La storia del Santobono-Pausilipon di Napoli, che da struttura senza responsabile It è passata a eccellenza della sicurezza informatica.
A metà intervista Gennaro Sirico, l’ingegnere che guida la struttura informatica del centro pediatrico più importante del Mezzogiorno, aggiorna una notizia di cui non si sapeva più nulla da qualche anno: l’azienda ospedaliera Santobono-Pausilipon “ha trasmesso formale richiesta per essere riconosciuta Irccs”.
Gli Istituti di ricovero e cura a carattere scientifico in Italia non sono molti (una cinquantina), e al Sud sono pochi (una decina). Lo storico ente napoletano, con le sue sedi del Vomero e di Posillipo (alle quali si aggiungerà un nuovo polo pediatrico automatizzato, robotizzato e ‘virtuale’, cioè con una stazione di telemonitoraggio), sarebbe il primo Irccs pediatrico del Sud.
Già oggi è l’unica azienda ospedaliera pediatrica del Mezzogiorno. Ma il Santobono-Pausilipon vanta anche un altro primato, raccontato da Sirico: “Ho ricevuto una mail dal Psn che conferma che l’Azienda ospedaliera di rilievo nazionale è tra le prime Pa a migrare” sul polo strategico nazionale su cui le pubbliche amministrazioni, secondo quanto pianificato dal Pnrr, dovranno spostare i loro servizi digitali entro metà 2026.
A volte, le regole sono un’opportunità: l’ospedale lavora a un centro di controllo unico per tutte le infrastrutture, la Smart Control Room. Un vero sistema di controllo dell’ospedale – fino alla possibilità di vedere in tempo reale cosa succede nelle sale operatorie – che nasce “dall’obbligo del decreto del 2015 che impone la realizzazione di un luogo fisico presidiato per l’antincendio dell’ospedale”.
L’azienda ne ha approfittato per allargare il concetto: “Abbiamo un’infrastruttura di telecontrollo avanzata e abbiamo fatto in modo di sposare questo obbligo alle nostre esigenze per costruire una dashboard amministrativo-contabile e avere informazioni sui singoli centri di costo”.
Quando Sirico è arrivato al Santobono-Pausilipon nel 2009 la situazione era diversa: “Non esisteva un responsabile It, sono partito da zero: un’occasione per costruire un’infrastruttura di rete certificata e veloce” che unisse Vomero, Posillipo e gli uffici della Riviera di Chiaia.
Le sfide da superare sono quelle che accomunano tante strutture ospedaliere e le rendono facile preda di malintenzionati e hacker. La sanità, sia pubblica e privata, è storicamente uno degli obiettivi preferiti per i dati che conserva: le strutture sanitarie “tendono a pagare rapidamente il riscatto per poter ripristinare i servizi il prima possibile”, ricorda un’analisi recente di Cisco Talos, che mette la sanità al terzo posto tra i settori più attaccati al mondo nel primo trimestre 2024.
Fabio Panada, security consultant di Cisco, e Graziano Leuzzi, che per la multinazionale segue le Pa del Centro-Sud, dicono che la trasformazione digitale della Pa ha creato servizi impensabili ma ha anche aperto le porte ai criminali. “Su questo Cisco ha fatto tanti investimenti”, dice Leuzzi, “anche sulla threat intelligence di Talos”, il più grande gruppo di ricerca non governativo sulla cybersecurity al mondo. Il report Talos del 2023 ha evidenziato “come la sanità è stata per la prima volta il settore più esposto agli attacchi ransomware”, cioè a scopo di estorsione. “Solo in Italia, in due mesi sono state carpite le informazioni di due milioni di file, 1,5 terabyte di dati”, dice Panada. “E il fenomeno nel 2024 non si è arrestato”. Intanto gli ospedali fronteggiano non solo il pericolo ransomware, ma anche gli attacchi a matrice geopolitica.
“Ci sono strutture ospedaliere che reputano importante la trasformazione digitale ma sono meno sensibili sulla cybersecurity, che viene ancora vista come un costo, e altre che invece ne comprendono l’importanza. Il Santobono-Pausilipon è del secondo tipo”, dice Leuzzi. L’ospedale, racconta Sirico, per la sua infrastruttura informatica spende un milione di euro l’anno. Ma mette a frutto una maggiore sicurezza con nuove iniziative, senza contare la capacità di attirare finanziamenti.
Il percorso dell’ingegnere è stato lungo e faticoso. “L’attacco più grave che abbiamo mai fronteggiato aveva colpito il nostro vecchio sito (mentre si lavorava già al nuovo). Eventi bloccanti non ce ne sono stati”, ma la lezione è servita. “Abbiamo due server farm con sincronizzazione del database quasi istantanea con una cassaforte di dati. Se c’è un crash definitivo possiamo ripristinarli”.
Oggi il percorso è arrivato all’attivazione di un progetto di cybersecurity ‘totale’: un decreto della Regione Campania ha permesso di finanziare con 4 mln di euro un progetto di cybersicurezza per il quale è stata selezionata Cisco.
La multinazionale americana ha messo a disposizione diverse tecnologie per tenere sotto controllo le singole parti dell’infrastruttura e che forniscono informazioni alla piattaforma Cisco XDR (Extended Detection and Response). Così l’ospedale riesce a calcolare le probabilità di attacco malevolo e a rispondere. La soluzione infatti unifica il rilevamento e la risposta – automatizzata – agli incidenti di sicurezza.
Mettere al sicuro la sanità a livello informatico significa trovare soluzioni creative a ostacoli che possono essere difficili da comprendere, per qualcuno che non conosce il settore. Un esempio? I software che governano le macchine elettromedicali più essenziali sono spesso vecchi, non aggiornati e poco sicuri: negli anni diventano obsoleti, e per motivi tecnici non è possibile effettuare aggiornamenti.
Elementi di vulnerabilità perfetti per un attacco informatico proprio nel cuore della rete di un ospedale. La soluzione è stata il Virtual Patching targato Cisco: innestato tra il software e la rete, protegge le applicazioni vulnerabili. Mettere al sicuro l’infrastruttura e avere le competenze giuste per usarla, spiega l’ingegnere, serve ad avere una base per innovare. Dalla costruzione di una rete solida e veloce passa il futuro di un’azienda ospedaliera che lavora (insieme alla Federico II di Napoli) a implementare l’intelligenza artificiale per ottimizzare le diagnosi in ambito pediatrico. Perché lavorare sulla sicurezza non è solo un costo.
