L’esperienza dell’Istituto Nazionale per le Malattie
Infettive «Lazzaro Spallanzani»
D.ssa Marta Branca
Direttore Generale INMI
Ing. Carlo Bauleo
Dirigente UO Informatica INMI
Storia dell'Istituto
L'Ospedale “Lazzaro Spallanzani” fu inaugurato nel 1936 come presidio
destinato alla prevenzione, diagnosi e cura delle malattie infettive, con una
dotazione di 296 posti letto in 15 differenti padiglioni e in un'area di 134.000
metri quadrati.
•
•
•
•
•
•
•
unico laboratorio italiano di livello di biosicurezza 4
cinque laboratori di livello 3
banca criogenica che può ospitare fino a 20 contenitori di azoto liquido e 28 contenitori a -80° C
un laboratorio di livello 3 per la manipolazione e la preparazione dei campioni da congelare
Polo Ospedaliero Interaziendale trapianti,
centro di riferimento per le infezioni nei trapianti
Banca biologica per il deposito di organi e tessuti destinati al trapianto.
Nel settore sanitario e medicale la sicurezza dei
dati digitali, che è responsabilità dei vertici
aziendali, acquista una particolare importanza
per la natura personale e ‘delicata’ delle
informazioni trattate.
In particolare lo Spallanzani con i suoi
laboratori dedicati allo studio e alla gestione
degli agenti infettivi rappresenta un asset
particolarmente critico da proteggere.
La sicurezza informatica del sistema
ospedaliero non protegge solo le informazioni
digitali ma anche i sistemi fisici di accesso alle
entità biologiche virali.
Dall’inizio del 2016 un elevato
numero di ospedali in tutto il mondo
è stato preso di mira da ransomware.
Quasi tutti gli ospedali sono stati costretti a
pagare il riscatto per non perdere i dati
digitalizzati dei pazienti, senza avere la certezza
che a fronte del pagamento venisse
effettivamente poi rilasciato «l’antidoto» per il
ransomware.
«la domanda non è se ma quando ».
13/01/2017 National Health Service, UK
Centinaia di interventi chirurgici bloccati a
causa di un ransomware
ADEGUARE ED INNOVARE LA SICUREZZA DEI SISTEMI INFORMATIVI AZIENDALI IN
PREVISIONE DEL GDPR
Il GDPR 2016/679 (General Data
Protection
Regulation)
nuovo
regolamento, adottato dall’Unione
Europea
nell’aprile
2016,
su
protezione dei dati personali
Circolare AgID 1/2017 (agenzia per
l’Italia digitale), su set minimale di
regole per la sicurezza cui le PPAA
dovranno adeguarsi entro la fine del
2017.
Affiancare a quelle minime di sicurezza delle ulteriori misure idonee vuol
dire creare dei processi efficienti, oltre che efficaci, in cui, a fronte di un
maggior sforzo iniziale, corrisponda un andamento a regime ottimizzato,
diminuendo così l’impegno delle risorse ed una maggiore reattività.
Così come l’evoluzione di virus e batteri ha richiesto nuovi medicinali sempre più sofisticati ed efficienti, così ci siamo
resi conto che la sicurezza informatica nell’era dell’interconnessione globale e totale non può essere approcciata con i
soli metodi standard: un software antivirus, per quanto aggiornato sia, sempre più spesso non è in grado di individuare
malware appositamente progettati per uno specifico, unico scopo e vittima.
All’inizio del 2017 abbiamo iniziato una sperimentazione integrando nuove componenti di Cyber Security
nell’infrastruttura ICT ospedaliera, componenti in grado di operare su livelli diversi, di prevenire e ridurre
significativamente sia attacchi diretti alla struttura che indiretti.
Abbiamo affiancato alle già presenti misure di sicurezza informatica «standard» quali ad es. firewall, antivirus, etc..
sistemi di monitoraggio proattivi basati su piattaforme di web intelligence, in grado analizzare non solo quello che
avviene all’interno dell’infrastruttura ICT aziendale ma anche quello che avviene esternamente e che direttamente o
indirettamente può minacciare la sicurezza delle informazioni ospedaliere.
Nuovi livelli di protezione analizzano nuovi aspetti della sicurezza delle informazioni ospedaliere, quali ad es. :
Monitoraggio h24x7x365 che nelle comunicazioni da e verso l’infrastruttura ICT
ospedaliera non vi siano connessioni verso host pericolosi (malware, botnet,
etc..), grazie ad una mappa delle minacce globali aggiornata in tempo reale i
sistemi di cyber intelligence rilevano eventuali correlazioni di comunicazione
pericolose analizzando il flusso informativo e segnalando ai responsabili dei
sistemi ICT le eventuali anomalie.
Monitoraggio h24x7x365 delle fonti aperte (OSINT) e del Deep Web alla ricerca della
presenza di eventuali informazioni sull’azienda o sui pazienti che potrebbero mettere a
rischio i sistemi ospedalieri o i dati clinici dei pazienti.
Monitoraggio h24x7x365 dei social media, analizzando il sentiment e la percezione della
struttura ospedaliera sui media, alfine di verificare l’esistenza di potenziali minacce alla
struttura e danni all’immagine (web reputation).
Maggiore sicurezza per i dati clinici dei pazienti e per i servizi «mission critical» , un servizio professionale di Alta Affidabilità
e Disaster Recovery ridondante :
Backup e Disaster Recovery geografico su Datacenter con specifiche tecniche Tier IV
Disaster Recovery in alta affidabilità delle applicazioni ospedaliere «mission critical»
Backup dei sistemi di comunicazioni (voce, dati e fax) su connessioni di diversi gestori
Monitoraggio ogni 60 sec. di tutte le principali connessioni e sistemi «mission critical»
Sicurezza come processo non come semplice strumento.
Occorre inquadrare la sicurezza in un processo
organizzativo e formativo che coinvolga l’insieme
delle strutture aziendali e del personale afferente.
La sicurezza non è solo un problema squisitamente
tecnico ma culturale, nessuno strumento tecnico
infatti, potrà mai estirpare i comportamenti
“sbagliati” dell’utente. Un processo ciclico aumenta
le possibilità di prevenire eventuali criticità. E’
quindi meglio ridurre significativamente il livello di
rischio, che “curare” situazioni ormai compromesse.
Grazie per l’attenzione.