L’esperienza dell’Istituto Nazionale per le Malattie Infettive «Lazzaro Spallanzani» D.ssa Marta Branca Direttore Generale INMI Ing. Carlo Bauleo Dirigente UO Informatica INMI Storia dell'Istituto L'Ospedale “Lazzaro Spallanzani” fu inaugurato nel 1936 come presidio destinato alla prevenzione, diagnosi e cura delle malattie infettive, con una dotazione di 296 posti letto in 15 differenti padiglioni e in un'area di 134.000 metri quadrati. • • • • • • • unico laboratorio italiano di livello di biosicurezza 4 cinque laboratori di livello 3 banca criogenica che può ospitare fino a 20 contenitori di azoto liquido e 28 contenitori a -80° C un laboratorio di livello 3 per la manipolazione e la preparazione dei campioni da congelare Polo Ospedaliero Interaziendale trapianti, centro di riferimento per le infezioni nei trapianti Banca biologica per il deposito di organi e tessuti destinati al trapianto. Nel settore sanitario e medicale la sicurezza dei dati digitali, che è responsabilità dei vertici aziendali, acquista una particolare importanza per la natura personale e ‘delicata’ delle informazioni trattate. In particolare lo Spallanzani con i suoi laboratori dedicati allo studio e alla gestione degli agenti infettivi rappresenta un asset particolarmente critico da proteggere. La sicurezza informatica del sistema ospedaliero non protegge solo le informazioni digitali ma anche i sistemi fisici di accesso alle entità biologiche virali. Dall’inizio del 2016 un elevato numero di ospedali in tutto il mondo è stato preso di mira da ransomware. Quasi tutti gli ospedali sono stati costretti a pagare il riscatto per non perdere i dati digitalizzati dei pazienti, senza avere la certezza che a fronte del pagamento venisse effettivamente poi rilasciato «l’antidoto» per il ransomware. «la domanda non è se ma quando ». 13/01/2017 National Health Service, UK Centinaia di interventi chirurgici bloccati a causa di un ransomware ADEGUARE ED INNOVARE LA SICUREZZA DEI SISTEMI INFORMATIVI AZIENDALI IN PREVISIONE DEL GDPR Il GDPR 2016/679 (General Data Protection Regulation) nuovo regolamento, adottato dall’Unione Europea nell’aprile 2016, su protezione dei dati personali Circolare AgID 1/2017 (agenzia per l’Italia digitale), su set minimale di regole per la sicurezza cui le PPAA dovranno adeguarsi entro la fine del 2017. Affiancare a quelle minime di sicurezza delle ulteriori misure idonee vuol dire creare dei processi efficienti, oltre che efficaci, in cui, a fronte di un maggior sforzo iniziale, corrisponda un andamento a regime ottimizzato, diminuendo così l’impegno delle risorse ed una maggiore reattività. Così come l’evoluzione di virus e batteri ha richiesto nuovi medicinali sempre più sofisticati ed efficienti, così ci siamo resi conto che la sicurezza informatica nell’era dell’interconnessione globale e totale non può essere approcciata con i soli metodi standard: un software antivirus, per quanto aggiornato sia, sempre più spesso non è in grado di individuare malware appositamente progettati per uno specifico, unico scopo e vittima. All’inizio del 2017 abbiamo iniziato una sperimentazione integrando nuove componenti di Cyber Security nell’infrastruttura ICT ospedaliera, componenti in grado di operare su livelli diversi, di prevenire e ridurre significativamente sia attacchi diretti alla struttura che indiretti. Abbiamo affiancato alle già presenti misure di sicurezza informatica «standard» quali ad es. firewall, antivirus, etc.. sistemi di monitoraggio proattivi basati su piattaforme di web intelligence, in grado analizzare non solo quello che avviene all’interno dell’infrastruttura ICT aziendale ma anche quello che avviene esternamente e che direttamente o indirettamente può minacciare la sicurezza delle informazioni ospedaliere. Nuovi livelli di protezione analizzano nuovi aspetti della sicurezza delle informazioni ospedaliere, quali ad es. : Monitoraggio h24x7x365 che nelle comunicazioni da e verso l’infrastruttura ICT ospedaliera non vi siano connessioni verso host pericolosi (malware, botnet, etc..), grazie ad una mappa delle minacce globali aggiornata in tempo reale i sistemi di cyber intelligence rilevano eventuali correlazioni di comunicazione pericolose analizzando il flusso informativo e segnalando ai responsabili dei sistemi ICT le eventuali anomalie. Monitoraggio h24x7x365 delle fonti aperte (OSINT) e del Deep Web alla ricerca della presenza di eventuali informazioni sull’azienda o sui pazienti che potrebbero mettere a rischio i sistemi ospedalieri o i dati clinici dei pazienti. Monitoraggio h24x7x365 dei social media, analizzando il sentiment e la percezione della struttura ospedaliera sui media, alfine di verificare l’esistenza di potenziali minacce alla struttura e danni all’immagine (web reputation). Maggiore sicurezza per i dati clinici dei pazienti e per i servizi «mission critical» , un servizio professionale di Alta Affidabilità e Disaster Recovery ridondante : Backup e Disaster Recovery geografico su Datacenter con specifiche tecniche Tier IV Disaster Recovery in alta affidabilità delle applicazioni ospedaliere «mission critical» Backup dei sistemi di comunicazioni (voce, dati e fax) su connessioni di diversi gestori Monitoraggio ogni 60 sec. di tutte le principali connessioni e sistemi «mission critical» Sicurezza come processo non come semplice strumento. Occorre inquadrare la sicurezza in un processo organizzativo e formativo che coinvolga l’insieme delle strutture aziendali e del personale afferente. La sicurezza non è solo un problema squisitamente tecnico ma culturale, nessuno strumento tecnico infatti, potrà mai estirpare i comportamenti “sbagliati” dell’utente. Un processo ciclico aumenta le possibilità di prevenire eventuali criticità. E’ quindi meglio ridurre significativamente il livello di rischio, che “curare” situazioni ormai compromesse. Grazie per l’attenzione.