Cybersecurity e salute: “la sfida non è solo finanziaria ma anche umana” (F. Lancereau, WALLIX)

“Per proteggere le infrastrutture IT delle istituzioni sanitarie, è necessario un budget per investire in soluzioni appropriate, ma sono necessarie anche competenze. Il piano France Reliance è un primo passo con il supporto per l’aspetto finanziario. Tuttavia, senza risorse umane, i progetti non possono essere realizzati efficacemente. L’accento deve quindi essere posto sul reclutamento, ma anche sulla sensibilizzazione e formazione per tutte le professioni ospedaliere. La cybersecurity è ormai una questione di governance.” 

In un’intervista esclusiva con Health & Tech Intelligence, François Lancereau, esperto di sanità presso WALLIX, azienda europea di software di sicurezza IT specializzata nella gestione degli accessi e delle identità digitali, discute delle problematiche e delle sfide della cybersecurity nelle istituzioni sanitarie. 

📌 Elementi chiave della discussione: 

• François Lancereau ritiene che i budget attuali per la cybersecurity degli ospedali siano “non sufficienti” ma sottolinea che il Piano di Ripresa della Francia è stato un salvavita per un gran numero di istituzioni sanitarie: ha permesso loro di acquisire soluzioni che non potevano ottenere in precedenza; 

• Insiste sul fatto che anche l’acquisizione di risorse umane competenti in informatica è essenziale; 

• “Il tema della sicurezza informatica deve essere affrontato globalmente” all’interno dell’organizzazione (questioni di governance), e non solo dal CISO per esempio, nota: “è necessario che tutte le persone nell’organizzazione si approprino del tema per evitare violazioni”; 

• Una delle difficoltà è rendere tutto il personale consapevole delle buone pratiche: “senza una vera gestione del cambiamento, il progetto di cybersecurity potrebbe essere un fallimento”; 

• In passato, alcuni produttori americani o giapponesi potevano evitare certi controlli o regole, ma oggi questo non è più possibile. “Qui è dove aiutano le normative europee: ci stiamo muovendo verso il principio del ‘non hanno più scelta’. Non sono più le strutture ad adattarsi ai produttori, ma i produttori ad adattarsi alle esigenze delle strutture.” WALLIX ha già avviato discussioni con molti di loro “per avviare questo cambiamento”; 

• François Lancereau insiste anche sull’importanza di integrare gli aspetti di sicurezza “by design”: “Dobbiamo supervisionare tutto ciò che entrerà nell’ospedale, assicurandoci che l’attrezzatura possa essere resa sicura”; 

• Per François Lancereau, il pagamento dei riscatti è “un’aberrazione”: “L’Europa ha più interesse di qualsiasi altro nel imporsi per dettare le sue regole (…) È necessario un ‘no’ massiccio in tutta l’UE”; 

• Infine, sottolinea l’importanza di sviluppare buoni riflessi di sicurezza informatica tra le nuove generazioni, a partire dalla scuola elementare. 

 

Assicurare tutti gli accessi utente “secondo il principio del minimo privilegio” 

Potrebbe presentare in poche parole WALLIX e in particolare le vostre attività nel settore sanitario? 

François Lancereau: La nostra specialità è la sicurezza degli accessi e delle identità digitali. Siamo presenti in più di 90 paesi con oltre 2.000 clienti in tutto il mondo. Abbiamo una forte presenza in Francia, ma siamo riusciti a espanderci a livello internazionale negli ultimi 20 anni (l’azienda è stata fondata nel 2003). Questo ci permette di affrontare le diverse disparità che esistono in termini di regolamenti sul mercato: con lo stesso prodotto, non abbiamo necessariamente le stesse applicazioni a seconda dell’origine del nostro cliente (Stati Uniti o Francia, ad esempio). 

La nostra soluzione, WALLIX PAM4ALL (PAM: Privileged Access Management), mira a garantire tutti gli accessi degli utenti – umani o macchine – di un’organizzazione, secondo il principio del minimo privilegio. Questo permette di identificare chi fa cosa, dove, quando e come. 

I nostri settori preferiti sono l’industria, la sanità e i servizi finanziari, con una forte esperienza nell’IoT industriale (attrezzature connesse / esempi: macchine di produzione in fabbrica, scanner, robot nei laboratori, risonanze magnetiche, ecc.): tecnologie critiche che spesso funzionano su versioni molto vecchie di Windows. 

Alcuni degli ospedali con cui abbiamo contrattato negli ultimi anni hanno realizzato – quando hanno installato WALLIX PAM4ALL – il comportamento dei loro utenti, in particolare dei loro fornitori di servizi: segnalando i periodi di connessione, identificando le attrezzature che tendevano ad avere guasti regolari. Da quando il bastion è in funzione, hanno notato che questi dispositivi non hanno più guasti, che tutto va bene. Con la nostra soluzione, rendiamo le persone responsabili: non impediamo loro di lavorare, l’obiettivo è renderli sicuri. 

 

Consapevolezza della necessità di reclutare profili esperti 

Gli attacchi informatici sono in aumento nel settore sanitario, l’ultimo dei quali è l’attacco molto pubblicizzato al Centre Hospitalier Sud Francilien (CHSF). Secondo lei, i budget assegnati agli ospedali sono sufficienti per garantire la loro protezione informatica? 

I budget attuali degli ospedali non sono sufficienti. È anche importante capire che quando inizialmente è stato necessario nominare i CIO negli ospedali, questo ruolo è stato spesso assegnato automaticamente ai medici che avevano più o meno affinità con l’informatica. Da allora questa organizzazione è cambiata molto: alcuni di questi medici sono diventati esperti IT, oppure la posizione è stata assegnata a persone il cui lavoro era effettivamente in ambito IT. Il processo è iniziato prima della pandemia di Covid, e poi, a causa dei vari attacchi che hanno avuto luogo durante e dopo la crisi, siamo riusciti a far capire collettivamente che è necessario assegnare questo ruolo a persone esperte che sanno di cosa parlano. 

In passato, i CISOs erano visti come profeti di sventura, avvertendo della necessità di avere un budget dedicato alla cybersecurity, di implementare questa o quella pratica, di sensibilizzare il personale, ecc. Di solito veniva detto loro che non c’era né il budget né il tempo per implementare le loro raccomandazioni. Fino a quando non si verificava un disastro e avevano ragione. Se fossero stati ascoltati fin dall’inizio, alcune situazioni avrebbero potuto essere evitate o almeno contenute. 

I mezzi finanziari ci permettono di avere mezzi materiali ma anche umani. Il piano France Relance aiuta le istituzioni con l’aspetto “capitale”, ma devono capire che hanno anche bisogno di risorse umane per affrontare questi problemi. 

Quindi la questione non riguarda solo il budget, ma l’aspetto “mezzi” nel senso più ampio: avere persone competenti e formate… Il vantaggio oggi è che ora abbiamo una vera attenzione per le questioni di cybersecurity, un’attenzione che non avevamo prima. Tutti capiscono che un attacco informatico potrebbe avere effetti catastrofici sui servizi ospedalieri. Ad esempio, se gli hacker mettono fuori uso il sistema di ventilazione nelle sale operatorie, devono chiudere immediatamente la sala, perché una sala non ventilata non è più sterile: se un paziente è sul tavolo operatorio al momento dell’attacco e tutto si ferma, le conseguenze possono essere drammatiche. 

La necessità di una vera governance affinché la questione diventi comune 

Chi pensa debba farsi carico di questa questione nelle strutture sanitarie per prevenire tali attacchi? 

Il problema non è “chi”, altrimenti tutti si rimpallano la responsabilità fino a quando uno di loro la prende, ad esempio il CISO: e se succede qualcosa, dovrà assumersi tutta la responsabilità. Il tema deve essere affrontato con una vera questione di governance affinché diventi una questione comune. Non è più possibile che ognuno agisca nel proprio angolo. 

La questione deve essere affrontata in modo globale. Il CISO avrà un ruolo nel fare raccomandazioni, perché è suo compito mettere in sicurezza le varie professioni, ma ha bisogno del supporto del dipartimento IT e del personale (infermieri, medici, persone che lavorano in laboratorio, ecc.). 

Ciò che è complicato è coinvolgere tutti. È difficile cambiare le abitudini lavorative. La sensibilizzazione e la formazione sono quindi essenziali quando si implementano progetti di cybersecurity. Senza una vera gestione del cambiamento, il progetto potrebbe fallire. Tutte le persone nell’organizzazione devono prendere in carico il tema per evitare violazioni. 

Per quanto riguarda l’anticipazione degli attacchi, ci sono un certo numero di strutture che possono attualmente utilizzare soluzioni come la VPN (Virtual Private Network) per sapere chi entra e chi esce. Ad esempio, quando una persona viene a pulire, può usare un badge per entrare e uscire. Ma quale garanzia abbiamo che sia la persona che sta pulendo? Soprattutto perché con questo tipo di badge, questa persona può andare ovunque nell’istituzione. Questo è uno dei principali problemi: non sappiamo cosa stiano effettivamente facendo le persone nell’organizzazione. Non c’è feedback. Ad esempio, Uber è stata hackerata alla fine del 2016 (e anche lo scorso settembre…). È una grande azienda statunitense, con molte risorse, ma ci sono voluti 2 anni per sapere che erano stati hackerati. Non avevano prove. 

Oggi dobbiamo essere in grado di mettere in sicurezza tutti i potenziali punti di ingresso per gli hacker. Finché ci saranno esseri umani, ci saranno rischi. Non è una questione di “se” sarò attaccato, ma “quando”. 

“Le normative sono buone, applicarle è meglio” 

Dovrebbero essere messe in atto normative specifiche? Pensa che il Cyber Resilience Act, attualmente in fase di redazione a livello europeo per gli oggetti connessi, dovrebbe essere esteso? 

Le normative sono buone, applicarle è meglio. Se ti chiedo di fare 50 compiti in un giorno, non è possibile. Ma ci sono effettivamente cose che devono essere legiferate. Ad esempio, ci sono molti dispositivi biomedici prodotti da editori stranieri che sono soggetti a leggi diverse dalle nostre. Alcuni di essi dovranno conformarsi alla legislazione francese: non possono più agire come desiderano, ma c’è un periodo di incertezza. 

Alcuni dei nostri clienti sono già in contatto con noi (WALLIX) proprio per vedere come interfacciare le nostre soluzioni per poter tracciare ciò che stanno facendo perché oggi, qualsiasi struttura sanitaria è tenuta a sapere cosa sta succedendo al suo interno. 

Fino ad ora, questi produttori avevano la possibilità di sfuggire a certi controlli o regole. Oggi, questo non è più possibile. Qui è dove aiuta la regolamentazione europea: stiamo convergendo verso il principio del “non hanno più scelta”. Non sono più le istituzioni ad adattarsi ai produttori, ma i produttori ad adattarsi alle esigenze delle istituzioni. Per questo abbiamo già avviato discussioni con molti di loro per iniziare questo cambiamento. È in questo contesto che la legislazione francese ed europea sono molto importanti. 

D’altra parte, internamente, per gli ospedali, come dicevo, sono soprattutto i mezzi di cui hanno bisogno. 

“Il piano di ripresa della Francia è stato un salvatore per un gran numero di ospedali 

Una versione aggiornata dello standard di certificazione HDS è in fase di costruzione e la nuova roadmap francese per la salute digitale 2023-2027 dovrebbe porre la cybersecurity tra le priorità: quali sono le sue aspettative riguardo a questi cambiamenti normativi? 

Bisogna pensare alla sicurezza “by design”: quando si costruisce una soluzione, bisogna chiedersi fin dall’inizio come garantire che sia sicura, o almeno come renderla facilmente sicura. In sala operatoria, se si installa una telecamera e la si collega all’infrastruttura IT, come si fa a sapere da dove proviene e se il sistema è sicuro? Bisogna controllare tutto ciò che entra nell’ospedale, assicurarsi che l’attrezzatura sia “sicura” e/o protetta. 

In WALLIX, ad esempio, abbiamo sviluppato sessioni di sensibilizzazione nelle grandi scuole per coloro che saranno i leader aziendali di domani, i futuri responsabili tecnici e amministrativi. Quando qualcuno accede alla propria email e vede un’email strana, il suo primo istinto dovrebbe essere non aprirla, segnalarla al reparto IT e cancellarla. Quando eseguiamo un test di phishing nelle organizzazioni, notiamo che le persone che rispondono al phishing non sono sempre quelle che pensiamo. Può essere un manager o un receptionist: gli impatti non sono gli stessi a seconda del profilo. 

Il nostro obiettivo è sviluppare questi riflessi nelle nuove giovani generazioni, andando oltre l’apprendimento delle basi. L’idea è di sensibilizzare fin dalla più tenera età, a partire dalla scuola elementare, perché i bambini iniziano a usare gli strumenti digitali molto presto. Le buone pratiche di cybersecurity devono diventare un riflesso, come insegnare ai bambini ad attraversare la strada guardando a destra e a sinistra. 

Ritiene che ci sia già stata un’evoluzione nella consapevolezza generale sul tema della cybersecurity? 

Inoltre, fino ad ora, tutti pensavano che le soluzioni PAM (Privileged Access Management) fossero effettivamente utili, ma non c’era una vera consapevolezza della loro necessità. Questo non è più il problema: ora è ovvio che queste soluzioni sono necessarie per gestire le identità e sapere cosa sta succedendo internamente, ma anche cosa stanno facendo i fornitori di servizi, perché un ospedale ha diverse centinaia di fornitori di servizi che si collegano ogni giorno. È un alveare di persone che entrano ed escono. Avere questo tipo di soluzioni ci permette di avere telecamere, controlli di accesso, rilevare comportamenti strani e mettere in atto meccanismi di blocco. 

In questo senso, il piano France Relance aiuta davvero: ha permesso agli ospedali di acquisire soluzioni che non potevano precedentemente acquistare a causa della mancanza di risorse finanziarie. L’unico inconveniente è che consente il finanziamento in un momento “T”. C’è un elemento ricorrente da aspettarsi negli anni a venire. 

In ogni caso, il piano France Relance è stato un salvatore per un gran numero di istituzioni sanitarie. È un peccato che ci sia voluto così tanto tempo, ma ora che è qui, è un passo avanti. 

Pagamenti di riscatto: “è necessario un massiccio no a livello UE” 

Qual è la sua opinione sui pagamenti di riscatto? 

Personalmente, penso che sia un’aberrazione pagare il riscatto richiesto dagli hacker. Non appena lo Stato convalida il principio dei pagamenti di riscatto da parte delle compagnie assicurative (questo può essere di interesse per queste compagnie), dal punto di vista di un cyber-attacker, è una manna. Tutti gli hacker del mondo si rivolgeranno alla Francia! 

Ecco dove sono essenziali le normative europee. Siamo molto avanzati su questo tema in Francia, ma dall’altra parte abbiamo i giganti americani (GAFAM) che fino ad ora hanno fatto quello che volevano. L’Europa ha più interesse di qualsiasi altro nel imporsi per dettare le sue regole. La Francia da sola non può fare nulla: è necessario un massiccio “no” a livello dell’intera Unione Europea.”