Cybersecurity e salute: la sfida non è solo finanziaria ma anche umana (F. Lancereau, WALLIX)

“Per proteggere le infrastrutture IT delle istituzioni sanitarie, è necessario un budget per investire in soluzioni appropriate, ma sono necessarie anche competenze. Il piano France Reliance è un primo passo con il supporto per l’aspetto finanziario. Tuttavia, senza risorse umane, i progetti non possono essere realizzati efficacemente. L’accento deve quindi essere posto sul reclutamento, ma anche sulla sensibilizzazione e formazione per tutte le professioni ospedaliere. La cybersecurity è ormai una questione di governance.” 

In un’intervista esclusiva con Health & Tech Intelligence, François Lancereau, esperto di sanità presso WALLIX, azienda europea di software di sicurezza IT specializzata nella gestione degli accessi e delle identità digitali, discute delle problematiche e delle sfide della cybersecurity nelle istituzioni sanitarie. 

📌 Elementi chiave della discussione: 

  • François Lancereau ritiene che i budget attuali per la cybersecurity degli ospedali siano “non sufficienti” ma sottolinea che il Piano di Ripresa della Francia è stato un salvavita per un gran numero di istituzioni sanitarie: ha permesso loro di acquisire soluzioni che non potevano ottenere in precedenza; 
  • Insiste sul fatto che anche l’acquisizione di risorse umane competenti in informatica è essenziale; 
  • “Il tema della sicurezza informatica deve essere affrontato globalmente” all’interno dell’organizzazione (questioni di governance), e non solo dal CISO per esempio, nota: “è necessario che tutte le persone nell’organizzazione si approprino del tema per evitare violazioni”; 
  • Una delle difficoltà è rendere tutto il personale consapevole delle buone pratiche: “senza una vera gestione del cambiamento, il progetto di cybersecurity potrebbe essere un fallimento”; 
  • In passato, alcuni produttori americani o giapponesi potevano evitare certi controlli o regole, ma oggi questo non è più possibile. “Qui è dove aiutano le normative europee: ci stiamo muovendo verso il principio del ‘non hanno più scelta’. Non sono più le strutture ad adattarsi ai produttori, ma i produttori ad adattarsi alle esigenze delle strutture.” WALLIX ha già avviato discussioni con molti di loro “per avviare questo cambiamento”; 
  • François Lancereau insiste anche sull’importanza di integrare gli aspetti di sicurezza “by design”: “Dobbiamo supervisionare tutto ciò che entrerà nell’ospedale, assicurandoci che l’attrezzatura possa essere resa sicura”; 
  • Per François Lancereau, il pagamento dei riscatti è “un’aberrazione”: “L’Europa ha più interesse di qualsiasi altro nel imporsi per dettare le sue regole (…) È necessario un ‘no’ massiccio in tutta l’UE”; 
  • Infine, sottolinea l’importanza di sviluppare buoni riflessi di sicurezza informatica tra le nuove generazioni, a partire dalla scuola elementare. 

 

Assicurare tutti gli accessi utente “secondo il principio del minimo privilegio” 

Potrebbe presentare in poche parole WALLIX e in particolare le vostre attività nel settore sanitario? 

François Lancereau: La nostra specialità è la sicurezza degli accessi e delle identità digitali. Siamo presenti in più di 90 paesi con oltre 2.000 clienti in tutto il mondo. Abbiamo una forte presenza in Francia, ma siamo riusciti a espanderci a livello internazionale negli ultimi 20 anni (l’azienda è stata fondata nel 2003). Questo ci permette di affrontare le diverse disparità che esistono in termini di regolamenti sul mercato: con lo stesso prodotto, non abbiamo necessariamente le stesse applicazioni a seconda dell’origine del nostro cliente (Stati Uniti o Francia, ad esempio). 

La nostra soluzione, WALLIX PAM4ALL (PAM: Privileged Access Management), mira a garantire tutti gli accessi degli utenti – umani o macchine – di un’organizzazione, secondo il principio del minimo privilegio. Questo permette di identificare chi fa cosa, dove, quando e come. 

I nostri settori preferiti sono l’industria, la sanità e i servizi finanziari, con una forte esperienza nell’IoT industriale (attrezzature connesse / esempi: macchine di produzione in fabbrica, scanner, robot nei laboratori, risonanze magnetiche, ecc.): tecnologie critiche che spesso funzionano su versioni molto vecchie di Windows. 

Alcuni degli ospedali con cui abbiamo contrattato negli ultimi anni hanno realizzato – quando hanno installato WALLIX PAM4ALL – il comportamento dei loro utenti, in particolare dei loro fornitori di servizi: segnalando i periodi di connessione, identificando le attrezzature che tendevano ad avere guasti regolari. Da quando il bastion è in funzione, hanno notato che questi dispositivi non hanno più guasti, che tutto va bene. Con la nostra soluzione, rendiamo le persone responsabili: non impediamo loro di lavorare, l’obiettivo è renderli sicuri. 

 

Consapevolezza della necessità di reclutare profili esperti 

Gli attacchi informatici sono in aumento nel settore sanitario, l’ultimo dei quali è l’attacco molto pubblicizzato al Centre Hospitalier Sud Francilien (CHSF). Secondo lei, i budget assegnati agli ospedali sono sufficienti per garantire la loro protezione informatica? 

I budget attuali degli ospedali non sono sufficienti. È anche importante capire che quando inizialmente è stato necessario nominare i CIO negli ospedali, questo ruolo è stato spesso assegnato automaticamente ai medici che avevano più o meno affinità con l’informatica. Da allora questa organizzazione è cambiata molto: alcuni di questi medici sono diventati esperti IT, oppure la posizione è stata assegnata a persone il cui lavoro era effettivamente in ambito IT. Il processo è iniziato prima della pandemia di Covid, e poi, a causa dei vari attacchi che hanno avuto luogo durante e dopo la crisi, siamo riusciti a far capire collettivamente che è necessario assegnare questo ruolo a persone esperte che sanno di cosa parlano. 

In passato, i CISOs erano visti come profeti di sventura, avvertendo della necessità di avere un budget dedicato alla cybersecurity, di implementare questa o quella pratica, di sensibilizzare il personale, ecc. Di solito veniva detto loro che non c’era né il budget né il tempo per implementare le loro raccomandazioni. Fino a quando non si verificava un disastro e avevano ragione. Se fossero stati ascoltati fin dall’inizio, alcune situazioni avrebbero potuto essere evitate o almeno contenute. 

I mezzi finanziari ci permettono di avere mezzi materiali ma anche umani. Il piano France Relance aiuta le istituzioni con l’aspetto “capitale”, ma devono capire che hanno anche bisogno di risorse umane per affrontare questi problemi. 

Quindi la questione non riguarda solo il budget, ma l’aspetto “mezzi” nel senso più ampio: avere persone competenti e formate… Il vantaggio oggi è che ora abbiamo una vera attenzione per le questioni di cybersecurity, un’attenzione che non avevamo prima. Tutti capiscono che un attacco informatico potrebbe avere effetti catastrofici sui servizi ospedalieri. Ad esempio, se gli hacker mettono fuori uso il sistema di ventilazione nelle sale operatorie, devono chiudere immediatamente la sala, perché una sala non ventilata non è più sterile: se un paziente è sul tavolo operatorio al momento dell’attacco e tutto si ferma, le conseguenze possono essere drammatiche. 

La necessità di una vera governance affinché la questione diventi comune 

Chi pensa debba farsi carico di questa questione nelle strutture sanitarie per prevenire tali attacchi? 

Il problema non è “chi”, altrimenti tutti si rimpallano la responsabilità fino a quando uno di loro la prende, ad esempio il CISO: e se succede qualcosa, dovrà assumersi tutta la responsabilità. Il tema deve essere affrontato con una vera questione di governance affinché diventi una questione comune. Non è più possibile che ognuno agisca nel proprio angolo. 

La questione deve essere affrontata in modo globale. Il CISO avrà un ruolo nel fare raccomandazioni, perché è suo compito mettere in sicurezza le varie professioni, ma ha bisogno del supporto del dipartimento IT e del personale (infermieri, medici, persone che lavorano in laboratorio, ecc.). 

Ciò che è complicato è coinvolgere tutti. È difficile cambiare le abitudini lavorative. La sensibilizzazione e la formazione sono quindi essenziali quando si implementano progetti di cybersecurity. Senza una vera gestione del cambiamento, il progetto potrebbe fallire. Tutte le persone nell’organizzazione devono prendere in carico il tema per evitare violazioni. 

Per quanto riguarda l’anticipazione degli attacchi, ci sono un certo numero di strutture che possono attualmente utilizzare soluzioni come la VPN (Virtual Private Network) per sapere chi entra e chi esce. Ad esempio, quando una persona viene a pulire, può usare un badge per entrare e uscire. Ma quale garanzia abbiamo che sia la persona che sta pulendo? Soprattutto perché con questo tipo di badge, questa persona può andare ovunque nell’istituzione. Questo è uno dei principali problemi: non sappiamo cosa stiano effettivamente facendo le persone nell’organizzazione. Non c’è feedback. Ad esempio, Uber è stata hackerata alla fine del 2016 (e anche lo scorso settembre…). È una grande azienda statunitense, con molte risorse, ma ci sono voluti 2 anni per sapere che erano stati hackerati. Non avevano prove. 

Oggi dobbiamo essere in grado di mettere in sicurezza tutti i potenziali punti di ingresso per gli hacker. Finché ci saranno esseri umani, ci saranno rischi. Non è una questione di “se” sarò attaccato, ma “quando”. 

“Le normative sono buone, applicarle è meglio” 

Dovrebbero essere messe in atto normative specifiche? Pensa che il Cyber Resilience Act, attualmente in fase di redazione a livello europeo per gli oggetti connessi, dovrebbe essere esteso? 

Le normative sono buone, applicarle è meglio. Se ti chiedo di fare 50 compiti in un giorno, non è possibile. Ma ci sono effettivamente cose che devono essere legiferate. Ad esempio, ci sono molti dispositivi biomedici prodotti da editori stranieri che sono soggetti a leggi diverse dalle nostre. Alcuni di essi dovranno conformarsi alla legislazione francese: non possono più agire come desiderano, ma c’è un periodo di incertezza. 

Alcuni dei nostri clienti sono già in contatto con noi (WALLIX) proprio per vedere come interfacciare le nostre soluzioni per poter tracciare ciò che stanno facendo perché oggi, qualsiasi struttura sanitaria è tenuta a sapere cosa sta succedendo al suo interno. 

Fino ad ora, questi produttori avevano la possibilità di sfuggire a certi controlli o regole. Oggi, questo non è più possibile. Qui è dove aiuta la regolamentazione europea: stiamo convergendo verso il principio del “non hanno più scelta”. Non sono più le istituzioni ad adattarsi ai produttori, ma i produttori ad adattarsi alle esigenze delle istituzioni. Per questo abbiamo già avviato discussioni con molti di loro per iniziare questo cambiamento. È in questo contesto che la legislazione francese ed europea sono molto importanti. 

D’altra parte, internamente, per gli ospedali, come dicevo, sono soprattutto i mezzi di cui hanno bisogno. 

“Il piano di ripresa della Francia è stato un salvatore per un gran numero di ospedali 

Una versione aggiornata dello standard di certificazione HDS è in fase di costruzione e la nuova roadmap francese per la salute digitale 2023-2027 dovrebbe porre la cybersecurity tra le priorità: quali sono le sue aspettative riguardo a questi cambiamenti normativi? 

Bisogna pensare alla sicurezza “by design”: quando si costruisce una soluzione, bisogna chiedersi fin dall’inizio come garantire che sia sicura, o almeno come renderla facilmente sicura. In sala operatoria, se si installa una telecamera e la si collega all’infrastruttura IT, come si fa a sapere da dove proviene e se il sistema è sicuro? Bisogna controllare tutto ciò che entra nell’ospedale, assicurarsi che l’attrezzatura sia “sicura” e/o protetta. 

In WALLIX, ad esempio, abbiamo sviluppato sessioni di sensibilizzazione nelle grandi scuole per coloro che saranno i leader aziendali di domani, i futuri responsabili tecnici e amministrativi. Quando qualcuno accede alla propria email e vede un’email strana, il suo primo istinto dovrebbe essere non aprirla, segnalarla al reparto IT e cancellarla. Quando eseguiamo un test di phishing nelle organizzazioni, notiamo che le persone che rispondono al phishing non sono sempre quelle che pensiamo. Può essere un manager o un receptionist: gli impatti non sono gli stessi a seconda del profilo. 

Il nostro obiettivo è sviluppare questi riflessi nelle nuove giovani generazioni, andando oltre l’apprendimento delle basi. L’idea è di sensibilizzare fin dalla più tenera età, a partire dalla scuola elementare, perché i bambini iniziano a usare gli strumenti digitali molto presto. Le buone pratiche di cybersecurity devono diventare un riflesso, come insegnare ai bambini ad attraversare la strada guardando a destra e a sinistra. 

Ritiene che ci sia già stata un’evoluzione nella consapevolezza generale sul tema della cybersecurity? 

Inoltre, fino ad ora, tutti pensavano che le soluzioni PAM (Privileged Access Management) fossero effettivamente utili, ma non c’era una vera consapevolezza della loro necessità. Questo non è più il problema: ora è ovvio che queste soluzioni sono necessarie per gestire le identità e sapere cosa sta succedendo internamente, ma anche cosa stanno facendo i fornitori di servizi, perché un ospedale ha diverse centinaia di fornitori di servizi che si collegano ogni giorno. È un alveare di persone che entrano ed escono. Avere questo tipo di soluzioni ci permette di avere telecamere, controlli di accesso, rilevare comportamenti strani e mettere in atto meccanismi di blocco. 

In questo senso, il piano France Relance aiuta davvero: ha permesso agli ospedali di acquisire soluzioni che non potevano precedentemente acquistare a causa della mancanza di risorse finanziarie. L’unico inconveniente è che consente il finanziamento in un momento “T”. C’è un elemento ricorrente da aspettarsi negli anni a venire. 

In ogni caso, il piano France Relance è stato un salvatore per un gran numero di istituzioni sanitarie. È un peccato che ci sia voluto così tanto tempo, ma ora che è qui, è un passo avanti. 

Pagamenti di riscatto: “è necessario un massiccio no a livello UE” 

Qual è la sua opinione sui pagamenti di riscatto? 

Personalmente, penso che sia un’aberrazione pagare il riscatto richiesto dagli hacker. Non appena lo Stato convalida il principio dei pagamenti di riscatto da parte delle compagnie assicurative (questo può essere di interesse per queste compagnie), dal punto di vista di un cyber-attacker, è una manna. Tutti gli hacker del mondo si rivolgeranno alla Francia! 

Ecco dove sono essenziali le normative europee. Siamo molto avanzati su questo tema in Francia, ma dall’altra parte abbiamo i giganti americani (GAFAM) che fino ad ora hanno fatto quello che volevano. L’Europa ha più interesse di qualsiasi altro nel imporsi per dettare le sue regole. La Francia da sola non può fare nulla: è necessario un massiccio “no” a livello dell’intera Unione Europea.” 

Cybersecurity and health: the challenge is not only financial but also human (F Lancereau, WALLIX)

“In order to secure the IT infrastructures of healthcare institutions, you need a budget to invest in appropriate solutions, but you also need skills. The France Relance plan is a first step with support for the financial aspect. However, without human resources, projects cannot be carried out effectively. The emphasis must therefore be placed on recruitment, but also on awareness and training for all hospital professions. Cybersecurity is now a matter of governance.” In an exclusive interview with Health Tech Intelligence, François Lancereau, healthcare expert at WALLIX, a European IT security software company specializing in digital access and identity management, discusses the issues and challenges of cybersecurity in healthcare institutions.

“L’UE ha tutto l’interesse a imporsi per dettare le sue regole”.

Key elements of the discussion :

  • François Lancereau believes that hospitals’ current cybersecurity budgets are “not sufficient” but points out that the France Recovery Plan has been a life-savior for a large number of healthcare institutions: it has enabled them to acquire solutions that they could not previously obtain;
  • He insists that the acquisition of human resources competent in computer science is also essential;
  • “The subject of IT security must be addressed globally” within the organization (governance issues), and not just by the CISO for example, he notes: “it is necessary that all the people in the organization take ownership of the subject to avoid breaches;
  • One of the difficulties is to make all the staff aware of good practices: “without real change management, the cybersecurity project could be a failure”;
  • In the past, some American or Japanese manufacturers were able to avoid certain controls or rules, but today this is no longer possible. “This is where European regulations help: we are moving towards the principle of “they no longer have a choice”. It’s no longer the facilities that adapt to the manufacturers, it’s the manufacturers that adapt to the facilities’ needs.” WALLIX has already begun discussions with many of them “to initiate this change;
  • François Lancereau also insists on the importance of integrating security aspects “by design“: “We have to supervise everything that is going to enter the hospital, make sure that the equipment can be made safe and/or secure“;
  • For François Lancereau, the payment of ransoms is “an aberration”: “Europe has more than any other interest in imposing itself in order to dictate its rules (…) A massive “no” is needed throughout the EU”;
  • Infine, sottolinea l’importanza di sviluppare buoni riflessi di sicurezza informatica nelle nuove generazioni, a partire dalle scuole elementari.

Secure all user access “according to the principle of least privilege

Could you present in a few words WALLIX and more particularly your activities in the health sector?François Lancereau : Our specialty is securing access and digital identities. Siamo presenti in oltre 90 paesi con più di 2.000 clienti in tutto il mondo. Abbiamo una forte presenza in Francia, ma negli ultimi 20 anni siamo riusciti a espanderci a livello internazionale (l’azienda è stata fondata nel 2003). Questo ci permette di affrontare le diverse disparità che esistono in termini di normative sul mercato: con lo stesso prodotto, non abbiamo necessariamente le stesse applicazioni a seconda dell’origine del nostro cliente (Stati Uniti o Francia, ad esempio). Our solution, WALLIX PAM4ALL (PAM: Privileged Access Management), aims at securing all the accesses of the users – human or machines – of an organization, according to the principle of least privilege. In questo modo è possibile identificare chi fa cosa, dove, quando e come. I nostri settori preferiti sono l’industria, la sanità e i servizi finanziari, con una forte esperienza nell’IoT industriale (apparecchiature connesse / esempi: macchine per la produzione in fabbrica, scanner, robot nei laboratori, risonanze magnetiche, ecc. Some of the hospitals with which we have contracted over the past few years realized – when they installed WALLIX PAM4ALL – the behavior of their users, particularly their service providers: reporting connection periods, identifying equipment that tended to have regular failures. Da quando il bastione è stato installato, hanno notato che questi dispositivi non presentano più guasti e che tutto va bene. With our solution, we make people responsible: we don’t prevent them from working, the goal is to make them secure.

Consapevolezza della necessità di reclutare profili esperti

Cyber attacks are on the rise in the healthcare sector, the latest being the highly publicized attack at the Centre Hospitalier Sud Francilien (CHSF). In your opinion, are hospitals’ budget allocations sufficient to ensure their cyber protection? Gli attuali budget degli ospedali non sono sufficienti. È anche importante capire che quando all’inizio era necessario nominare dei CIO negli ospedali, questo ruolo veniva spesso assegnato automaticamente a medici che avevano più o meno affinità con l’informatica. Questa organizzazione è cambiata molto da allora: o alcuni di questi medici sono diventati esperti di informatica, o la posizione è stata assegnata a persone che facevano il loro lavoro. Il processo è iniziato prima della pandemia di Covid e poi, a causa dei vari attacchi che si sono verificati nel settore durante e dopo la crisi, siamo riusciti a integrare nell’inconscio collettivo la necessità di assegnare questo ruolo a persone esperte che sanno di cosa stanno parlando. In precedenza, i CISO erano visti come dei catastrofisti, che avvertivano della necessità di avere un budget dedicato alla cybersecurity, di implementare questa o quella pratica, di sensibilizzare il personale, ecc. In genere è stato detto loro che non c’erano né il budget né il tempo per attuare le loro raccomandazioni. Di solito veniva detto loro che non c’erano né il budget né il tempo per attuare le loro raccomandazioni. Finché il disastro non si è abbattuto su di loro e si è dimostrato che avevano ragione. Se fossero stati ascoltati fin dall’inizio, certe situazioni si sarebbero potute evitare o almeno contenere. I mezzi finanziari ci permettono di avere mezzi materiali ma anche umani. The France Relance plan helps institutions with the “capital” aspect, but they must understand that they also need to have the human resources to deal with these issues. So the issue is not just about the budget, but about the “means” aspect in the broadest sense: having competent, trained people… The advantage today is that we now have a real ear for cybersecurity issues, an attention that we didn’t have before. Tutti sanno che un attacco informatico potrebbe avere effetti catastrofici sui servizi ospedalieri. For example, if hackers knock out the ventilation system in operating theatres, they have to close the theatre immediately, because a non-ventilated theatre is no longer sterile: if a patient is on the operating table at the time of the attack and everything stops, the consequences can be dramatic.

La necessità di una vera e propria governance affinché la questione diventi comune

Secondo te, chi dovrebbe occuparsi di questo problema nelle strutture sanitarie per prevenire questi attacchi? The problem is not “who”, otherwise everyone passes the buck until one of them catches it, for example the CISO: and if anything happens, he or she will have to take full responsibility. L’argomento deve essere affrontato con un problema di governance reale in modo che diventi un problema comune. Non è più possibile che ognuno agisca nel proprio angolo. L’argomento deve essere affrontato in modo globale. Il CISO avrà un ruolo da svolgere nel formulare raccomandazioni, perché è suo compito mettere in sicurezza le varie professioni, ma ha bisogno del supporto del reparto IT e del personale (infermieri, medici, persone che lavorano in laboratorio, ecc.). What’s complicated is getting everyone on board. È difficile cambiare le abitudini lavorative. La consapevolezza e la formazione sono quindi essenziali quando si implementano progetti di cybersecurity. Senza una vera gestione del cambiamento, il progetto potrebbe fallire. Tutte le persone dell’organizzazione devono assumersi la responsabilità dell’argomento per evitare violazioni. Per quanto riguarda l’anticipazione degli attacchi, ci sono un certo numero di strutture che attualmente possono utilizzare soluzioni come la VPN (Virtual Private Network) per sapere chi entra e chi esce. Ad esempio, quando una persona viene a fare le pulizie, può inserire e togliere il badge. Ma che garanzia abbiamo che sia la persona che sta pulendo? Soprattutto perché con questo tipo di badge la persona può andare ovunque all’interno dell’azienda. That’s one of the main problems: we don’t know what people are actually doing in the organization. There’s no feedback. For example, Uber got hacked in late 2016 (and also last September…). It’s a large US company, with a lot of resources, but it took them 2 years to know they had been hacked. Non avevano prove. Oggi dobbiamo essere in grado di proteggere tutti i potenziali punti di ingresso per gli hacker. Finché ci saranno esseri umani, ci saranno rischi. It’s not a question of “if” I’m going to be attacked, but “when”.

“Regulations are good, enforcing them is better”

Should specific regulations be put in place? Pensi che il Cyber Resilience Act, attualmente in fase di elaborazione a livello europeo per gli oggetti connessi, debba essere esteso? I regolamenti sono buoni, farli rispettare è meglio. Se ti chiedo di svolgere 50 compiti in un giorno, non è possibile. Ma ci sono cose che devono essere regolamentate. Ad esempio, ci sono molti dispositivi biomedici prodotti da editori stranieri che sono soggetti a leggi diverse dalle nostre. Alcuni di loro dovranno adeguarsi alla legislazione francese: non potranno più agire come vogliono, ma c’è un periodo di incertezza. Alcuni dei nostri clienti sono già in contatto con noi (WALLIX) proprio per vedere come interfacciare le nostre soluzioni in modo da poter tracciare ciò che fanno perché oggi qualsiasi struttura sanitaria dovrebbe sapere cosa succede a casa. Finora questi produttori avevano la possibilità di sfuggire a determinati controlli o regole. Oggi questo non è più possibile. This is where the European regulation helps: we are converging towards the principle of “They no longer have a choice”. Non sono più le istituzioni ad adattarsi ai produttori, ma i produttori ad adattarsi alle esigenze delle istituzioni. Per questo motivo abbiamo già iniziato a discutere con molti di loro per avviare questo cambiamento. In questo contesto, la legislazione francese ed europea è molto importante. On the other hand, internally, for the hospitals, as I was saying, it is above all the means that they need.

“The France Recovery Plan has been a lifesaver for a large number of hospitals.

Una versione aggiornata dello standard di certificazione HDS è in fase di realizzazione e la nuova roadmap francese per la salute digitale 2023-2027 dovrebbe porre la cybersecurity tra le priorità: Quali sono le tue aspettative riguardo a questi cambiamenti normativi? You have to think about security “by design”: when you build a solution, you have to ask yourself right from the start how to ensure that it is secure, or at least how to make it easy to secure. In sala operatoria, se si installa una telecamera e la si collega all’infrastruttura IT, come si fa a sapere da dove proviene e se il sistema è sicuro? You have to control everything that comes into the hospital, make sure that the equipment is “safe” and/or secure. At WALLIX, for example, we have developed awareness-raising sessions within the major schools for those who will be tomorrow’s business leaders, the future technical and administrative managers. Quando qualcuno accede alla propria e-mail e vede una strana e-mail, il primo istinto dovrebbe essere quello di non aprirla, di avvisare il proprio reparto IT e di cancellarla. Quando eseguiamo un test di phishing nelle organizzazioni, notiamo che le persone che rispondono al phishing non sono sempre quelle che pensiamo. Può essere un manager o una receptionist: gli impatti non sono gli stessi a seconda del profilo. Il nostro obiettivo è sviluppare questi riflessi nelle nuove generazioni, andando oltre l’apprendimento delle nozioni di base. L’idea è quella di sensibilizzare l’opinione pubblica fin dalla più tenera età, dalle scuole elementari in poi, perché i bambini iniziano a usare gli strumenti digitali molto presto. Good cybersecurity practices must become a reflex, like teaching children to cross the street by looking right and left. Do you feel that there has already been an evolution in general awareness on the subject of cybersecurity? In addition, until now, everyone thought that PAM (Privileged Access Management) solutions were indeed useful, but there was no real awareness of their necessity. That’s no longer the issue: it’s now obvious that you need these solutions to manage identities and know what’s going on internally, but also what the service providers are doing, because a hospital has several hundred service providers who log on every day. It’s a hive of people coming in and out. Disporre di questo tipo di soluzioni ci permette di avere telecamere, controlli di accesso, rilevare comportamenti strani e mettere in atto meccanismi di blocco. In questo senso, il piano France Relance è davvero utile: ha permesso agli ospedali di acquisire soluzioni che prima non potevano acquistare per mancanza di risorse finanziarie. The only drawback is that it allows for financing at a “T” moment. C’è un elemento ricorrente da aspettarsi negli anni a venire. In ogni caso, il piano France Relance è stato un salvavita per un gran numero di istituzioni sanitarie. It’s a shame that it took so long, but now it’s here, it’s a step forward.

Ransom payments: “a massive EU-wide no” is needed

Qual è la tua opinione sui pagamenti dei riscatti? Personally, I think it is an aberration to pay the ransom demanded by the hackers. As soon as the State validates the principle of ransom payments by insurance companies (this may be of interest to these companies), from a cyber-attacker’s point of view, it is a godsend. Tutti gli hacker del mondo si rivolgeranno alla Francia! In questo caso le normative europee sono fondamentali. In Francia siamo molto avanti su questo tema, ma dall’altra parte abbiamo i giganti americani (GAFAM) che finora hanno fatto quello che volevano. L’Europa ha più di ogni altro interesse a imporsi per dettare le proprie regole. France alone can do nothing: a massive “no” is needed at the level of the entire European Union. Leggi l’intervista sul sito web di Health & Tech Intelligence (in francese)

Contenuti correlati

Risorse correlate