Nella sanità lombarda ci sono più di 80.000 postazioni da proteggere da eventuali attacchi informatici. Un dato impressionante, se si pensa che ciascuna postazione potrebbe essere una porta di ingresso all’intero sistema informatico della sanità. Il dato è emerso nel corso di un incontro della Commissione Bilancio con i responsabili di Aria spa, la società che si occupa anche di cyber security.
Negli ultimi mesi si sono verificati attacchi all’ASST di Lecco e Fatebenefratelli Sacco di Milano, oltre che all’ATS Insubria. Non c’è alcuna evidenza di furto di dati, se si fa eccezione per la pubblicazione in rete di alcuni dati dell’ATS Insubria, e non c’è stata alcuna richiesta di riscatto, ma è urgente trovare risorse per significativi investimenti nella cyber security.
Aria ha un centro di competenze sulla sicurezza informatica che offre un servizio di “info sharing” alle aziende sanitarie della regione per condividere le informazioni prodotte dall’agenzia nazionale per la cyber Security e dalla Polizia Postale. Recentemente, Aria spa ha attuato un assestment, ovvero una ricognizione sui sistemi di sicurezza esistenti nelle diverse aziende sanitarie che si è appena concluso. Ora ci si appresta a una pianificazione strategica che richiederà certamente grandi investimenti pluriennali per innalzare il livello di sicurezza delle strutture lombarde.
I recenti attacchi di cui parlavo, hanno creato un blocco del servizio ai cittadini, ma non hanno intaccato il back-up dei sistemi e consentito, per fortuna, di far ripartire le macchine nel giro di qualche ora.
I rappresentati di Aria hanno anche sottolineato come sia sempre più importante un intervento di formazione su chi utilizza i PC nelle strutture regionali: i software non possono garantire la sicurezza se non c’è un’attenzione anche da parte degli utenti, secondo il cosiddetto “human firewall approach”, che prevede grande attenzione, ad esempio, nella gestione delle credenziali di accesso al sistema.
Fin qui quanto emerso dall’incontro con i vertici di Aria spa, ora, però, alcune domande:
– è adeguato l’attuale sistema di sicurezza informatico della Lombardia? Il fatto che si dica che saranno necessari ingenti investimenti non depone a favore dell’attuale sicurezza del sistema;
– la consulenza di Aria spa alle ATS e ASST del sistema sanitario lombardo si limita attualmente all’invio di informazioni sulla cyber security, gli eventuali interventi diretti sui sistemi sono avvenuti per la disponibilità degli operatori e non per contratto: non sarebbe il caso di avere un sistema più preciso e capace di far sì che il livello di sicurezza e l’operatività delle diverse strutture sia più chiara e regolata?
– le risorse di chi attacca sono sempre più rilevanti di chi difende, anche perché quest’ultimo deve difendere un terreno vastissimo, mentre chi attacca può concentrarsi su un solo punto: non sarebbe il caso di avere una regia più precisa da parte di Regione Lombardia nel dettare linee precise, stanziando risorse adeguate, per le singole strutture sanitarie? L’impressione è che su questo fronte ci siano ancora troppi punti interrogativi riguardo la capacità delle singole realtà di difendersi adeguatamente da attacchi sempre più sofisticati e spregiudicati.