Benché le aziende farmaceutiche si avvalgano da molto tempo di reti digitali, una vera cultura della digitalizzazione non è ancora molto diffusa. Spesso gli attacchi informatici vengono percepiti come qualcosa di lontano o di improbabile. Il problema si affronta quando è davvero grosso e porta a gravi conseguenze, come i fermi macchina. Ma a livello di minacce, il pharma non è diverso dagli altri comparti industriali.
«La realtà – spiega Gian Paolo Baranzoni, consulente ICT in ambito farmaceutico – è che la presenza di un malware può addirittura passare inosservata: servono competenze specifiche e una certa sensibilità sull’argomento per comprendere quando, ad esempio, un rallentamento nel sistema operativo è in realtà un attacco informatico in piena regola, per analizzarlo e per comprendere i danni che sta causando».
Anche perché la filiera farmaceutica possiede alcune fragilità specifiche.
Le fragilità del pharma
«I rischi legati alle tecnologie digitali – spiega l’esperto – primo fra tutti il ransomware, colpiscono trasversalmente le aziende dei vari settori. Tuttavia quello farmaceutico è un comparto ricco di fornitori e terzisti. Ed è proprio la sua supply chain, anche quella relativa ai fornitori di operational technology, ad ampliare maggiormente la superficie vulnerabile agli attacchi informatici.
Dobbiamo pensare che i cosiddetti hacker difficilmente sono singole entità criminali. Più frequentemente sono vere e proprie agenzie, anche di tipo governativo, provenienti da Paesi come la Russia, la Cina o la Corea del Nord. Contro simili attacchi i colossi dell’informatica come Microsoft o Google sono ben attrezzati, ma i fornitori più piccoli mostrano maggiori fragilità. Per questo è importante difendersi con un approccio al digitale organico e ragionato».
Ma il mondo farmaceutico e quello informatico spesso non si parlano.
L’informatica è un processo industriale
«Rigidamente vincolato il primo, in continuo mutamento il secondo. Per colmare questo gap, facendo fronte in modo efficiente ai rischi connessi alla digitalizzazione, ma anche implementando al meglio le tecnologie digitali, bisogna innanzitutto andare oltre il solo utilizzo dei programmi informatici. Questo è infatti il primo passo, a cui è però indispensabile affiancare processi aziendali specifici e una funzione interna in grado di controllarli efficacemente. I processi informatici andrebbero infatti considerati alla stregua degli altri processi industriali, da gestire attraverso valutazioni del rischio e investimenti dedicati».
Aggiornamento e convalida
Il mondo digitale è mutevole e in continua evoluzione e, parlando in termini economici, per essere sempre pronti a rispondere agli attacchi servirebbero investimenti costanti. I fornitori di servizi informatici, soprattutto quelli di maggiori dimensioni, inviano continui aggiornamenti per migliorare gli applicativi a seguito della risoluzione delle varie minacce: implementare queste migliorie significa rimanere al passo con i rischi identificati.
«Ma è necessario entrare nell’ottica dell’aggiornamento continuo e di una modalità di investimento flessibile e prolungata nel tempo. Anche per questo la funzione aziendale che si occupa dei sistemi e delle reti informatiche dovrebbe fare capo a un security manager il più possibile indipendente dalla direzione. L’aggiornamento frequente, chiamato patch, delle infrastrutture sulle quali si appoggiano gli applicativi pone poi un ulteriore problema: la loro convalida o riconvalida».
Attualmente questo importante processo di qualità andrebbe infatti ripetuto a ogni aggiornamento, un lavoro decisamente impegnativo.
«Sarebbe necessario trovare un metodo per snellire e ottimizzare le operazioni di qualifica infrastrutturale e convalida applicativa in modo da non dover rinunciare a un aggiornamento continuo che è indispensabile per avere un’infrastruttura digitale organica ed efficiente. Il primo passo resta comunque il cambio di mentalità e l’apertura verso un linguaggio diverso, da integrare nei sistemi aziendali e non da considerare come qualcosa di isolato da utilizzare al bisogno».
Competenze digitali
Quali sono le risorse indispensabili oggi per fronteggiare i rischi di attacco informatico? «Innanzitutto è necessario aumentare la cultura del digitale in azienda. Tutti i dipendenti possono essere veicolo di attacchi informatici e servirebbero formazioni specifiche, ad esempio su come gestire e-mail che provengono da indirizzi sconosciuti o su come segnalare i presunti attacchi.
Per quanto riguarda invece il personale dedicato, le competenze andrebbero create con corsi di cybersecurity mirati. Gli studi universitari infatti non bastano, perché non basta essere bravi informatici e ottimi programmatori. È certamente un buon punto di partenza, ma per entrare davvero nel merito della cybersecurity occorre conoscere a fondo anche i regolamenti in vigore e i programmi in uso nelle varie aziende».