Sale operatorie paralizzate, SUA non disponibili, reparti di emergenza sovraccarichi, chiamate dai media e dall'ARS in rapida successione...
Questa è l'esperienza di un numero sempre maggiore di Ospedali universitari, centri ospedalieri e GHT durante i principali attacchi informatici.
Piani, procedure e BCP sono essenziali, ma il giorno in cui una crisi colpisce, una domanda domina:
I team hanno mai vissuto questo tipo di situazione, anche “per davvero”?
Questo è esattamente il ruolo di un esercitazione di gestione delle crisi informatiche in ospedale :
fornire un'esperienza realistica di una crisi, in un ambiente sicuro, in modo che la prossima non sia più una scoperta.
Perché un'esercitazione di gestione delle crisi è essenziale per un ospedale?
Migliore coordinamento dei giocatori in situazioni di tensione
Direzione, dipartimento IT, CISO, gestione dell'assistenza, capi unità, DIM, comunicazione, biomedico, logistica, ecc.
In tempi normali, tutti conoscono il proprio perimetro. In caso di crisi, tutti intorno allo stesso tavolo.
Un esercizio per testare la reattività dell'unità di crisi, chiarire che decide di cosa, rendere gli scambi più fluidi tra i reparti aziendali e informatici.
Convalidare i piani e le modalità di sfumatura :
Un piano bianco, un BCP/PRA o delle procedure informatiche sono validi solo se sono conosciuto, incluso, applicabile sotto stress.
L'esercizio evidenzia quindi la schede reflex non trovate, il numeri obsoleti così come modalità degradate impraticabili in un servizio di assistenza.
Ridurre l'impatto di un attacco reale
Esercitandosi, le squadre corrono più rischi. rapidamente le decisioni giuste, rendendo più facile il mantenimento dell'assistenza in modalità degradata e limitando il numero di conseguenze mediche, e l'impatto mediatico di un attacco all'ospedale.
L'approccio Phishia, progettato per gli ospedali
Phishia ha strutturato i suoi esercizi intorno a quattro fasi, adattato al contesto ospedaliero (CHU, CH, GHT).
Fase 1 - Inquadramento e progettazione dell'esercizio
Obiettivo: definire un esercizio utile, realistico e allineato alle sfide della scuola.
Impostazione di un gruppo di progetto : gestione, IT/ISR, gestione delle cure, gestione della qualità/rischio, comunicazione, ecc.
Definizione di obiettivi :
- testare la gestione del ransomware che cripta il SUA,
- sperimentare il passaggio alla modalità di emergenza declassata,
- convalidare la comunicazione con l'ARS e i media, ecc.
Durante questa fase, Phishia fornisce un feedback sugli incidenti effettivamente riscontrati negli ospedali, per proporre uno scenario credibile che non sia né troppo semplice né paralizzante.
Fase 2 - Preparazione della sceneggiatura e dei media
Obiettivo: creare una crisi coinvolgente ma totalmente controllata.
Per prima cosa, si redige un scenario coerente (ad esempio phishing mirato → compromissione dell'account → crittografia → impatto sui servizi critici), quindi prepariamo il principale “iniezioni” Si tratta di e-mail fittizie (da parte della direzione, dell'ARS, della stampa e dei pazienti), di alcune chiamate simulate e di messaggi da parte di fornitori di servizi o host.
Infine, produciamo media essenziali che comprende una guida per i giocatori, istruzioni per gli istruttori e una griglia di osservazione.
Tutto viene preparato in modo che, il giorno del giudizio, l'esercitazione possa aver luogo senza influenzare la produzione di IS: zero rischi tecnici per l'ospedale.
Fase 3 - Conduzione dell'esercitazione con l'unità di crisi dell'ospedale
L'obiettivo è mettere l'unità di crisi in condizioni il più possibile simili a un attacco reale.
I ruoli :
- Giocatori :
Direzione generale, direzione medica, gestione delle cure, dipartimento IT, CISO, IMD, comunicazione, servizi critici, ecc.
Ricevono le informazioni mentre accadono e prendono decisioni come farebbero in una situazione reale.
- Phishia ospita :
Rappresentare gli stakeholder esterni: ARS, ANSSI, CERT, fornitori di servizi, giornalisti, pazienti, ecc.
Guidare il processo, regolare il ritmo, iniettare informazioni al momento giusto.
- Osservatori :
Si segnalano le reazioni, gli ostacoli e le buone pratiche.
Non coinvolto nel processo decisionale.
Come funziona :
- Creazione di un unità di crisi (stanza, strumenti, rapporti).
- Avvio dello scenario : segnali di allarme, avvisi tecnici, chiamate dai reparti clinici...
- Aumento graduale della pressione : i team devono decidere il passaggio alla modalità declassata, fare compromessi medici, stabilire le priorità delle applicazioni da ripristinare e orchestrare le comunicazioni interne ed esterne.
Per tutta la durata della sessione, i moderatori di Phishia stabiliscono il ritmo della crisi e gli osservatori registrano in modo neutrale ciò che sta accadendo.
Fase 4 - Feedback e piano di miglioramento
Si inizia con un debriefing in loco raccogliere il feedback dei partecipanti: cosa ha funzionato bene, cosa è andato storto e i principali punti critici.
Poi Phishia conduce un analisi a freddo il processo (unità di crisi, decisioni, coordinamento, modalità di declassamento) in relazione alle migliori pratiche nazionali. Questa analisi si traduce in un piano d'azione prioritario Aggiornamento delle procedure, del BCP e del White Plan, miglioramento degli elenchi e delle schede di riflessione e rafforzamento della preparazione dei team (sensibilizzazione, formazione mirata).
L'obiettivo è chiaro: dopo l'esercizio, il vostro ospedale è decisamente più preparato di prima.
Cosa può fare Phishia per il vostro ospedale
Una visione sul campo delle crisi dei cyberospedali
I nostri scenari si basano su feedback reali provenienti dal settore sanitario.
Approccio multidisciplinare
Coinvolgiamo gli operatori sanitari e il management tanto quanto il reparto IT/IS: la crisi non è solo un problema tecnico.
Insegnamento e sicurezza
È un esercizio impegnativo, ma che si svolge in un ambiente sicuro, senza rischi per l'IS o per le cure in corso.
Collegamento con altri progetti
Le lezioni apprese confluiranno direttamente nel vostro lavoro sul BCP/RAP, sulla risposta agli incidenti, sul programma CaRE, sulla sensibilizzazione, ecc.
Volete testare la vostra unità di crisi prima del prossimo attacco?
Un esercizio ben costruito richiede solo poche ore per essere completato...
Ma il giorno in cui arriva la vera crisi, queste ore possono fare la differenza tra un ospedale che è sopraffatto e uno che ha il controllo.
Si desidera :
- organizzare un'esercitazione iniziale di crisi informatica nel vostro ospedale
- professionalizzare un'unità di crisi esistente
- redigere un programma annuale di esercitazioni per un GHT
Phishia può lavorare con voi per progettare uno scenario su misura, adattato alle vostre dimensioni, alla vostra organizzazione e al vostro livello di maturità.
