AUTORE PRINCIPALE
Andrea Gelmetti
AFFILIAZIONE
IRCSS San Matteo Pavia
VALUTA IL CHALLENGE
GRUPPO DI LAVORO
Andrea Gelmetti – IRCSS San Matteo Pavia, Lombardia
Andrea Assunto – IRCSS San Matteo Pavia, LOMBARDIA
AREA TEMATICA
ICT ed informatica medica
ABSTRACT
La Sanità ha avuto nell’ultimo anno l’incremento più alto di attacchi: 988% 159 su 1552
Tecniche di attacco:
- Ransomware: l’85% dei malware grazie alla semplicità di diffusione. Non garantire la business continuity significa mettere in pericolo vite umane. Massima attenzione alle minacce ransomware.
- IoT: l’insieme di ogni dispositivo collegato al sistema. L’evoluzione dei sistemi elettromedicali ha portato aumento di dispositivi connessi e integrati. Nucleo del sistema è l’integrazione tra i diversi componenti. Senza integrazione condivisa le vulnerabilità aumentano.
- L’uomo: l’errore umano è rilevante. Le minacce di phishing fanno leva su stati d’animo dell’impiegato che clicca sul link infetto.
La sicurezza informatica in sanità presenta difficoltà. Strutture dove l’errore porta a gravi conseguenze sono le più difficili da proteggere.
Molti ospedali hanno budget limitati per l’infrastruttura e questo ha portato a implementarla nel tempo con componenti diversi. Il personale interno carente il parco macchine un insieme eterogeneo di sistemi operativi. La riprogettazione da zero impossibile. Una rete non progettata sicura è vulnerabile. Wannacry ha messo in ginocchio il sistema sanitario britannico basato su Windows XP.
Problema: software-lock dispositivi con postazioni Windows XP senza patch altrimenti i macchinari collegati non funzionano.
Le misure introdotte da AGID sono il supporto metodologico con cui le amministrazioni possono verificare la propria situazione e avviare un percorso di miglioramento:
- Forniscono un riferimento operativo utilizzabile;
- Stabiliscono una base comune di misure tecniche ed organizzative;
- Forniscono uno strumento per verificare lo stato di protezione contro le minacce informatiche;
- Responsabilizzano le Amministrazioni sulla necessità della cybersecurity.
L’applicazione del GDPR ha mutato la percezione della cybersecurity in sanità. Introdotti nuovi obblighi: notifica del data breach nomina del DPO.
La sanità deve adeguarsi al decreto NIS che ha l’obiettivo di migliorare la capacità di gestire la sicurezza delle reti.
Poche aziende sono in linea con gli adempimenti altre stanno introducendo strumenti e competenze.
L’ AS-IS:
- Assessment della conformità alle misure minime.
- Documentazione relativa allo stato delle misure;
- Valutazione delle misure di supporto;
- Conclusione dell’Assessment e piano di azioni;
Il TO-BE:
- Strumenti di Vulnerability Assessment network scan code review per identificare e rimediare le vulnerabilità;
