Cyber-Resilienza sanitaria: l’esperienza zero trust dell’ASL Viterbo e la necessità di un approccio integrato IT/OT

L’evoluzione dell’ecosistema sanitario moderno ha elevato la sicurezza informatica da mera problematica tecnica a determinante strategico per la continuità operativa e, di riflesso, per la sicurezza del paziente. In un ambiente ospedaliero iperconnesso, un attacco cibernetico non rappresenta soltanto una violazione della privacy dei dati, ma può direttamente compromettere l’erogazione dei servizi essenziali, bloccando dispositivi salvavita o alterando informazioni cliniche cruciali.

Sul palco di FORUM Sanità 2025 (22 – 23 ottobre, Roma) Nicola Mugnato, CTO & Founder di Gyala, un’azienda italiana che ha saputo trasferire il proprio know-how specialistico dalla difesa militare alle infrastrutture critiche civili, è partito nell’illustrare l’esperienza dell’ASL di Viterbo per offrire un modello replicabile per le altre Aziende Sanitarie Locali ed evidenziando come l’adozione di un approccio basato sulla resilienza operativa sia ormai indispensabile.

La necessità di un approccio olistico

La complessità strutturale di una ASL impone una sicurezza su due piani distinti ma inestricabilmente legati:

1. Information Technology (IT): l’infrastruttura tradizionale, incentrata sulla protezione della riservatezza e dell’integrità dei dati amministrativi e clinici (server, cartelle elettroniche, postazioni d’ufficio).
2. Operational Technology (OT): l’insieme degli apparati elettromedicali e dei sistemi di controllo che erogano fisicamente le cure (TAC, gascromatografi, analizzatori). Qui, l’obiettivo non è solo la tutela del dato, ma la garanzia della funzionalità ininterrotta del macchinario stesso.

Trascurare uno di questi ambiti significa lasciare una porta aperta. È in questo contesto che si inserisce l’approccio di Gyala, maturato nell’alta specializzazione della difesa militare. Il concetto cardine introdotto è la Resilienza Operativa: non è sufficiente prevenire l’attacco, ma l’infrastruttura deve possedere la capacità intrinseca di assorbire l’impatto di un evento ostile e continuare a operare in sicurezza, ripristinando le funzionalità vitali con la massima celerità. Questa mentalità, trasferita dalle unità operative navali alle corsie ospedaliere, costituisce il fondamento strategico.

La preparazione come vantaggio: il metodo dell’ASL di Viterbo

In collaborazione con Gyala, l’ASL di Viterbo ha avviato un percorso strutturato di rafforzamento della sicurezza aderendo a standard internazionali come la ISO/IEC 27005 per la gestione del rischio informatico. Questo lavoro preliminare non è stato un mero adempimento burocratico, ma la base che ha consentito una reazione efficace. I passaggi chiave includevano:

• Un meticoloso Asset Inventory, indispensabile per definire il perimetro di difesa;
• una revisione e l’aggiornamento delle Procedure Operative di sicurezza per il personale e i fornitori esterni;
• l’identificazione strutturata dei punti di miglioramento tecnologico.

L’integrazione con la piattaforma Gyala ha fornito a Viterbo una soluzione completa di visibilità e protezione. Il sistema è basato su Agent (XDR) per l’analisi interna dei processi, Security probe per il monitoraggio del traffico e Correlazione temporale per l’identificazione di attacchi complessi. Inizialmente installata in modalità di solo rilevamento (per apprendere il comportamento normale della rete), l’infrastruttura si è rivelata pronta per il cambio di strategia imposto dagli eventi esterni.

Dalla Detection alla Active Defense

l devastante attacco ransomware che ha colpito la Regione Lazio il 31 luglio 2021 ha agito come un catalizzatore, spostando la “probabilità di accadimento” da teorica a imminente per l’ASL di Viterbo. La risposta immediata, supportata dagli specialisti di Gyala, è stata la transizione immediata alla Difesa Attiva, basata su tre contromisure stringenti, che hanno delineato una robusta strategia Zero Trust:

1. Restrizione perimetrale: blocco e successiva riattivazione selettiva degli accessi remoti (VPN) e definizione di procedure più rigide per i manutentori esterni, riducendo drasticamente la superficie d’attacco.
2. Principio Zero Trust: attivazione della reazione automatica. Il sistema è stato configurato per bloccare attivamente ogni anomalia e consentire l’esecuzione solo di programmi pre-autorizzati. Un malware introdotto, anche se non bloccato dal firewall perimetrale, è così neutralizzato.
3. Monitoraggio IT Orizzontale con IA: implementazione di un monitoraggio basato su Intelligenza Artificiale non solo sul traffico verticale (entrata/uscita), ma soprattutto sul traffico orizzontale della rete IT (comunicazioni interne tra server e postazioni di lavoro). Questa azione è fondamentale per rilevare i movimenti laterali dell’attaccante che tenta di diffondere l’infezione sulla rete interna.

La comprensione dell’anatomia dell’attacco, basata sull’analisi del trojan Emotet (il quale sfrutta l’attivazione di macro in documenti Word per aprire shell di comando – un indicatore di compromissione inequivocabile), ha permesso di calibrare le difese in modo estremamente mirato.

Le vulnerabilità nascoste: come risolvere le criticità nell’OT

Separatamente dall’esperienza di Viterbo, l’attività di monitoraggio condotta da Gyala in diverse altre strutture sanitarie italiane che hanno implementato l’architettura integrata IT/OT, ha messo in luce vulnerabilità critiche spesso latenti, che sottolineano l’urgente necessità di un approccio olistico.

I casi riscontrati sono emblematici della sfida:

• L’obsoleto e il connesso. La scoperta di un analizzatore di lipidi controllato da un PC con Windows XP infetto, la cui vulnerabilità era stata innescata da una semplice chiavetta USB Wi-Fi utilizzata dagli operatori per connettere la macchina alla rete guest di navigazione. Un errore procedurale che crea un ponte non autorizzato e vanifica ogni misura perimetrale.
• L’anomalia dimensionale. Il rilevamento, su un gascromatografo, di uno scambio anomalo di 32 Terabyte di dati nell’arco di un mese tra due computer interni. Un volume sproporzionato e inspiegabile, indicatore di una potenziale esfiltrazione massiva o di un’infezione fuori controllo, che era passato inosservato ai sistemi tradizionali.

Questi episodi confermano che la sicurezza del paziente dipende in ultima analisi dalla garanzia che il dispositivo medico faccia esattamente ciò che è stato progettato per fare, senza alterazioni o interferenze esterne.

La via per una sanità Cyber-Resiliente

Secondo l’esperienza di Gyala, ci sono tre elementi fondamentali per la costruzione della cyber-resilienza:

1. La proattività. La preparazione metodologica e l’analisi del rischio condotte prima della crisi sono stati il fattore che ha consentito all’ASL di Viterbo di non soccombere all’onda d’urto del contesto regionale, grazie all’adozione della sua strategia Zero Trust.
2. L’unificazione IT/OT è obbligatoria. La sanità non può permettersi una sicurezza a compartimenti stagni. L’integrazione tecnologica, come quella fornita da Gyala in altre realtà, è l’unico modo per proteggere l’intero ecosistema, dal server al dispositivo elettromedicale.
3. La visibilità è la prima linea di difesa. Non è possibile difendere ciò che non si vede. La capacità di rilevare e correlare anomalie – siano esse un’azione insolita di un software (Word che apre una shell, come nel caso Emotet rilevato a Viterbo) o un volume di dati anomalo (i 32 TB rilevati su apparati OT in altre ASL) – è la vera chiave per intercettare e bloccare gli attacchi complessi prima che possano arrecare danni irreversibili.

Ed è facile concludere che la salute pubblica e la sicurezza digitale sono ormai due facce della stessa medaglia: la resilienza del nostro sistema sanitario dipende in modo critico dalla robustezza delle sue difese cibernetiche.