Modulo 1.1 - La cybersicurezza nelle aziende sanitarie: scenario delle minacce e fattore umano

[Audio] Benvenuti al corso sulla Direttiva NIS2. Questa è la prima lezione, ed è anche la più importante per partire con il piede giusto, perché risponde a una domanda semplice: perché la cybersicurezza riguarda proprio noi, che lavoriamo in sanità? Il titolo ci dà i due fili conduttori: da una parte lo scenario delle minacce, cioè quali pericoli esistono oggi; dall'altra il fattore umano, cioè il ruolo che hanno le persone, ognuno di noi, nel difendersi. Vi anticipo subito il messaggio più importante, che attraverserà tutto il corso: la sicurezza informatica non è solo una questione di tecnologia o di esperti, ma dipende in larga parte dai comportamenti quotidiani di chi lavora. E questo significa che ciascuno di noi può fare davvero la differenza, anche senza alcuna competenza tecnica. Affronteremo tutto con un linguaggio semplice e tanti esempi concreti, legati alla nostra realtà. Iniziamo questo percorso insieme..

[Audio] Ecco il percorso della lezione, in quattro tappe. Primo punto: capiamo perché la sanità è oggi sempre più digitale, e perché questo, accanto a tanti vantaggi, ci rende anche più esposti agli attacchi informatici. Secondo: vediamo lo scenario delle minacce, cioè quali sono i principali pericoli che possiamo incontrare e quali effetti possono avere su una struttura sanitaria. Terzo, e qui sta il cuore della lezione: il fattore umano, ovvero perché le persone, e non solo le tecnologie, sono al centro della sicurezza. Quarto: scopriremo come ciascuno di noi possa trasformarsi, con piccoli accorgimenti, da possibile punto debole a vera e propria prima linea di difesa. È un passaggio di mentalità importante, e vedremo che è alla portata di tutti. Come sempre, l'obiettivo non è spaventare, ma rendere consapevoli. Partiamo dal primo punto: la sanità digitale..

[Audio] Partiamo da una constatazione semplice: la sanità è sempre più digitale. Pensiamo a come è cambiato il nostro lavoro negli ultimi anni. Le cartelle cliniche, una volta di carta, oggi sono elettroniche: le informazioni dei pazienti vivono dentro i sistemi informatici. Molte apparecchiature mediche sono ormai connesse alla rete. Si sono diffuse la telemedicina e il fascicolo sanitario elettronico. Tutto questo è un enorme progresso, perché rende le cure più rapide, più precise e più accessibili. C'è però un rovescio della medaglia, scritto in alto: ogni sistema digitale è anche una possibile porta d'ingresso per chi vuole fare danni. Più siamo connessi, più aumenta ciò che va protetto. Tre cose, in particolare, ci riguardano da vicino, e le vedete nelle tre schede: le cartelle cliniche elettroniche, in cui sono custodite le informazioni dei pazienti; i dispositivi medici connessi, che vanno monitorati e protetti; e i dati sanitari, che sono tra le informazioni più delicate e preziose in assoluto. Ed è proprio questo a renderci interessanti agli occhi dei malintenzionati..

[Audio] Una domanda sorge spontanea: ma perché qualcuno dovrebbe prendere di mira proprio un ospedale o una ASL? Non siamo una banca. Eppure la sanità è uno dei bersagli preferiti dai criminali informatici, e per tre ragioni precise. La prima: i dati valgono molto. Le informazioni sanitarie, che contengono dati anagrafici, clinici, a volte finanziari, sono ricercatissime sul mercato nero e vengono rivendute a caro prezzo, molto più di una semplice carta di credito. La seconda: i servizi non possono fermarsi. In un ospedale non ci si può permettere di restare bloccati a lungo, perché ne va della salute delle persone; questo mette le strutture sotto una forte pressione a ripristinare subito i sistemi, e rende per i criminali più conveniente l'estorsione, ad esempio chiedere un riscatto. La terza: ci sono tante porte da sorvegliare. Una struttura sanitaria ha moltissimi dispositivi, sistemi e persone: una superficie molto ampia da difendere, con tanti possibili punti deboli. Come dice la riga in basso, non siamo presi di mira per caso: siamo un obiettivo deliberato, e questo richiede l'attenzione di tutti..

[Audio] Vediamo ora lo scenario delle minacce, cioè i principali pericoli che possiamo incontrare, spiegati in modo semplice. Il primo, e oggi tra i più temuti, è il ransomware: un programma che blocca i sistemi e i dati, rendendoli inutilizzabili, e chiede un riscatto in denaro per sbloccarli. Il secondo è il phishing: email o messaggi ingannevoli, costruiti per sembrare affidabili, che cercano di rubare le nostre credenziali o di farci aprire allegati infetti. Il terzo è il furto di dati: la sottrazione di informazioni riservate su pazienti e personale. Il quarto è il malware, cioè i programmi dannosi, i virus, che infettano e danneggiano i sistemi. Il quinto riguarda i dispositivi a rischio: le apparecchiature connesse alla rete che possono diventare bersaglio. Il sesto, infine, sono gli errori interni: semplici disattenzioni involontarie che, senza cattive intenzioni, possono aprire la strada ai problemi. Un'osservazione importante, in basso: queste minacce sono spesso collegate tra loro. Moltissimi attacchi gravi iniziano da un semplice messaggio ingannevole, un clic, e arrivano fino al blocco totale dei sistemi. Ed è proprio qui che entra in gioco il fattore umano..

[Audio] Partiamo dal phishing, perché è la minaccia più frequente e, allo stesso tempo, quella su cui possiamo incidere di più. Funziona in tre passaggi, come vedete nello schema. Primo: arriva un'email o un messaggio ingannevole, costruito per sembrare di una fonte fidata, ad esempio la banca, un collega o un ufficio interno. Secondo: basta un clic incauto su un link o su un allegato, e si apre la porta. Terzo: i criminali ottengono le nostre password o un accesso ai sistemi. Come ci si difende? Imparando a riconoscere i segnali. Diffidate dei toni urgenti o minacciosi, degli errori di scrittura, degli indirizzi strani, delle richieste di password e degli allegati inattesi. La regola d'oro è semplice: nel dubbio, non cliccare. Prendetevi un momento, e chiedete conferma a chi di dovere. Quei pochi secondi di attenzione possono evitare un grande danno..

[Audio] Il secondo pericolo è il ransomware. Il nome viene dall'inglese ransom, che significa riscatto, e descrive bene come funziona. Guardiamo lo schema. All'inizio i file e i sistemi funzionano normalmente. Poi un programma dannoso entra e cifra i file, cioè li rende illeggibili, come se mettesse un lucchetto su ogni documento. Infine, compare la richiesta di riscatto: un pagamento, di solito in criptovaluta, in cambio della promessa di sbloccare i dati. Perché questo attacco fa così paura proprio in sanità? Perché se vengono bloccati cartelle cliniche, referti o i sistemi di un reparto, le attività si fermano e la cura dei pazienti rallenta. Due cose ci proteggono più di tutte: le copie di sicurezza, i cosiddetti backup, che permettono di ripristinare i dati senza pagare nulla, e la prontezza nel segnalare subito qualsiasi anomalia. Anche qui, la rapidità di reazione di ciascuno di noi è preziosa..

[Audio] Le ultime due minacce hanno una cosa in comune: puntano dritte alle persone. La prima è l'ingegneria sociale. Qui non viene attaccato il computer, ma la fiducia di chi lo usa. Pensate a una finta telefonata di un sedicente tecnico o di un presunto superiore, a una richiesta urgente che vi mette fretta, o a qualcuno che si finge un collega o un fornitore. L'obiettivo è sempre lo stesso: convincerci a consegnare dati o accessi. La seconda è il furto di credenziali. Le password sono le chiavi dei nostri dati, e troppo spesso sono fragili: parole semplici da indovinare, la stessa password usata su molti servizi, o credenziali scritte su foglietti lasciati in vista. Per questo è importante scegliere password robuste e diverse tra loro, e usare, dove disponibile, l'autenticazione a due fattori, che aggiunge una seconda verifica oltre alla password. Un piccolo passo che rende molto più difficile l'accesso a chi non è autorizzato..

[Audio] C'è un aspetto che rende la sanità diversa da molti altri settori: un incidente informatico non resta mai chiuso dentro un ufficio. Guardate questo schema a cerchi concentrici. Tutto può partire da un singolo paziente, la cui cura viene rinviata. Ma l'onda si allarga: il reparto coinvolto sospende le attività, poi i servizi rallentano in tutta l'azienda sanitaria, fino a toccare l'intera comunità, con la fiducia e la sicurezza del territorio messe alla prova. È quello che si chiama effetto a catena. Per questo la Direttiva NIS2 parla di servizi essenziali e di resilienza. La resilienza è la capacità di un'organizzazione di resistere a un attacco e di tornare a funzionare il più rapidamente possibile, limitando i danni. E la resilienza non si costruisce solo con la tecnologia: si costruisce ogni giorno con i comportamenti delle persone. Ed è proprio di questo che parliamo nell'ultimo punto..

[Audio] Arriviamo al punto più importante di tutta la lezione: il fattore umano. Spesso si pensa che la sicurezza sia solo una questione di antivirus e di tecnici, ma non è così. I report di settore ci dicono che circa sette incidenti su dieci coinvolgono in qualche modo un'azione umana: un clic sbagliato, una password debole, un momento di distrazione. Potrebbe sembrare una cattiva notizia, ma in realtà è un'ottima notizia: significa che ognuno di noi può fare davvero la differenza. Ecco quattro comportamenti semplici, alla portata di tutti. Primo: pensa prima di cliccare, verificando mittente e link, soprattutto quando c'è fretta. Secondo: usa password robuste e diverse tra loro, e attiva, dove possibile, l'autenticazione a due fattori. Terzo: segnala subito ai referenti informatici qualsiasi cosa ti insospettisca, anche un piccolo dubbio. Quarto: tieniti aggiornato, perché la formazione continua è parte della difesa. Noi siamo la prima linea..

[Audio] Capito che le persone sono al centro, vediamo come, in concreto, gli attaccanti cercano di sfruttarci. Il punto fondamentale è questo: spesso non hanno bisogno di bucare i sistemi con tecniche sofisticate; preferiscono, più semplicemente, ingannare le persone. È quella che si chiama ingegneria sociale. E usano alcune leve psicologiche ricorrenti, che è utilissimo conoscere. La prima: si fingono qualcuno di fidato, un collega, un fornitore conosciuto, la direzione, magari una banca; indossano una maschera per abbassare le nostre difese. La seconda, e la più potente: creano urgenza e paura, con messaggi del tipo "agisci subito o ci saranno conseguenze"; lo scopo è non farci riflettere, perché una persona di fretta e spaventata commette più errori. La terza: sfruttano la curiosità e la fiducia, con un allegato interessante, un finto premio, una richiesta che sembra del tutto plausibile. La quarta: approfittano della fretta; nei momenti di maggior carico di lavoro, come capita spesso in sanità, è naturale abbassare la guardia. Riconoscere queste leve è già metà della difesa: quando le notiamo, scatta il campanello d'allarme..

[Audio] Per capire davvero perché tutto questo conta, fermiamoci un momento sulle conseguenze di un attacco riuscito. Perché in sanità la posta in gioco è altissima. La prima conseguenza, e la più grave, è che le cure e i servizi finiscono a rischio: se i sistemi si bloccano, possono fermarsi esami, terapie, prestazioni, con un impatto diretto sui pazienti. Non è un disagio amministrativo: è una questione di salute. La seconda conseguenza è la violazione dei dati dei pazienti: informazioni intime, sulla salute delle persone, che finiscono esposte. È un danno profondo, perché tradisce la fiducia di chi si è affidato a noi. La terza riguarda i danni e i costi: una violazione compromette la reputazione della struttura e comporta spese ingenti per ripristinare i sistemi e rimediare. Il punto chiave, nel riquadro in basso, è quello che dà senso a tutto il corso: qui non stiamo parlando soltanto di computer e di tecnologia, ma della salute e della dignità delle persone che curiamo. Ecco perché proteggere i sistemi è, in fondo, un modo di prendersi cura dei pazienti..

[Audio] Siamo alla fine di questa prima lezione. Riassumiamo i quattro messaggi da portare a casa. Primo: la sanità è sempre più digitale e, proprio per questo, più esposta; più sistemi e più dati preziosi significano più cose da proteggere. Secondo: non siamo presi di mira per caso, siamo un bersaglio deliberato, perché i nostri dati hanno valore e i nostri servizi non possono fermarsi. Terzo, il cuore di tutto: il fattore umano è decisivo; quasi sempre, dietro un attacco riuscito, c'è un'azione umana, un clic, una password debole, una distrazione. Quarto, e il più importante e incoraggiante: proprio per questo possiamo essere la prima linea di difesa; con un po' di attenzione e poche buone abitudini, alla portata di tutti, possiamo fermare gli attacchi sul nascere. Portate con voi soprattutto quest'ultima idea: la sicurezza non è solo compito degli informatici, è anche nelle nostre mani. Vi ringrazio per l'attenzione. Nel prossimo modulo faremo un passo indietro per capire come nasce questa normativa, ripercorrendo il cammino dalla NIS alla NIS2. A presto..