Strategie di backup in ambito sanitario

Premessa

Nell’attuale panorama digitale, l’utilizzo strategico dei dati, l’implementazione di robuste strategie di backup e politiche di disaster recovery, assumono un ruolo chiave per il successo di qualsiasi organizzazione. Per le strutture sanitarie o comunque operanti in ambito sanitario, l’affidabilità e la continuità operativa sono aspetti ancor più cruciali. In tali contesti infatti, la manutenzione e la salvaguardia di una mole considerevole di dati sensibili, come cartelle cliniche, pratiche amministrative, dettagli anagrafici e immagini diagnostiche dei pazienti, diventano una priorità inderogabile.
Sebbene il GDPR (Regolamento Generale sulla Protezione dei Dati) non menzioni esplicitamente l’obbligo a carico di un’organizzazione di effettuare backup, l’art 32 impone ai DPO (Responsabili della Protezione dei Dati) l’adozione di misure adeguate per garantire la sicurezza e la protezione dei dati personali in loro possesso, fornendo alcune linee guida:

• Cifratura e pseudonimizzazione (quest’ultima, tecnica di protezione che consiste nel sostituire le informazioni identificative di una persona con dati artificiali o pseudonimi, di modo che non possano essere riconducibili direttamente all’individuo senza l’uso di ulteriori informazioni)
  
• Riservatezza, integrità, disponibilità, resilienza (da intendersi come capacità di continuare a funzionare in maniera affidabile anche in presenza di eventi catastrofici) di sistemi e servizi di trattamento
  
• Capacità di ripristinare tempestivamente la disponibilità e l’accesso ai dati in caso di disaster recovery
  
• Adozione di procedure atte a testare e validare con regolarità l’efficacia delle misure di ripristino
  

L’obbligo di effettuare backup può essere considerato una conseguenza di questi principi.

STRATEGIE

Un punto fermo per una buona strategia di recovery, è l’adozione di un piano che combini backup completi periodici e parallelamente backup incrementali a cadenza più ravvicinata, riducendo così al minimo tempo e risorse necessarie per l’attività di salvataggio dei dati. Per fare un esempio concreto, un ospedale potrebbe pianificare backup completi nel fine settimana (come un’istantanea o snapshot dell’attuale stato di una macchina virtuale o l’esportazione o dump di un intero database) e backup incrementali giornalieri nelle ore notturne. In questo modo la copertura dei dati sarebbe completa a fronte di un impiego contenuto di risorse (storage, tempo, potenza di calcolo). In linea generale, ricordiamo che esistono tre tipi di backup:

• Backup completo: crea un’immagine completa del sistema o dei dati, impiegato principalmente per creare un punto di riferimento iniziale in caso di incidente grave. È il più oneroso da effettuare in termini di spazio e tempo
  
• Backup incrementale: copia solamente i dati modificati dall’ultimo backup disponibile ed è utilizzato principalmente per proteggere i dati che cambiano frequentemente. È il meno oneroso da effettuare in termini di spazio e tempo ma per un eventuale ripristino occorreranno sia il backup completo che tutti gli incrementali effettuati (che dovranno essere perfettamente integri)
  
• Backup differenziale: simile al precedente e considerato una via di mezzo tra i primi due, copia tutti i dati modificati dall’ultimo backup completo, indipendentemente da eventuali backup incrementali intermedi. Sebbene sia più dispendioso rispetto ad un approccio incrementale, l’eventuale ripristino sarà relativamente più facile da attuare, in quanto occorre solamente l’ultimo backup completo
  

Spesso si propende per l’uso combinato di diversi tipi di backup; tuttavia, nessuna scelta è oggettivamente migliore delle altre: la decisione dipende dalle risorse a disposizione, dalle competenze tecniche del team IT e dagli obiettivi di ripristino. Una volta stabilita la strategia iniziale, è opportuno adottare la ben nota regola del 3-2-1 (oggi per esteso 3-2-1-0), formulata per la prima volta nel 2003 da Peter Krogh, un fotografo statunitense che nel suo blog Peter Krogh’s Digital Photography School condivideva consigli su come custodire al meglio le proprie opere digitali; in particolare è opportuno poter disporre di:

• 3 copie dei dati: un originale più altre due repliche; questa ridondanza assicura di avere almeno un set di dati integro e funzionante
  
• 2 copie su supporti differenti: almeno una copia locale e possibilmente una su un servizio di cloud storage; in questo modo si riduce il rischio che un singolo incidente (un guasto hardware, ad esempio) possa compromettere entrambe le copie
  
• 1 copia off-site: almeno una copia dei dati dovrebbe essere conservata in un luogo diverso (possibilmente lontano) dalla sede principale, a fronte di eventi catastrofici o disastri informatici. Ancora oggi, talune organizzazioni replicano backup su nastri magnetici custoditi in casseforti schermate e ignifughe proprio per minimizzare il rischio di guasto elettromeccanico tipico di hard disk o SSD
  
• 0 errori nel backup: avere diverse copie di backup non è sufficiente se non si ha la certezza che queste siano integre e recuperabili. In tal senso, è necessario assicurarsi che non siano presenti errori e pianificare test di ripristino periodici.
  

BEST PRACTICES

1 – DATA RETENTION POLICY

Dopo aver valutato la tipologia di backup da impiegare, è necessario redigere dettagliatamente una Data Retention Policy di modo da limitare al minimo l’impiego delle risorse hardware disponibili, spazio in primis. È fondamentale, quindi, definire e classificare le categorie di dati da proteggere insieme alle relative criticità. Solitamente si distingue tra:

• Dati critici: tipicamente informazioni sensibili di estrema importanza per il corretto svolgimento delle attività dell’organizzazione (ad esempio informazioni su pazienti o dipendenti, dettagli su cure mediche, dati finanziari)
  
• Dati operativi: utilizzati quotidianamente per le normali attività, ma non vitali per la continuità della struttura (ad esempio liste di attrezzature mediche disponibili, inventario farmaci, orario turni)
  
• Dati storici: sebbene obsoleti, risultano comunque necessari a rispettare obblighi legali o mantenere un archivio storico (ad esempio cartelle cliniche, dati di ricerca e sperimentazioni, statistiche)
  

Per ciascuna categoria, bisogna quindi stabilire le modalità di conservazione, inclusi il periodo minimo di archiviazione, la frequenza con cui i backup possono variare nel tempo, il numero di versioni da mantenere e le procedure di cancellazione.

2 – CRITTOGRAFIA

Un altro aspetto fondamentale consiste nell’impiego della crittografia durante la fase di conservazione e successivi backup. A questo proposito, oltre a impedire l’accesso in lettura a dati non autorizzati, crittografia e funzioni di hashing contribuiscono a garantire l’integrità, rivelando eventuali modifiche accidentali o manomissioni. La scelta del tipo di crittografia per conservare dati dipende poi essenzialmente da due aspetti:

1. Tipologia del dato coinvolto: nel caso di dati sensibili – generalmente inseriti in un database – è auspicabile una crittografia a livello database (che esamineremo a breve); nel caso di dati meno sensibili invece, potrebbero essere sufficienti metodi di crittografia a livello file o volume
   
2. Dimensioni del backup: per backup di grandi dimensioni una crittografia a livello volume è generalmente più efficiente; per backup di piccole dimensioni, invece, una crittografia a livello file (più semplice da realizzare) potrebbe essere sufficiente
   

Con specifico riferimento ai database, dove la rapidità di costruzione delle query e i tempi di risposta determinano l’usabilità finale per gli utenti, è fondamentale evitare di compromettere le prestazioni complessive. In particolare, si distinguono tre approcci:

• Crittografia dell’intero database: fornisce una protezione elevata, ma può avere un impatto significativo sulle prestazioni complessive del sistema
  
• Crittografia a livello colonna: vengono cifrate singole colonne di una tabella di un database, mantenendo allo stesso tempo in chiaro altri record della stessa riga considerati non sensibili
  
• Crittografia a livello riga: utile per proteggere in maniera completa un insieme di dati correlati (l’anagrafica di un singolo paziente, ad esempio)
  

3 – MONITORAGGIO E AUDIT

Sebbene possa sembrare scontato, è bene puntualizzare che tutte le attività precedentemente descritte dovrebbero essere svolte con il massimo livello di automazione possibile, al fine di minimizzare qualsiasi intervento manuale e prevenire eventuali errori o omissioni. A tal proposito, è possibile ricorrere a software proprietari oppure a tecnologie open source, generalmente molto flessibili e customizzabili che ben si prestano nella realizzazione di soluzioni ad hoc. Inoltre, al fine di assicurare il pieno rispetto della policy definita e mantenere una gestione consapevole della situazione, è importante implementare piattaforme di monitoraggio e pianificare audit periodici mirati. Nel primo caso, accanto a valide soluzioni commerciali, spesso si preferisce utilizzare strumenti open source come Zabbix, Nagios e Prometheus, i quali, analizzando i log delle macchine (parsing) e lo stato della rete, consentono di ottenere una visione completa della situazione (tempistiche varie, eventuali colli di bottiglia, ecc.) attraverso la creazione di dashboard, trigger per automatizzare ulteriormente le attività e l’invio di alert. Nel secondo caso invece, l’esecuzione di audit periodici è volta a evidenziare le aree di successo, eventuali lacune nelle fasi di backup e relative procedure di ripristino; particolare attenzione dovrà essere prestata alla documentazione finale e alla formazione dello staff circa il modus operandi, di modo da standardizzare le procedure operative e non lasciare nulla di improvvisato.

CONCLUSIONI

Riassumendo, una policy ben definita, l’impiego della crittografia, attività di monitoraggio, test di ripristino e documentazione dettagliata, sono elementi chiave per garantire una continuità operativa in caso di guasti hardware o eventi non prevedibili. Non solo, è opportuno ricordare che backup e sicurezza dovrebbero procedere di pari passo: nonostante l’attuale crescente sensibilità delle infrastrutture alla sicurezza – anche in risposta a obblighi normativi – e l’istituzione di figure interne specializzate nella difesa del perimetro (i cosiddetti Blue Team), è evidente che vi siano ancora molteplici sforzi da compiere per raggiungere un livello accettabile di protezione. Ricordiamo che le strutture sanitarie sono particolarmente esposte agli attacchi, soprattutto ransomware. È in questo contesto che una solida strategia di backup pianificata in anticipo può mitigare il rischio di gravi interruzioni e ridurre al minimo il tempo di inattività. Diceva Steve Jobs: “Non importa quanto sei bravo, a un certo punto perderai dati. La domanda è: quanto velocemente li puoi recuperare?“

Prtotos data protection con le sue soluzioni di backup offline è attiva nel settore sanitario al fine della protezione dei dati e dell'adeguamento alla normativa NIS2
contattaci per una consulenza gratuita

www.protosdataprotection.it
commericale@btonesolution.it