Cybersecurity in ambito OT/SCADA: dalla sanità alle utility, come garantire la sicurezza dell’IoT?

L’integrazione del digitale nei più svariati contesti è un processo massiccio e irreversibile, che vede continue evoluzioni tecnologiche accompagnate da una crescente espansione delle possibili superfici di attacco.

Non fanno eccezione i servizi di pubblica utilità come quelli medico-ospedalieri, dove tale nuovo paradigma è noto come Pharma 4.0 e richiama minacce in significativo aumento, o quelli relativi alle forniture energetiche: ambiti ad alto rischio in ragione della loro complessità e rilevanza, nei quali la convergenza tra tecnologie operative (OT) e dell’informazione (IT) contribuisce a complicare la sfida della loro difesa.

In questi contesti la sicurezza informatica diventa allora un asset fondamentale sia per garantire continuità e qualità dei servizi erogati, sia per tutelare la riservatezza dei dati – spesso ultrasensibili – oggetto di trattamento.

La svolta cyberfisica della sanità

In campo farmaceutico e sanitario lo sviluppo della tecnologia offre risorse preziose, che nel giro di pochi anni hanno trasfigurato l’intera filiera diagnostica e terapeutica. Basti pensare all’impiego della robotica nella chirurgia di precisione, al più diffuso accesso alle cure permesso dalla telemedicina o agli innovativi dispositivi elettromedicali che permettono l’erogazione continua e controllata di differenti terapie anche al di fuori delle strutture tradizionali.

Agli indiscutibili vantaggi si affiancano però nuovi scenari di rischio: come gli attacchi diretti alla supply chain, i sempre più frequenti tentativi di compromissione del cloud o il dilagare di ransomware e Business email compromise (BEC) mirati a tali servizi, che testimoniano l’interesse della criminalità informatica per il settore Healthcare.

Va inoltre considerato che il proliferare di dispositivi connessi, unito alla segmentazione delle reti ospedaliere, complica non poco l’attuazione di politiche di sicurezza centralizzate. Inoltre, rispetto agli apparecchi elettromedicali e soprattutto all’IoMTInternet of Medical things, l’esigenza di protezione è duplice.

Va in primo luogo garantita la sicurezza “originaria” di impianti e software impiegati per l’erogazione dei servizi, verificando che siano stati progettati e installati in modo sicuro come altresì che tutti i soggetti coinvolti, dai fornitori agli utenti, siano consapevoli dei rischi. È poi necessario prevedere una costante manutenzione lungo l’intero ciclo di vita di ogni strumento, compresi i necessari aggiornamenti software e la formazione continua del personale a cui andranno puntualmente attribuiti ruoli, funzioni e responsabilità; il tutto in applicazione di una strategia quanto più possibile integrata di analisi, valutazione e monitoraggio del rischio informatico.

Nello spazio giuridico europeo il quadro di riferimento per la produzione e l’impiego di dispositivi medici è estremamente complesso. Al Regolamento 2017/745 sui dispositivi medici, al MDCG 2019-16Guidance on Cybersecurity for medical devices e alle normative CEI EN 62353, CEI EN 60601-1 e CEI 62-148, nonché agli standard tecnici IEC 62304 (relativo alle componenti software) e IEC 80001-1 (focalizzato sulle architetture di rete) va infatti aggiunta la Direttiva RED o Radio Equipment Directive, recentemente aggiornata dalla Commissione per includere la sicurezza informatica tra i requisiti imposti per le apparecchiature radio a marchio CE; categoria in cui rientra la maggior parte dei prodotti IoT attualmente in uso.

Novità e rischi per il mondo delle Utility

Anche l’ambito delle forniture di energia – dai servizi TLC al gas, oggi al centro di una particolare attenzione politica e mediatica – appare interessato dai cambiamenti in atto.
I relativi impianti rappresentano già di per sé contesti altamente sensibili sul piano della sicurezza fisica e informatica, rientrando a pieno titolo nella definizione di infrastrutture critiche. La trasformazione digitale non fa che estendere le superfici esposte moltiplicandone le intrinseche vulnerabilità, finendo talvolta per rendere più semplice l’opera degli attaccanti.

Ma anche settori apparentemente “neutri” oggi registrano inediti volumi di attacchi, proprio in ragione della crescente complessità e interconnessione che caratterizzano gli ambienti operativi. Ne è un esempio il comparto manifatturiero che nella produzione e fornitura di componenti “critiche” deve ora conformarsi, come visto, agli standard di sicurezza imposti da specifiche e dettagliate prescrizioni normative.

Nuovi doveri di compliance ma soprattutto di protezione delle persone impongono, allora, grande attenzione sul fronte della cybersecurity: nell’opinione di Nicola Santoro, Regional Sales Manager di 7Layers, “la messa in sicurezza dei contesti critici rappresenta una delle principali sfide che aziende e istituzioni dovranno saper vincere nel prossimo futuro”.

Nell’arco del triennio 2022-2024 sono previsti dal PNRR oltre 25 miliardi di investimenti per tecnologie e digitalizzazione, stimolando una crescita stimata intorno al 5% annuo. I principali driver di questa crescita saranno i cosiddetti Digital Enabler ovvero AI, Big Data, Cloud Computing, IoT e naturalmente Cybersecurity; elemento di cui si conferma l’assoluta centralità per abilitare un’evoluzione non transitoria o effimera ma al contrario solida, durevole e sicura.

Condividi sui Social Network:

Articoli simili