OT nelle aziende ospedaliere: il tallone d'Achille del settore sanitario
Oggi la qualità delle cure mediche non rappresenta l’unica criticità che le istituzioni sanitarie devono affrontare quotidianamente. All’inizio della crisi COVID il settore sanitario non era sufficientemente strutturato per affrontare la pandemia. L’afflusso di pazienti e la risposta organizzativa al virus ha costretto le strutture sanitarie a subire una rapida trasformazione digitale, aumentando notevolmente la superficie di attacco cyber. L’esposizione al rischio cyber ha evidenziato la criticità di doversi dotare di infrastrutture di cybersecurity. La scarsa reattività dei piani di risposta e la difficoltà di assumere professionisti della cybersecurity all’interno delle aziende ospedaliere, unitamente al valore intrinseco dei dati sanitari, sono le condizioni che hanno reso le istituzioni sanitarie un obiettivo ricorrente per gli hacker.
Solo in Francia, le organizzazioni sanitarie sono passate da 27 attacchi informatici gravi nel 2020 a uno a settimana nel 2021, secondo il Segretario di Stato francese per la transizione digitale Cédric O. Inoltre, il servizio di supporto per la gestione delle minacce informatiche del settore sanitario francese, CERT Santé, ha ricevuto 369 segnalazioni di incidenti di sicurezza nel 2020, e ben 730 del 2021.
Carenze nel sistema di difesa del settore sanitario
La domanda da un cento milioni di euro: come fanno gli hacker ad attaccare le istituzioni sanitarie?
Gli attacchi più comuni al settore sanitario sono rivolti a fornitori di servizi terzi, che hanno ampi diritti di accesso per la manutenzione e l’aggiornamento delle apparecchiature ospedaliere.
Questi fornitori di servizi si connettono regolarmente all’ambiente OT delle strutture sanitarie, sia per la strumentazione medica – TAC, risonanza magnetica, strumenti di monitoraggio, ventilatori, pompe per siringhe – sia dal punto di vista del building management – gestione dell’energia, ascensori, condizionamento, gas medicali, ecc.
Il ruolo della tecnologia OT nel settore sanitario
Usando le parole di Gartner, la tecnologia operativa (OT) è “hardware e software che rileva o provoca cambiamenti, attraverso il monitoraggio e/o il controllo diretto di apparecchiature, asset, processi ed eventi industriali”.
Negli ultimi anni, l’automazione e la digitalizzazione hanno accelerato in ambito sanitario ai fini del monitoraggio, della tracciabilità e dell’efficienza delle cure. Se da un lato è indubbio che tutti questi dispositivi che utilizzano la tecnologia OT stanno aiutando il settore sanitario a migliorare le cure, ridurre i costi e aumentare l’efficienza, dall’altro stanno aumentando in modo significativo la superficie di attacco per le organizzazioni.
I rischi dei dispositivi medici connessi
Oggi gli ospedali utilizzano pacemaker, pompe per l’insulina e altri dispositivi medici che funzionano tramite software. Questi dispositivi, non sempre aggiornati dai produttori, sono basati su sistemi operativi spesso obsoleti, il che comporta molteplici vulnerabilità di sicurezza.
Per cominciare, molti di questi dispositivi presentano già molte potenziali vulnerabilità, poiché la loro sicurezza non è integrata nella progettazione. La crittografia dei dati, la gestione delle password e l’autenticazione sono tutte funzioni spesso non presenti su questi dispositivi.
Oggi le apparecchiature mediche vengono utilizzate e manutenute principalmente dai produttori con ingegneri biomedici come utenti privilegiati . La competenza è quindi affidata principalmente ai produttori che si devono collegare molto frequentemente da remoto per mantenere i servizi associati. Ciò si traduce in infrastrutture hardware e software proprietarie e vulnerabili in termini di sicurezza informatica.
Molti produttori si affidano ancora a strumenti di connessione remota poco sicuri e distribuiti per l’ospedale. In questo modo si corre il rischio di vanificarele pratiche di sicurezza implementate per il settore IT. L’introduzione di malware o ransomware mirati può portare rapidamente alla paralisi completa delle apparecchiature sanitarie. Ciò significa che la protezione delle apparecchiature mediche non è più solo una questione di perdita di dati o di furto di informazioni sensibili, ma può anche rappresentare una minaccia per la vita dei pazienti.
Proteggere l’OT significa proteggere la salute
Un attaccante che penetra in una rete sanitaria cercherà necessariamente di muoversi all’interno della rete per raccogliere informazioni ed eventualmente compromettere sistema come database o server. È quindi essenziale proteggere l’accesso degli utenti privilegiati e controllare i diritti e le possibilità di movimenti laterali su altri sistemi.
Per questo motivo, qualsiasi struttura sanitaria che intenda implementare una soluzione OT deve considerare non solo come proteggere tutti i dispositivi, ma anche esaminare in modo approfondito le difese fornite per tutte le risorse privilegiate al di là dei dispositivi di rete.
Per aiutare le istituzioni sanitarie nel loro approccio alla sicurezza, esistono standard internazionali, come il MITRE Att&ck for ICS Framework o l’ISA/IEC 62443, che consentono di rispettare le normative vigenti. Diverse normative concordano sul fatto che la necessità di proteggere le tecnologie operative (OT) sta crescendo, come la direttiva europea NIS nel 2016.
Alla luce di queste raccomandazioni l’implementazione di una soluzione di gestione degli accessi privilegiati (PAM) è essenziale per garantire la sicurezza dei dispositivi medici connessi e dei componenti IoT che consentono il funzionamento dell’edificio.
Ma le sfide della continuità del servizio, della garanzia del produttore e dell’obsolescenza delle apparecchiature OT richiedono un approccio più specifico di quello offerto dai sistemi PAM tradizionali. La compatibilità con i protocolli proprietari e l’impossibilità di installare software sulle macchine che gestiscono i dispositivi medici possono costituire un ostacolo all’implementazione efficace di una soluzione di gestione degli accessi ai privilegi.
Una soluzione PAM deve fornire strumenti robusti, flessibili e semplici ed implementare regole fortemente customizzabili per proteggere gli accessi e le sessioni degli account privilegiati. La registrazione in tempo reale dell’attività dell’account per finalità di audit,il monitoraggio preventivo di azioni anomale o vietate, la possibilità di interruzione automatica delle sessioni aiutano a prevenire le violazioni e ad aver un maggior controllo del proprio ecosistema. Questo non solo è fondamentale per mantenere la sicurezza dei dispositivi (e delle reti a cui si collegano), ma anche per soddisfare i requisiti di conformità.
La sicurezza deve essere integrata nell’implementazione dei dispositivi medici, insieme alla gestione delle modifiche e alla consapevolezza degli utenti, poiché gli attacchi diventano sempre più frequenti e le loro conseguenze più gravi.
WALLIX PAM4ALL: una soluzione dedicata alla protezione dei dispositivi medici industriali
PAM4ALL, la soluzione di gestione unificata dei privilegi di WALLIX, utilizza il principio del minimo privilegio per garantire che tutti gli utenti, siano essi umani o applicazioni, possano accedere solo alla quantità minima di risorse sensibili necessarie per eseguire un determinato compito, al momento giusto e con il livello di privilegio appropriato. Si tratta del cosiddetto approccio Zero Trust.
L’idea che gli “utenti” di un sistema non siano sempre necessariamente “persone” è essenziale per garantire una sicurezza completa dei dispositivi OT nel settore sanitario. Infatti, questi dispositivi potrebbero avere essi stessi accesso a risorse privilegiate e dovranno essere monitorati e controllati allo stesso modo degli utenti umani. Assicurando che i componenti del sistema siano soggetti agli stessi principi PAM degli utenti umani (accesso solo alle risorse necessarie, nelle giuste circostanze), gli amministratori IT responsabili della sicurezza OT saranno in grado di limitare le potenziali minacce poste da tutti i dispositivi connessi in una struttura sanitaria.
Inoltre, la soluzione WALLIX PAM4ALL integra il concetto di sicurezza by design, controllando le connessioni degli utenti privilegiati ai sistemi e alle apparecchiature.
Per saperne di più su come la soluzione PAM4ALL di WALLIX aiuta le strutture sanitarie a proteggere i loro dispositivi medici connessi, contattate i nostri team !
