Il Cyber Exposure Management rappresenta oggi l’approccio più efficace per affrontare le crescenti minacce informatiche nel settore sanitario, dove la complessità delle infrastrutture e la criticità dei dati richiedono strategie di protezione sempre più sofisticate.
Indice degli argomenti
L’escalation delle vulnerabilità e la pressione sul settore sanitario
Ogni anno, gli esperti di sicurezza informatica rilevano un numero di vulnerabilità ed esposizioni comuni (CVE) che supera le varianti note del classico raffreddore. Per contestualizzare: se i ceppi virali noti del raffreddore sono circa 200, solo nel 2024 sono state individuate oltre 40.000 CVE.
Così come i virus mutano per sfuggire alle difese immunitarie, gli autori delle minacce sviluppano costantemente nuovi exploit per colpire le vulnerabilità. Questi exploit si diffondono sotto forma di ransomware e minacce persistenti avanzate (APT) o vengono trasformate in veri e propri “exploit kit” commercializzati nel dark web.
A un anno dalla compromissione dei sistemi di Change Healthcare, il settore ha preso piena coscienza degli impatti di queste minacce. Secondo un’analisi congiunta di Bain & Company e KLAS Research, il 70% di provider e assicuratori sanitari ha subito conseguenze operative, con ricadute evidenti sull’assistenza ai pazienti.
Complessità delle reti sanitarie e sfide normative
La sfida risiede nella difficoltà di identificare il rischio all’interno di sistemi sanitari complessi. Le reti IT e OT sono connesse in modi non previsti dalle architetture originarie. Le vulnerabilità sono scoperte di frequente nei software e nei dispositivi medici, ma molti sistemi legacy non consentono interventi in termini di protezione.
Anche la conformità normativa si scontra con simili sfide. Le modifiche proposte all’HIPAA, ad esempio, potrebbero imporre requisiti come l’inventario completo degli asset, l’analisi dei rischi e l’adozione di strumenti per la scansione delle vulnerabilità — tutte attività che già oggi i team di cybersecurity si trovano ad affrontare.
Un approccio proattivo al rischio informatico
È indispensabile da parte delle organizzazioni adottare un approccio proattivo, capace di rilevare, prioritizzare e mitigare in tempo reale le minacce. Ciò richiede piena visibilità e controllo sugli asset fisici e virtuali. Come recita un principio della medicina: “Un grammo di prevenzione vale più di un chilo di cura.”
Anatomia delle superfici d’attacco negli ambienti sanitari
La superficie d’attacco delle infrastrutture sanitarie comprende una vasta gamma di componenti, dagli asset aziendali ai sistemi per la cura dei pazienti, fino agli impianti di gestione ambientale come gli HVAC, spesso distribuiti su più strutture o anche su cloud. Una delle sfide più rilevanti risiede proprio nella varietà di dispositivi e sistemi.
Dispositivi clinici, come le cartelle cliniche elettroniche (EHR) e altri sistemi critici, sono sviluppati da vendor differenti, ciascuno con protocolli di sicurezza e cicli di aggiornamento propri. Questa eterogeneità tecnologica rende difficile implementare strategie di protezione e monitoraggio coerenti.
I dispositivi legacy, che non dispongono di moderne funzionalità di cybersecurity, costituiscono un punto debole significativo: privi di una progettazione orientata alla sicurezza, non possono essere facilmente aggiornati e protetti. Anche laddove siano disponibili delle soluzioni, gli operatori sanitari potrebbero essere diffidenti nella loro implementazione, preoccupandosi che possano causare interruzioni operative e compromettere l’assistenza ai pazienti.
I rischi derivanti da terze parti, come librerie software vulnerabili, e una mancanza di comprensione degli asset mission-critical complicano ulteriormente queste sfide. In sintesi, potrebbe essere difficile per le organizzazioni vedere, proteggere e gestire tutti gli asset all’interno della loro rete.
Sotto il microscopio: le vulnerabilità nei sistemi sanitari
Prendiamo ad esempio come una vulnerabilità rilevata in Mirth Connect di NextGen Healthcare abiliti l’esecuzione di codice remoto. Mirth Connect è una piattaforma di integrazione dati diffusa per sistemi EHR, dispositivi medici e altre applicazioni, quindi questa vulnerabilità potrebbe interessare molte organizzazioni sanitarie.
Questi sono i tipi di sistemi che accumulano debito tecnico perché i sistemi operativi end-of-life, hanno difficoltà a ricevere gli aggiornamenti di sicurezza. La vulnerabilità rilevata in Mirth Connect, ad esempio, è emersa dopo che una precedente vulnerabilità era stata corretta in modo incompleto.
È probabile che alcuni server dedicati all’imaging medico, ancora basati su software end of life, siano tuttora esposti a queste vulnerabilità. Questi sono anche i tipi di sistemi difficili da monitorare che li rende particolarmente appetibili agli aggressori come punto di ingresso per la distribuzione di exploit kit attraverso il dark web.
I team di cybersicurezza dovrebbero dare priorità all’aggiornamento di Mirth Connect per minimizzare il rischio di compromissione dei sistemi medici connessi. Dovrebbero anche isolare i sistemi colpiti attraverso la segmentazione della rete e monitorarli costantemente per individuare eventuali traffici sospetti o anomalie comportamentali. Fondamentalmente, però, è necessario un approccio più proattivo per difendere e gestire l’intera superficie di attacco.
Principi fondamentali per una difesa preventiva
Come lavarsi le mani aiuta a ridurre la diffusione delle malattie, esistono principi fondamentali della sicurezza informatica in grado di contenere gli effetti di un attacco informatico. E proprio come le sfide della conformità rispecchiano quelle della sicurezza informatica, questi principi fondamentali possono contribuire a migliorare la conformità.
Costruire un inventario completo degli asset
Il primo passo è la visibilità nell’adottare un approccio proattivo. Costruire un inventario completo degli asset significa anche avere la capacità di scoprire dispositivi sconosciuti o non gestiti, assicurandosi che ogni asset sia monitorato. Le proposte di aggiornamento all’HIPAA potrebbero richiedere alle entità regolamentate di mappare il flusso delle informazioni sanitarie elettroniche dei pazienti (ePHI), e questo rappresenta un ottimo punto di partenza.
Proprio come un’analisi del sangue può rivelare indicatori di rischio clinico, acquisire insight sui dispositivi consente ai team di sicurezza di assegnare efficacemente le priorità e risolvere le vulnerabilità più rilevanti, evitando di essere sopraffatti da milioni di alert.
Il monitoraggio continuo
Il monitoraggio continuo abilita una valutazione e un’analisi costante del rischio, sia dal punto di vista della sicurezza informatica, sia della conformità. Storicamente, questo tipo di valutazioni dei rischi sono state istantanee statiche che diventano rapidamente obsolete.
Integrando il monitoraggio continuo con sistemi di allerta delle vulnerabilità preventivi, è possibile individuare exploit emergenti e tracciarne gli indicatori di compromissione. Ad esempio, le operazioni di sicurezza possono monitorare specifici indicatori di compromissione tra cui il modo in cui determinati APT fanno affidamenti su CVE specifiche.
Collaborazione, tecnologie avanzate e investimento nella prevenzione
Organizzazioni come HS-ISAC promuovono la condivisione di informazioni tra organizzazioni sanitarie. Le soluzioni di cybersecurity di frequente sfruttano tecnologie avanzate come smart honeypot e monitoraggio del dark web che possano rilevare minacce emergenti e kit di exploit, ancora con specifici indicatori di compromissione.
La buona notizia è che provider e assicuratori stanno aumentando i propri investimenti IT, questo significa che le organizzazioni stanno spendendo più soldi per controllare i sistemi e ridurre al minimo i singoli punti vulnerabili. Questo investimento nella protezione preventiva darà i suoi frutti per i programmi di sicurezza informatica e consentirà di affrontare in modo proattivo gli aggiornamenti dell’HIPAA che richiedono requisiti di sicurezza informatica più rigorosi.
