Cybersecurity e salute: "La sfida non è solo finanziaria ma anche umana".

“Per rendere sicure le infrastrutture IT delle istituzioni sanitarie, è necessario disporre di un budget per investire in soluzioni adeguate, ma anche di competenze. Il piano France Relance è un primo passo con un supporto per l’aspetto finanziario. Tuttavia, senza risorse umane, i progetti non possono essere realizzati in modo efficace. L’accento va quindi posto sul reclutamento, ma anche sulla sensibilizzazione e sulla formazione di tutte le professioni ospedaliere. La sicurezza informatica è ora una questione di governance”.

In un’intervista esclusiva con Health & Tech Intelligence, François Lancereau, esperto di sanità di WALLIX, azienda europea di software per la sicurezza informatica specializzata nella gestione degli accessi e delle identità digitali, discute i problemi e le sfide della sicurezza informatica nelle istituzioni sanitarie.

“L’UE ha tutto l’interesse a imporsi per dettare le sue regole”.

📌 Elementi chiave della discussione :

– François Lancereau ritiene che gli attuali budget degli ospedali per la cybersicurezza non siano “sufficienti”, ma sottolinea che il France Recovery Plan è stato un salvavita per un gran numero di istituzioni sanitarie: ha permesso loro di acquistare soluzioni che prima non potevano ottenere;

‍
– Insiste sul fatto che anche l’acquisizione di risorse umane competenti in informatica è essenziale;
“Il tema della sicurezza informatica deve essere affrontato a livello globale” all’interno dell’organizzazione (questioni di governance), e non solo dal CISO, ad esempio, osserva: “è necessario che tutte le persone dell’organizzazione si approprino dell’argomento per evitare violazioni”;
– Una delle difficoltà è quella di sensibilizzare tutto il personale alle buone pratiche: “senza una vera gestione del cambiamento, il progetto di cybersecurity potrebbe essere un fallimento”;
– In passato, alcuni produttori americani o giapponesi potevano evitare determinati controlli o regole, ma oggi questo non è più possibile. “È qui che le normative europee ci aiutano: ci stiamo muovendo verso il principio del “non hanno più scelta”. Non sono più le strutture ad adattarsi ai produttori, ma sono i produttori ad adattarsi alle esigenze delle strutture”. WALLIX ha già iniziato a discutere con molti di loro “per avviare questo cambiamento”;
– François Lancereau insiste anche sull’importanza di integrare gli aspetti di sicurezza “by design”: “Dobbiamo supervisionare tutto ciò che entra nell’ospedale e assicurarci che le attrezzature possano essere rese sicure e/o protette”;
– Per François Lancereau, il pagamento dei riscatti è “un’aberrazione”: “L’Europa ha più di ogni altro interesse a imporsi per dettare le sue regole (…) È necessario un “no” massiccio in tutta l’UE”;
Infine, sottolinea l’importanza di sviluppare buoni riflessi di sicurezza informatica nelle nuove generazioni, a partire dalle scuole elementari.

‍

Potresti presentare in poche parole WALLIX e più in particolare le vostre attività nel settore sanitario?

François Lancereau: La nostra specialità è la sicurezza degli accessi e delle identità digitali. Siamo presenti in oltre 90 paesi con più di 2.000 clienti in tutto il mondo. Abbiamo una forte presenza in Francia, ma negli ultimi 20 anni siamo riusciti a espanderci a livello internazionale (l’azienda è stata fondata nel 2003). Questo ci permette di affrontare le diverse disparità che esistono in termini di normative sul mercato: con lo stesso prodotto, non abbiamo necessariamente le stesse applicazioni a seconda dell’origine del nostro cliente (Stati Uniti o Francia, ad esempio).

La nostra soluzione, WALLIX PAM4ALL (PAM: Privileged Access Management), mira a proteggere tutti gli accessi degli utenti – umani o macchine – di un’organizzazione, secondo il principio del minor privilegio. In questo modo è possibile identificare chi fa cosa, dove, quando e come.

I nostri settori preferiti sono l’industria, la sanità e i servizi finanziari, con una forte esperienza nell’IoT industriale (apparecchiature connesse / esempi: macchine per la produzione in fabbrica, scanner, robot nei laboratori, risonanze magnetiche, ecc.

Alcuni degli ospedali con cui abbiamo stipulato un contratto negli ultimi anni si sono resi conto – quando hanno installato WALLIX PAM4ALL – del comportamento dei loro utenti, in particolare dei loro fornitori di servizi: segnalando i periodi di connessione, identificando le apparecchiature che tendevano ad avere guasti regolari. Da quando il bastione è stato installato, hanno notato che questi dispositivi non presentano più guasti e che tutto va bene. Con la nostra soluzione, responsabilizziamo le persone: non impediamo loro di lavorare, l’obiettivo è renderle sicure.

Consapevolezza della necessità di reclutare profili esperti

Gli attacchi informatici sono in aumento nel settore sanitario, l’ultimo dei quali è stato l’attacco molto pubblicizzato al Centre Hospitalier Sud Francilien (CHSF). Secondo te, gli stanziamenti di bilancio degli ospedali sono sufficienti per garantire la loro protezione informatica?

Gli attuali budget degli ospedali non sono sufficienti. È anche importante capire che quando all’inizio era necessario nominare dei CIO negli ospedali, questo ruolo veniva spesso assegnato automaticamente a medici che avevano più o meno affinità con l’informatica. Questa organizzazione è cambiata molto da allora: o alcuni di questi medici sono diventati esperti di informatica, o la posizione è stata assegnata a persone che facevano il loro lavoro. Il processo è iniziato prima della pandemia di Covid e poi, a causa dei vari attacchi che si sono verificati nel settore durante e dopo la crisi, siamo riusciti a integrare nell’inconscio collettivo la necessità di assegnare questo ruolo a persone esperte che sanno di cosa stanno parlando.

In precedenza, i CISO erano visti come dei catastrofisti, che avvertivano della necessità di avere un budget dedicato alla cybersecurity, di implementare questa o quella pratica, di sensibilizzare il personale, ecc. In genere è stato detto loro che non c’erano né il budget né il tempo per attuare le loro raccomandazioni. Di solito veniva detto loro che non c’erano né il budget né il tempo per attuare le loro raccomandazioni. Finché il disastro non si è abbattuto su di loro e si è dimostrato che avevano ragione. Se fossero stati ascoltati fin dall’inizio, certe situazioni si sarebbero potute evitare o almeno contenere.

I mezzi finanziari ci permettono di avere mezzi materiali ma anche umani. Il piano France Relance aiuta gli istituti a gestire l’aspetto “capitale”, ma devono capire che devono anche avere le risorse umane per affrontare questi problemi.

Quindi la questione non riguarda solo il budget, ma anche l’aspetto dei “mezzi” nel senso più ampio del termine: avere persone competenti e preparate… Il vantaggio di oggi è che ora abbiamo un vero orecchio per i problemi di cybersecurity, un’attenzione che prima non avevamo. Tutti sanno che un attacco informatico potrebbe avere effetti catastrofici sui servizi ospedalieri. Ad esempio, se gli hacker mettono fuori uso il sistema di ventilazione delle sale operatorie, è necessario chiudere immediatamente la sala, perché una sala non ventilata non è più sterile: se un paziente è sul tavolo operatorio al momento dell’attacco e tutto si ferma, le conseguenze possono essere drammatiche.

La necessità di una vera e propria governance affinché la questione diventi comune

Secondo te, chi dovrebbe occuparsi di questo problema nelle strutture sanitarie per prevenire questi attacchi?

Il problema non è “chi”, altrimenti tutti passano la palla al balzo finché uno di loro non se ne accorge, ad esempio il CISO: e se succede qualcosa, dovrà assumersi la piena responsabilità. L’argomento deve essere affrontato con un problema di governance reale in modo che diventi un problema comune. Non è più possibile che ognuno agisca nel proprio angolo.

L’argomento deve essere affrontato in modo globale. Il CISO avrà un ruolo da svolgere nel formulare raccomandazioni, perché è suo compito mettere in sicurezza le varie professioni, ma ha bisogno del supporto del reparto IT e del personale (infermieri, medici, persone che lavorano in laboratorio, ecc.).

Ciò che è complicato è coinvolgere tutti. È difficile cambiare le abitudini lavorative. La consapevolezza e la formazione sono quindi essenziali quando si implementano progetti di cybersecurity. Senza una vera gestione del cambiamento, il progetto potrebbe fallire. Tutte le persone dell’organizzazione devono assumersi la responsabilità dell’argomento per evitare violazioni.

Per quanto riguarda l’anticipazione degli attacchi, ci sono un certo numero di strutture che attualmente possono utilizzare soluzioni come la VPN (Virtual Private Network) per sapere chi entra e chi esce. Ad esempio, quando una persona viene a fare le pulizie, può inserire e togliere il badge. Ma che garanzia abbiamo che sia la persona che sta pulendo? Soprattutto perché con questo tipo di badge la persona può andare ovunque all’interno dell’azienda. Questo è uno dei problemi principali: non sappiamo cosa fanno effettivamente le persone nell’organizzazione. Non c’è feedback. Ad esempio, Uber è stata hackerata alla fine del 2016 (e anche lo scorso settembre…). Si tratta di una grande azienda statunitense, con molte risorse, ma ci sono voluti due anni per sapere che erano stati violati. Non avevano prove.

Oggi dobbiamo essere in grado di proteggere tutti i potenziali punti di ingresso per gli hacker. Finché ci saranno esseri umani, ci saranno rischi. Non è una questione di “se” sarò attaccato, ma di “quando”.

“I regolamenti sono buoni, farli rispettare è meglio”.

Dovrebbero essere introdotti dei regolamenti specifici? Pensi che il Cyber Resilience Act, attualmente in fase di elaborazione a livello europeo per gli oggetti connessi, debba essere esteso?

I regolamenti sono buoni, farli rispettare è meglio. Se ti chiedo di svolgere 50 compiti in un giorno, non è possibile. Ma ci sono cose che devono essere regolamentate. Ad esempio, ci sono molti dispositivi biomedici prodotti da editori stranieri che sono soggetti a leggi diverse dalle nostre. Alcuni di loro dovranno adeguarsi alla legislazione francese: non potranno più agire come vogliono, ma c’è un periodo di incertezza.

Alcuni dei nostri clienti sono già in contatto con noi (WALLIX) proprio per vedere come interfacciare le nostre soluzioni in modo da poter tracciare ciò che fanno perché oggi qualsiasi struttura sanitaria dovrebbe sapere cosa succede a casa.

Finora questi produttori avevano la possibilità di sfuggire a determinati controlli o regole. Oggi questo non è più possibile. È qui che la normativa europea ci aiuta: stiamo convergendo verso il principio “non hanno più scelta”. Non sono più le istituzioni ad adattarsi ai produttori, ma i produttori ad adattarsi alle esigenze delle istituzioni. Per questo motivo abbiamo già iniziato a discutere con molti di loro per avviare questo cambiamento. In questo contesto, la legislazione francese ed europea è molto importante.

D’altra parte, internamente, per gli ospedali, come dicevo, sono soprattutto i mezzi di cui hanno bisogno.

“Il France Recovery Plan è stato un salvavita per un gran numero di ospedali.

Una versione aggiornata dello standard di certificazione HDS è in fase di realizzazione e la nuova roadmap francese per la salute digitale 2023-2027 dovrebbe porre la cybersecurity tra le priorità: Quali sono le tue aspettative riguardo a questi cambiamenti normativi?

Devi pensare alla sicurezza “by design”: quando costruisci una soluzione, devi chiederti fin dall’inizio come garantire che sia sicura, o almeno come renderla facile da proteggere. In sala operatoria, se si installa una telecamera e la si collega all’infrastruttura IT, come si fa a sapere da dove proviene e se il sistema è sicuro? Devi controllare tutto ciò che entra in ospedale, assicurarti che le attrezzature siano “sicure” e/o protette.

In WALLIX, ad esempio, abbiamo sviluppato sessioni di sensibilizzazione all’interno delle principali scuole per coloro che saranno i leader aziendali di domani, i futuri manager tecnici e amministrativi. Quando qualcuno accede alla propria e-mail e vede una strana e-mail, il primo istinto dovrebbe essere quello di non aprirla, di avvisare il proprio reparto IT e di cancellarla. Quando eseguiamo un test di phishing nelle organizzazioni, notiamo che le persone che rispondono al phishing non sono sempre quelle che pensiamo. Può essere un manager o una receptionist: gli impatti non sono gli stessi a seconda del profilo.

Il nostro obiettivo è sviluppare questi riflessi nelle nuove generazioni, andando oltre l’apprendimento delle nozioni di base. L’idea è quella di sensibilizzare l’opinione pubblica fin dalla più tenera età, dalle scuole elementari in poi, perché i bambini iniziano a usare gli strumenti digitali molto presto. Le buone pratiche di cybersecurity devono diventare un riflesso, come insegnare ai bambini ad attraversare la strada guardando a destra e a sinistra.

Ritieni che ci sia già stata un’evoluzione nella consapevolezza generale sul tema della cybersicurezza?

Inoltre, finora tutti pensavano che le soluzioni PAM (Privileged Access Management) fossero effettivamente utili, ma non c’era una reale consapevolezza della loro necessità. Il problema non è più questo: è ormai ovvio che queste soluzioni servono per gestire le identità e sapere cosa succede internamente, ma anche cosa fanno i fornitori di servizi, perché un ospedale ha diverse centinaia di fornitori di servizi che si collegano ogni giorno. È un alveare di persone che entrano ed escono. Disporre di questo tipo di soluzioni ci permette di avere telecamere, controlli di accesso, rilevare comportamenti strani e mettere in atto meccanismi di blocco.

In questo senso, il piano France Relance è davvero utile: ha permesso agli ospedali di acquisire soluzioni che prima non potevano acquistare per mancanza di risorse finanziarie. L’unico inconveniente è che consente di ottenere un finanziamento in un momento “T”. C’è un elemento ricorrente da aspettarsi negli anni a venire.

In ogni caso, il piano France Relance è stato un salvavita per un gran numero di istituzioni sanitarie. È un peccato che ci sia voluto così tanto tempo, ma ora è qui, è un passo avanti.

Pagamenti a riscatto: È necessario “un no massiccio a livello europeo”.

Qual è la tua opinione sui pagamenti dei riscatti?

Personalmente, ritengo che pagare il riscatto richiesto dagli hacker sia un’aberrazione. Non appena lo Stato convalida il principio del pagamento del riscatto da parte delle compagnie assicurative (questo potrebbe essere interessante per queste ultime), dal punto di vista di un cyber-attaccante è una manna dal cielo. Tutti gli hacker del mondo si rivolgeranno alla Francia!

In questo caso le normative europee sono fondamentali. In Francia siamo molto avanti su questo tema, ma dall’altra parte abbiamo i giganti americani (GAFAM) che finora hanno fatto quello che volevano. L’Europa ha più di ogni altro interesse a imporsi per dettare le proprie regole. La Francia da sola non può fare nulla: è necessario un “no” massiccio a livello dell’intera Unione Europea.

Leggi l’intervista sul sito web di Health & Tech Intelligence (in francese)