strumentazione analogica e isolata — scanner, ecografi, monitor, apparecchiature per la tomografia computerizzata — si è trasformata in un ecosistema di endpoint digitali dotati di software e sistemi operativi, costantemente collegati alla rete informativa dell’organizzazione. La cybersecurity è pertanto fondamentale per garantire la continuità delle cure ai pazienti.
Il contesto
Il tema della cybersecurity per la sanità, in questo specifico caso per i dispositivi medicali connessi, si innesta nel quadro normativo europeo, che con la direttiva Nis2 e le linee guida dell’Agenzia per la Cybersicurezza Nazionale (Acn) che impone alle strutture sanitarie requisiti sempre più stringenti in materia di protezione degli asset, visibilità della superficie di attacco e governance del rischio informatico. Per molte organizzazioni sanitarie italiane, la conformità a questi requisiti non è solo un obbligo regolatorio: è l’occasione per colmare un ritardo strutturale nella protezione delle proprie infrastrutture digitali.
Asl Napoli 1 Centro è di fatto il principale erogatore di servizi sanitari pubblici della città di Napoli e tra le più estese aziende sanitarie locale del Sud Italia. La sua rete si estende su oltre cento strutture — tra ospedali, poliambulatori, distretti sanitari e presidi territoriali — e gestisce circa diciottomila dispositivi biomedicali, di cui oltre duemila sempre connessi alla rete. Si tratta di un patrimonio tecnologico imponente e disperso, che negli anni è cresciuto in modo stratificato: apparecchiature di generazioni diverse, con sistemi operativi differenti e livelli di aggiornamento disomogenei, tutte però integrate — o quantomeno collegate — a un’unica infrastruttura informativa. L’Asl custodisce inoltre più di due milioni di cartelle cliniche digitali, un volume di dati sensibili che rende la protezione dell’infrastruttura non solo una questione di efficienza ma un imperativo di tutela dei cittadini.
Il bisogno
Il problema che l’Asl si è trovata ad affrontare è tanto chiaro nella sua definizione quanto difficile nella sua risoluzione: non esisteva una visibilità reale e in tempo reale sui dispositivi biomedicali connessi alla rete. La loro presenza era nota solo attraverso stime approssimative, senza alcuna mappatura oggettiva e affidabile. Nessuno sapeva con certezza quanti dispositivi fossero effettivamente attivi, quali fossero vulnerabili, quali operassero con sistemi operativi obsoleti o non più supportati, quali generassero traffico anomalo. In assenza di strumenti di monitoraggio dedicati, la sicurezza di questi asset — che nel frattempo diventano nodi attivi della catena clinica, capaci di raccogliere, elaborare e trasmettere dati diagnostici — era affidata a misure perimetrali tradizionali e a procedure operative che non potevano garantire né la granularità né la tempestività necessarie.
Il metodo e la soluzione
La scelta di adottare Armis Centrix si inserisce in una strategia più ampia di valutazione degli strumenti necessari a mettere in sicurezza l’architettura informativa dell’Asl e garantire la conformità normativa. Il requisito fondamentale è individuare una soluzione capace di proteggere ogni componente del sistema, inclusa l’apparecchiatura biomedicale — un ambito che le piattaforme di sicurezza IT tradizionali faticano a coprire in modo adeguato, perché i dispositivi medicali hanno cicli di vita lunghissimi, sistemi operativi proprietari o non aggiornabili e vincoli operativi che impediscono l’installazione di agenti software convenzionali.
E Armis Centrix è scelta e implementata con un obiettivo preciso: fornire all’Asl Napoli 1 Centro una visione completa, in tempo reale, dell’inventario biomedicale connesso e dei rischi associati. Il deployment prevede quindi l’installazione di dodici collector distribuiti su dodici strutture, e i risultati sono pressoché immediati. Come racconta Fulvio Paone, direttore dell’Unità Ict e Trasformazione Digitale di Asl Napoli 1 Centro, “il time-to-value è immediato: Armis ha iniziato a fornire informazioni di valore non appena il sistema è stato attivato e connesso alla rete interna dell’Asl”. Grazie all’infrastruttura di comunicazione già esistente, che è stata parzialmente riutilizzata per l’integrazione, l’Asl ha ottenuto visibilità operativa sin da subito, “senza procedure invasive né modifiche rilevanti all’architettura”.
Nel giro del primo mese la piattaforma ha prodotto una mappatura accurata dei dispositivi connessi alla rete, ben oltre la semplice “identificazione”. Armis Centrix determina se un dispositivo è attivo o inattivo, vulnerabile o aggiornabile, connesso in modo stabile o intermittente, e se genera traffico anomalo. In breve tempo l’Asl riesce così a monitorare oltre duemila asset con un livello di dettaglio che comprende la postura di sicurezza, lo stato operativo e l’utilizzo effettivo di ciascun dispositivo.
Un aspetto rilevante del progetto riguarda poi la coerenza con l’evoluzione infrastrutturale dell’Asl. L’architettura IT di Asl Napoli 1 Centro sta migrando verso un modello ibrido in cui i dati clinici confluiscono nel Polo Strategico Nazionale, mentre i sistemi che richiedono bassa latenza restano operativi localmente. Questo scenario complesso richiede un’architettura segmentata, con firewall di nuova generazione, canali di comunicazione dedicati e controlli di accesso basati sui profili utente. Armis Centrix si inserisce in questo disegno come livello trasversale di visibilità e controllo, capace di operare indipendentemente dalla topologia della rete sottostante.
I vantaggi: sicurezza, conformità, pianificazione degli investimenti
Il primo e più tangibile beneficio è la visibilità. Per la prima volta l’Asl Napoli 1 Centro dispone di una fotografia completa, aggiornata e oggettiva del proprio parco biomedicale connesso. Questo significa sapere con certezza quali dispositivi sono obsoleti o non più aggiornabili, dove si concentrano le vulnerabilità, quali asset necessitano di sostituzione o dismissione. La capacità di gestire proattivamente il debito tecnico — anziché scoprirlo durante un incidente — rappresenta un cambio di paradigma nella governance Ict della struttura sanitaria.
Il secondo vantaggio riguarda la conformità normativa. L’identificazione puntuale degli asset, delle vulnerabilità e dei rischi associati consente all’Asl di avanzare progressivamente nell’allineamento alle linee guida Acn e ai requisiti della direttiva Nis2, trasformando un obbligo regolatorio in un percorso strutturato e misurabile di miglioramento continuo.
Il terzo livello di beneficio è strategico, e Paone lo esprime così: “Armis ci ha dato visibilità su un’area critica. Non si tratta solo di protezione: si tratta di capire come lavoriamo, dove intervenire e dove investire. Oggi possiamo preparare piani di investimento futuri con precisione”. La piattaforma, in altre parole, non si limita a proteggere: fornisce dati che alimentano le decisioni di pianificazione, dalla sostituzione programmata delle apparecchiature all’allocazione ottimale delle risorse, fino all’efficienza clinica. Sapere che un certo dispositivo è sottoutilizzato, o che un altro è connesso in modo intermittente, permette di ridistribuire il parco tecnologico in funzione delle reali esigenze assistenziali.
Verso una governance unificata
Il progetto con Armis non è un punto di arrivo ma l’inizio di un percorso più ampio. L’unità Ict dell’Asl prevede di integrare Armis Centrix con le soluzioni già in uso — dalle piattaforme di protezione degli endpoint ai sistemi di monitoraggio della rete e dei firewall, fino alla piattaforma di gestione dell’ingegneria clinica — per costruire un livello unificato di visibilità e controllo che supporti una governance completa e trasparente dell’intera infrastruttura.
Il caso dell’Asl Napoli 1 Centro è significativo poi oltre il perimetro della singola azienda sanitaria. Dimostra che anche organizzazioni di grandi dimensioni, con infrastrutture distribuite e stratificate, possono ottenere risultati concreti e rapidi nella protezione dei dispositivi biomedicali — a patto di adottare strumenti progettati per la specificità di quegli ambienti. In un settore in cui ogni dispositivo connesso è potenzialmente un punto di ingresso per un attacco e, al tempo stesso, un anello nella catena delle cure, la visibilità non è un lusso tecnologico: è una precondizione per la sicurezza dei pazienti. Come sintetizza Nicola Altavilla, director della region mediterranea di Armis, la missione resta “aiutare le organizzazioni a costruire un ecosistema più connesso, efficiente e sicuro a beneficio dei pazienti e della società nel suo complesso”.
© RIPRODUZIONE RISERVATA
