Come la sanità pubblica può tutelarsi dai cyber attacchi. L’intervento di Ciardi (Acn)

Gli attacchi contro le strutture sanitarie possono avere impatti notevoli, con effetti a cascata che vanno ben oltre il singolo soggetto colpito. Quando avviene un attacco contro un’azienda sanitaria locale, infatti, l’indotto reale è molto più vasto: da una sola Asl dipendono, infatti, diverse strutture sanitarie – ospedali, presidi sanitari, Rsa – e, insieme a queste, i dati (super sensibili), che esse custodiscono e trattano. Dati che, come ha detto il sottosegretario Mantovano, non sono numeri, ma vite delle persone.

Per citare un esempio recente, a causa di un attacco, un’infrastruttura sanitaria italiana ha dovuto sospendere per più di tre settimane le radioterapie ai malati oncologici, costretti addirittura a cambiare distretto per continuare le cure. Similmente, in Inghilterra un attacco ha reso impossibile leggere i codici a barre delle sacche di sangue, con la conseguenza che gli ospedali sono dovuti ricorrere alle sacche di sangue dei donatori universali e, esaurite queste, hanno dovuto fare un appello straordinario alla popolazione per ricevere le necessarie donazioni di sangue.

Non è dunque un problema che riguarda soltanto il nostro Paese, ma che investe interamente tutti i Paesi maggiormente digitalizzati. La sanità è, infatti, un settore particolarmente colpito perché i dati sanitari, sotto il profilo criminale, sono tra i più appetibili in assoluto. Basti un esempio, apparentemente controintuitivo: sul dark web i dati sanitari valgono più delle carte di credito. Mentre una carta di credito ha, in genere, un valore che oscilla dai 5 ai 30 dollari, una cartella sanitaria può arrivare a valere fino a 1.000 dollari. Una cartella sanitaria, infatti, può contenere un complesso di dati così accurati, strutturati e delicati, da risultare facilmente monetizzabili attraverso ricatti, truffe e altri indotti illeciti.

Vorrei però lanciare anche un messaggio di ottimismo, in uno scenario che, effettivamente, appare preoccupante. Il sottosegretario Mantovano ha fatto riferimento a WannaCry, il malware che, circa 7 anni fa, colpì le infrastrutture sanitarie, soprattutto nel Regno Unito. A quell’epoca, guidavo la Polizia Postale e ricordo che, quando arrivarono le prime notizie, cercammo di avvisare tutti i presidi sanitari, perché sapemmo subito, attraverso i nostri contatti, che il malware colpiva in particolar modo le infrastrutture sanitarie: non riuscivamo a contattare gli ospedali, non avevano referenti informatici. Fummo costretti a fornire le indicazioni per risolvere la vulnerabilità sfruttata dal malware attraverso i portali, pubblicando un warning che invitava ad aggiornare i sistemi.

Oggi non è più così, tanta strada è stata fatta. Ma tanta ce n’è ancora da fare. Soprattutto sotto il profilo culturale: purtroppo, nonostante recentemente il governo abbia varato riforme importanti, le norme, da sole, non bastano: devono andare di pari passo con la diffusione e la metabolizzazione di una vera e propria cultura della sicurezza, tassello fondamentale per realizzare una società digitale sicura.

Il dominio cyber è un dominio trasversale: se è vero che le istituzioni hanno la responsabilità della sicurezza delle infrastrutture, è altrettanto vero che una quota parte di questa responsabilità appartiene a ciascuno di noi: a ogni singola azienda, a ogni singola istituzione, a ogni singolo cittadino. Solo attraverso questa alleanza si riuscirà a contenere entro livelli accettabili, e in qualche modo fisiologici, quel rischio ineliminabile che caratterizza ogni società digitale.

Se la Regione Lazio investe – e l’ACN stessa ha messo a disposizione della Regione 3 milioni e mezzo con il Pnrr – milioni di euro per mettere in sicurezza i propri sistemi, ma un dipendente non adotta tutte le cautele necessarie e, ad esempio, durante lo smart working, collega il computer di servizio alla rete domestica e lo lascia incustodito o lo fa utilizzare da un familiare, che magari prende un malware che trafuga le credenziali di accesso alla rete interna, ogni investimento rischia di rivelarsi futile. Per una mancanza di cultura, viene così vanificato tutto il risultato di uno sforzo sinergico della collettività per mettere al sicuro i propri dati più sensibili, come quelli sanitari. E potrei fare molti altri esempi.

In conclusione, vorrei riprendere la metafora utilizzata dal sottosegretario Mantovano: non basta il legno e la vela a rendere sicura una nave, ma occorre anche una cultura diffusa. Ed è proprio questo l’obiettivo che, con questo incontro, ci proponiamo di realizzare. Incontro che sarà soltanto il primo di una più vasta campagna, che toccherà tutte le regioni italiane, per diffondere la consapevolezza e le linee guida operative redatte dall’ACN (distribuite attraverso un qr code a tutti i presenti), ovvero quelle accortezze e cautele che, per essere efficaci, devono diventare parte integrante del nostro quotidiano modo di lavorare.

Infatti, ogni giorno riscontriamo piccole e grandi vulnerabilità che, spesso, con una corretta formazione e informazione, potrebbero essere mitigate, quando non del tutto risolte. Ma quali sono gli errori più comuni? Per citare alcuni di quelli registrati più frequentemente dai nostri operatori: backup effettuati nella stessa infrastruttura sulla quale insistono i sistemi da proteggere; workstation con le quali si amministrano i sistemi utilizzate anche per attività personali o familiari (l’esempio che vi ho fatto poc’anzi); fornitori esterni che supportano più ospedali o strutture sanitarie che utilizzano lo stesso set di credenziali per tutti i sistemi gestiti; estrema superficialità nel rilasciare privilegi amministrativi del massimo livello (il che aumenta sensibilmente la possibilità che le relative credenziali vengano perse e utilizzate per un attacco, che a questo punto sarà veloce e altamente distruttivo). E l’elenco potrebbe continuare.

La sicurezza richiede fatica, è vero, ma è una fatica assolutamente necessaria a rendere più sicure le nostre vite.