Tecnologia

Cybersecurity: perché la sanità è difficile da proteggere

  • Abbonati
  • Accedi
privacy e salute

Cybersecurity: perché la sanità è difficile da proteggere

La sicurezza informatica è una chimera che nessuna azienda può sperare di padroneggiare al cento per cento, ma ci sono realtà che sembrano condannate a restare molto lontane da livelli di eccellenza. Una di queste è quella degli ospedali: strutture dove il minimo errore può portare a conseguenze nefaste risultano essere tra le peggiori da proteggere da malware e intrusioni informatiche. Ma perché?

I motivi sono molti. Innanzitutto, molti ospedali hanno grandi problemi di budget da destinare all'infrastruttura informatica e questo li ha portati a costruirla man mano negli anni, aggiungendo prodotti nuovi ad altri già esistenti e senza mai pensare a come normalizzare i dispositivi. Il personale interno di gestione è scarso e il parco macchine un enorme minestrone di sistemi operativi, periferiche e software installati, il tutto tenuto insieme da una rete interna cresciuta nello stesso modo. La riprogettazione da zero sarebbe necessaria, ma è un lusso che i responsabili IT interni non possono permettersi senza rischiare di rallentare o addirittura fermare il lavoro quotidiano di medici, infermieri e altri impiegati. Purtroppo, una rete che non viene progettata per essere sicura da subito non può che risultare estremamente vulnerabile e molti ospedali sono in queste condizioni. Ricordiamo che il ransomware Wannacry ha letteralmente messo in ginocchio una parte consistente del sistema sanitario nazionale britannico perché ancora molto basato su Windows XP.

Il problema del software antico
Quando, però, si trova un ospedale che è riuscito a fare lo sforzo di progettare una rete interna ben fatta e potenzialmente sicura, ecco che ci si scontra con un altro problema tipico delle strutture sanitarie: il software-lock, ovvero la necessità di far girare delle macchine con la loro configurazione software originale, impossibile da aggiornare. «Tu puoi anche fare le cose per bene» – dice Carlo Mauceli, CTO di Microsoft Italia – «ma se poi ti ritrovi a dover gestire 3 macchine con installato Windows XP senza neanche le ultime patch rilasciate perché altrimenti i macchinari che ci sono collegati smettono di funzionare, è ovvio che bisogna fare i conti con problemi che possono diventare molto complessi».

Per fortuna, le cose stanno migliorando da quel punto di vista, anche se non mancano i però. Come ci ha raccontato Andrej Dvorak, CTO di Esaote, azienda che produce dispositivi per la diagnostica medicale, i nuovi prodotti sono progettati molto meglio dal lato sicurezza. «Nei nostri nuovi prodotti – ci ha detto Dvorak – la sicurezza informatica rappresenta un nodo importante e proponiamo ai clienti sia degli aggiornamenti di sicurezza di base, sia un costante miglioramento nelle funzioni del software applicato alle macchine. Purtroppo, aggiornare un dispositivo medico non è come lanciare Windows Update a casa: quando proponiamo un aggiornamento, questo deve essere testato per esser sicuri che non causi instabilità o problemi al dispositivo e il processo di analisi può durare mesi».
Quindi, anche se viene scoperta una falla, alcuni dispositivi delle strutture ospedaliere possono restare scoperti per settimane. «Questo obbliga i responsabili It – dice ancora Mauceli – a costruire dei ‘fortini' informatici attorno alle macchine potenzialmente vulnerabili».

Meglio una password o la vita del paziente?
Infine, c'è la necessità di combinare sicurezza e velocità di esecuzione degli operatori. Durante le emergenze, medici e infermieri hanno bisogno delle informazioni e di poter usare le macchine diagnostiche in velocità, cosa che va poco d'accordo con una politica di sicurezza informatica fatta da password complicate, personali e magari con doppio fattore di autenticazione. Di conseguenza, gli operatori sanitari inventano piccoli espedienti per evitare rallentamenti che agli occhi degli esperti di sicurezza diventano spettacoli raccapriccianti: monitor costellati di post-it con le password di accesso, chiavette USB usate senza controllo su qualsiasi macchina, computer che restano sempre accesi e quindi possibili prede di pirati informatici anche durante le ore di scarsa attività e controllo.
Risolvere tutti i problemi che abbiamo visto è davvero una impresa titanica e richiede che ogni ospedale sfrutti solo reti pensate già dal primo momento per essere sicure, una attenta analisi dei processi interni per evitare rallentamenti e l'utilizzo pervasivo della biometria per abbattere i tempi morti. Non è facile, ma si deve fare perché i criminali prendono sempre più di mira queste strutture che non possono permettersi di restare con i computer fermi.

Il Sole 24 Ore in collaborazione con Cini, Confindustria Bari e Bat e Università degli Studi Aldo Moro, organizza nella mattinata di martedì 27 marzo 2018 presso il Salone degli Affreschi dell'Università di Bari la terza tappa del road show “Cyber Security. L'evoluzione della sicurezza nell'ecosistema 4.0″. Un percorso iniziato nel 2017 a Milano e Roma e che continua nel 2018 sul territorio italiano, per affrontare un tema ampio e fortemente sentito dal Paese.

© Riproduzione riservata