Premessa
I dispositivi elettromedicali sono sempre più digitali, intelligenti ed interconnessi. Offrono nuove funzionalità ed enormi vantaggi sia per i pazienti che per l’Azienda Sanitaria (telemedicina, raccolta ed analisi dei Big Data, accelerazione e sviluppo di nuove terapie, eccetera).
Molte di queste apparecchiature (che, spesso, hanno costi elevati ed un ciclo di vita lungo) sono state progettate senza tenere conto dei criteri di sicurezza informatica ed il risultato è che mostrano il fianco a gravi vulnerabilità provenienti sia dall’interno che dall’esterno della struttura ospedaliera.
È da tenere conto, inoltre, che ogni produttore utilizza protocolli proprietari specifici e differenti creando difficoltà di gestione da parte dei reparti I.T..
In breve, gli strumenti di sicurezza di rete già implementati nelle infrastrutture sanitarie non sono sempre in grado di identificare correttamente i device medicali né di gestirli e di analizzarne le vulnerabilità.
Occorre, pertanto, migliorare lo scambio di informazioni tra i produttori dei dispositivi elettromedicali e l’ingegneria clinica che li utilizza e costruire un ciclo virtuoso continuo a salvaguardia della resilienza della prestazione sanitaria.
Non vanno dimenticati i temi legati alla riservatezza dei dati, alla loro integrità e disponibilità. La loro sicurezza è l’assunto base a tutela di un patrimonio di grandissimo valore.
Mead, forte di 30’anni di esperienza ed un team tecnico composto da oltre 100 risorse pluri-certificate, ha progettato ed ingegnerizzato un Servizio dedicato alla sanità: il ClinicalSOC®.
Mead è certificata ISO 9001, ISO/IEC 27001 e vanta personale con qualifiche di Lead Auditor ISO27001, ISO22301, ISO31000.
Il personale Mead che eroga i servizi continuativi di Cyber Security possiede certificazioni:
Il servizio ClinicalSOC® aiuta a comprendere e governare i rischi presenti nell’infrastruttura ICT, IoT (IoMT) e OT ed a mitigarli in modo proattivo e silente senza interferire con le attività cliniche quotidiane della Azienda Ospedaliera.
Inoltre, grazie a reportistiche automatiche molto chiare ed esaustive rappresentanti ogni tipologia di apparecchiatura collegata alla rete, trasferisce alla direzione sanitaria un’elevata consapevolezza e visione globale rispetto l’erogazione delle prestazioni ospedaliere e l’utilizzo delle apparecchiature elettromedicali.
Il servizio ClinicalSOC® consente di:
- Identificare ed inventariare automaticamente, correttamente e costantemente i dispositivi (ad esempio, aggiunta di uno nuovo),
- capire cosa stiano “facendo” tali dispositivi,
- mitigare i rischi, a garanzia della continuità della prestazione sanitaria,
- rilevare accuratamente vulnerabilità e minacce (comprese password non efficaci, mancati aggiornamenti lanciati dal produttore del macchinario, aggiornamenti SW su PC in genere, ecc…),
- rispondere in modo appropriato ed efficace in caso di incidente.
Il ClinicalSOC® combina la conoscenza dei dispositivi elettromedicali e dei flussi di lavoro con informazioni di sicurezza informatica in modo da valutare tutti i rischi e consentire al manager di prendere le decisioni corrette.
La Cyber Security Control Room (CSCR) Mead, è un Servizio di monitoraggio, pro-attivo ed in tempo reale, della postura di sicurezza e dell’indice di rischio Cyber che l’azienda sta affrontando.
Si realizza grazie all’attività continua prestata da analisti esperti in materie di Cybersecurity, Normative, procedure e Threat Intelligence; in caso di riscontro di eventi anomali, trend di rischio crescenti, vulnerabilità critiche o altri eventi degni di nota, gli specialisti analizzano approfonditamente la situazione ed ingaggiano i corretti riferimenti aziendali al fine di assumere immediatamente provvedimenti.
Vengono, successivamente, fornite le istruzioni relative alla remediation al fine di: ridurre la superficie di rischio, migliorare la postura di security, contenere l’incident o l’attacco.
La Control Room Mead offre, quindi, visibilità e competenza per garantire la protezione in ambito Cyber Security ed aumentare la resilienza dei servizi “core” aziendali.
Nel Servizio CSCR, gli apparati IT/IoMT già presenti, il traffico internet, la rete, i server, i dispositivi endpoint, i database, le applicazioni e altri sistemi vengono continuamente tenuti sotto controllo per individuare i segni di un incidente di sicurezza. Gli analisti della CSCR possono collaborare con altri team o dipartimenti presenti all’interno della organizzazione come operare in autonomia nello svolgimento delle proprie mansioni ed erogando il Servizio 24 ore su 24.
- CSCR ALERT&ANALYSIS TEAM
Rileva le anomalie che possono manifestarsi all’interno dell’infrastruttura inoltre esegue l’identificazione ed il triage di tutti gli alert provenienti dall’ecosistema IT, IoMT, OT.
Gli alert vengono confrontati con le informazioni di contesto provenienti dal cloud (nuovi malware, campagne di attacco in corso nel mondo, vulnerabilità di software appena scoperte, deep web, dark web, ecc…) provenienti anche da fonti esterne di Cyber Threat Intelligence.
Questa attività di correlazione è supportata da sistemi ad alto contenuto tecnologico automatizzati ed abilmente configurati dagli addetti della CSCR con un’ottica di prevenzione, rilevamento e monitoraggio.
Lo scopo del triage (termine noto nel mondo ospedaliero) è il comprendere la gravità del problema e se la remediation possa essere affrontata direttamente attraverso il Security Device Management o se sia necessario aprire un ticket verso l’Incident Response Team Mead di competenza.
- CSCR INCIDENT RESPONSE TEAM
L’Incident Response (IR) è un Servizio erogato da analisti esperti, specializzati e certificati per gestire e mitigare gli attacchi informatici eventualmente subiti. Fanno parte della squadra anche esperti nell’eradicazione della criticità in modo da garantire il ripristino dei servizi e la definitiva eliminazione della minaccia.
Il Team definisce e coordina le attività di contenimento e rimedio coinvolgendo tutti gli attori interessati (sia team interni Mead come, anche, reparti interni l’organizzazione o strutture NOC/SOC esterne) fornendo le indicazioni relative le correzioni da apportare ai sistemi di sicurezza, agli apparati ed ai sistemi di monitoraggio.
- CSCR HUNTER TEAM
Il CSCR Hunter Team assume il fondamentale compito di individuare le cause e ricostruire la timeline dell’incidente, in modo da analizzare le origini e le modalità dell’attacco al fine di consentire al CSCR INCIDENT RESPONSE TEAM di eradicarlo con successo.
Si tratta di una figura determinante nell’attività della CSCR in quanto, coordinando ed analizzando i risultati delle analisi effettuate dal CSCR ALERT&ANALYSIS TEAM, fornisce informazioni ed istruzioni fondamentali.
Gli analisti Mead possiedono competenze in ambito di linguaggi di programmazione, amministrazione di sistemi e procedure in materia di sicurezza informatica che consentono loro di avere una visione a 360° con un approccio analitico sia tecnico che organizzativo anche nella gestione di incidenti più gravi e complessi.
È il livello manageriale del Team CSCR, che si interfaccia anche con le figure non tecniche presenti nell’organizzazione (es. CISO, CIO, HR Manager, ecc….) per coordinare le risorse e le attività necessarie al contenimento e risoluzione della minaccia.
Tra i suoi compiti: la direzione e la supervisione dell’operato dei membri della CSCR e la comunicazione con i responsabili aziendali.
- FASI DI TRIAGE&ANALYSIS
Come già descritto, lo scopo è di rilevare, identificare e classificare le migliaia di log generati dai vari prodotti IT/IoMT distinguendo quelli che consentono di identificare un tentativo di compromissione. Durante il triage, l’incidente sarà classificato come segue.
- Informational: anomalie sul traffico di rete, informazioni generiche.
- Low: vulnerabilità non gravi, basso rischio di violazione integrità dei sistemi.
- Moderate: vulnerabilità gravi, rischio concreto di violazione integrità dei sistemi (malware generico).
- High: rischio elevato di violazione disponibilità di server, violazione di confidenzialità di dati sensibili e/o soggetti a normative Privacy, possibile presenza di malware ransomware, vulnerabilità gravi e così via.
- Critical: evidenze di violazione disponibilità di server, violazione di confidenzialità di dati sensibili e/o soggetti a normative Privacy, evidenze della presenza di malware ransomware, vulnerabilità critiche e così via.
Importantissimo per una struttura sanitaria sono gli SLA di notifica che, in caso di importante criticità, è, al massimo, 60 minuti.
- FASE DI CONTENIMENTO
In questa fase vengono definite, sulla base delle informazioni raccolte durante la fase di Triage e Analysis, le attività per contenere la minaccia ed evitare l’estensione dell’incidente all’interno dell’intera infrastruttura.
Lo scopo è duplice perché, oltre a contenere la propagazione della minaccia, si ha la possibilità di analizzare e individuare ulteriori prove preziose per determinare da dove è iniziata la violazione ed elaborare un piano di rimedio per evitare che si ripeta.
- FASE DI ERADICAZIONE
Una volta identificati i sistemi coinvolti ed applicato un corretto piano di contenimento, è necessario individuare ed eliminare le compromissioni e le eventuali persistenze all’interno della rete: nel minor tempo possibile, vengono applicate tutte le azioni atte a rimuovere la presenza dell’attaccante dall’infrastruttura.
La generazione di un episodio malevolo non implica obbligatoriamente una attività di eradicazione: ciò avviene soltanto nel caso in cui l’attività prevista rientri tra quelle contrattualmente definite e condivise con il cliente.
Si tratta dell’applicazione delle azioni necessarie per impedire che incidenti simili possano ripetersi nuovamente. Di norma, invece di una singola fase post-incidente, le best-practice consigliano:
- di avvalersi di un approccio strutturato (per anticipare le minacce alla sicurezza IT/IoMT prima che queste arrechino danni) e
- di risolvere eventuali problemi che potrebbero essersi già verificati.
L’obiettivo di tale fase è quello di fornire al cliente, attraverso tutte le informazioni disponibili, gli strumenti per procedere in autonomia con l’implementazione delle attività di rimedio da noi suggerite.
Ovviamente, se necessario, Mead mette a disposizione le proprie competenze specialistiche.
- FASE DI RECOVERY
La fase di Recovery prevede il ripristino dell’operatività dell’infrastruttura e dei servizi alla normalità in attuazione al piano di Business Continuity e Disaster Recovery, coinvolgendo attività sistemistiche, procedurali e di sicurezza.
Questa fase è esclusa dal servizio e potrà essere erogata separatamente a consuntivo.
- CONTINUOUS IMPROVEMENT
Per tutta la durata del Servizio ClinicalSOC®, Mead prevede l’organizzazione di sessioni a cadenza trimestrale da parte di un Service Manager assegnato e dedicato a quello specifico cliente per valutare lo stato del servizio e verificare insieme al cliente stesso: eventuali modifiche da apportare all’attuale organizzazione e/o alla definizione dei processi di intervento o l’introduzione di ulteriori attività con lo scopo di migliorare la postura di sicurezza interna.