L’AUSL di Reggio Emilia è presente nei cinque distretti dell’omonima provincia con cinque presidi ospedalieri periferici e l’Arcispedale S. Maria Nuova, che rappresenta l’ospedale maggiore sito nel capoluogo, oltre le circa 90 sedi distaccate di varie dimensioni (dipartimenti sanitari e amministrativi), per un totale di quasi 5000 dipendenti.
L’evoluzione del sistema sanitario, teso a fornire servizi sempre più puntuali al cittadino, ha portato l’AUSL ad intraprendere un percorso di digitalizzazione volto alla progressiva eliminazione dei referti cartacei, avviando per questo diversi progetti importanti, come il processo di dematerializzazione della cartella clinica.
La quantità di informazioni a livello clinico sta aumentando vertiginosamente, così come la loro criticità, poiché si tratta di dati sensibili, e come tali riservati. Di pari passo sempre più strumenti biomedicali sono collegati alla rete e nasce quindi la necessità di condividere queste informazioni tra i medici e il personale sanitario, per i quali molto spesso la tempistica è un elemento determinante. A tal fine è stato attivato un sistema di repository unico centrale in cui confluiscono tutti i referti prodotti dai vari ospedali distrettuali e le richieste degli esami. La collaborazione tra medici, funzionale ai percorsi di cura dei pazienti, è ormai prassi consolidata, che però comporta l’obbligo di rendere accessibili i dati affidandosi a strumenti di autorizzazione e procedure che non mettano in pericolo la sicurezza e la privacy delle informazioni.
“I sistemi esistenti agivano in modo separato, garantendo una protezione tradizionale con firewall vecchio stampo e web filtering”, dichiara Federica Garlassi, PM – Area Infrastrutturale di Sistema Servizio Tecnologie Informatiche e Telematiche interaziendale di ASMN-IRCCS/AUSL Reggio Emilia. “Con l’aumento delle informazioni da condividere, non assicuravano il necessario livello di performance richiesto, causando problemi dal punto di vista operativo. Era inoltre impossibile effettuare una profilazione sulla base dei servizi, ma semplicemente a seconda dell’indirizzo IP”.
Un’ulteriore problematica riscontrata era data da una capacità di reazione alle vulnerabilità molto limitata. Le tempistiche nel rilevare il problema e nel porvi rimedio erano infatti notevolmente dilatate, aspetto questo inaccettabile, considerate le esigenze dei distretti ospedalieri e il disagio creato a medici e pazienti. Il fatto poi di avere delle soluzioni multi-vendor faceva sì che i livelli di assistenza non fossero adeguati, per cui i servizi sanitari riscontravano spesso carenza di risposte e tempistiche lunghe.
“A questo si aggiungeva il fatto che molte sedi periferiche non erano presidiate da personale tecnico, per cui in alcuni casi, si verificavano dei disservizi”, spiega Federica Garlassi. “Era quindi fondamentale dotarsi di un controllo centrale della sicurezza, in modo da coordinare le varie sedi”. La protezione cercata dall’AUSL doveva essere quindi ad ampio spettro e in grado di coprire più punti possibili.
Soluzioni e risultati
Dopo un’accurata ricerca la scelta è caduta su Fortinet. Sono stati implementati due firewall FortiGate 1500D – supportati 24 ore su 24 dai FortiGuard Labs – che assicurano la protezione di tutti i data center dell’AUSL di Reggio Emilia, grazie alle numerose funzionalità delle quali dispongono, assicurando inoltre all’azienda di avere una ridondanza fisica della rete. Oltre all’iniziale implementazione dei firewall e del proxy, l’AUSL ha progressivamente aggiunto altre funzionalità quali Antivirus, Web Filtering, Application Control, Wan Optimization, EndPoint Protection, Network Vulnerability Scan, riuscendo a dare vita a un sistema di sicurezza adeguato alle proprie esigenze, senza arrecare disservizi all’utenza interna ed esterna durante la sostituzione dei sistemi e l’attivazione delle funzionalità aggiuntive.
Uno degli obiettivi raggiunti è aver ottimizzato il tempo di risposta e reazione agli attacchi. Ora è possibile fare una valutazione integrata della minaccia, permettendo di identificare più facilmente su che livello di sicurezza agire per mitigare o bloccare l’evento. E’ stata infine attivata una connessione con i singoli PC dei medici via VPN-SSL e ampliati i servizi on-line dedicati al cittadino, grazie alla maggiore protezione offerta dalla soluzione Fortinet.
“Le soluzioni Fortinet hanno permesso di dare una concreta risposta alla direttiva aziendale in termini di concreto sviluppo e condivisione dei dati sensibili fra medici e pazienti, garantendone il massimo della privacy e senza compromettere le prestazioni e la fruibilità”, conclude Federica Garlassi.
