Come una ASST Lombarda ha Messo in Sicurezza Più di 2.000 Dispositivi con FortiNAC
In sintesi
Un’Azienda Socio Sanitaria Territoriale (ASST) della provincia di Bergamo ha avviato un ambizioso progetto di modernizzazione e messa in sicurezza della propria infrastruttura di rete.
Dopo aver rinnovato completamente gli apparati e introdotto una nuova architettura core/distribution/access, DCLabs ha implementato FortiNAC come tassello finale di un percorso che ha portato al censimento e al controllo di oltre 2.000 dispositivi connessi, inclusi dispositivi IoT medicali, PC e stampanti.
Dispositivi censiti e classificati
Dall'analisi al GO-LIVE
Utenti protetti
Il Contesto: Una Rete Nata per Crescere, Non per Essere Sicura
Le strutture sanitarie pubbliche italiane si trovano oggi ad affrontare una doppia sfida: garantire la continuità operativa di servizi critici per i cittadini e adeguarsi a un panorama normativo e di minacce informatiche in rapida evoluzione.
In questo scenario si inserisce il progetto di modernizzazione affrontato da un’ASST della provincia di Bergamo, una realtà che serve un territorio vasto e articolato, con numerose sedi distribuite e una sede principale che conta oltre 1.500 dipendenti.
La situazione di partenza era comune a molte realtà del settore pubblico: un’infrastruttura di rete costruita nel tempo in modo incrementale, composta da apparati ormai obsoleti e una topologia piatta, priva di segmentazione. In un contesto simile, tutti i dispositivi — PC amministrativi, workstation cliniche, stampanti, apparecchiature biomediche IoT — condividevano la stessa rete senza alcun controllo, con evidenti implicazioni sia sul piano della sicurezza che delle performance.
A spingere verso il cambiamento non è stato un singolo evento, ma la convergenza di più fattori: la crescente esposizione delle strutture sanitarie agli attacchi ransomware, l’introduzione della Direttiva NIS2, le indicazioni di Regione Lombardia in materia di cybersicurezza per le aziende sanitarie, e la consapevolezza interna che l’infrastruttura esistente non fosse più in grado di supportare in sicurezza i processi critici dell’organizzazione.
Il Progetto: Un Percorso Strutturato in Fasi
DCLabs ha affrontato il progetto con un approccio metodico e progressivo, consapevole che in ambito sanitario ogni intervento infrastrutturale deve essere pianificato con la massima attenzione alla continuità dei servizi.
Il progetto complessivo si è articolato in due fasi principali.
Fase 1 — Modernizzazione dell’Infrastruttura di Rete
Nella prima fase, DCLabs ha sostituito completamente gli apparati obsoleti con tecnologie di ultima generazione, introducendo una nuova architettura di rete a tre livelli (core/distribution/access) basata su switch e access point Aruba. Al centro della nuova infrastruttura è stato posizionato un cluster di firewall Fortinet FortiGate (prima nella versione 1800F, successivamente evoluto con i FortiGate 900G), con il compito di segmentare la rete in VLAN dedicate e filtrare il traffico sia tra le sottoreti interne che verso l’esterno.
Il risultato di questa prima fase ha trasformato radicalmente il profilo di sicurezza della rete: da un’unica rete piatta a un’architettura segmentata, dove le comunicazioni tra zone diverse sono sottoposte a policy di controllo e filtraggio rigorose.
Fase 2 — Implementazione di FortiNAC: Il Network Access Control
Solo dopo aver consolidato la nuova infrastruttura di rete, DCLabs ha proceduto con l’implementazione di FortiNAC. Questa scelta non è stata casuale: FortiNAC è uno strumento potente ma con un impatto significativo sull’operatività della rete. Introdurlo su una rete già matura, segmentata e con apparati moderni ha permesso di gestire l’implementazione in modo controllato, riducendo al minimo il rischio di interruzioni per gli utenti.
Dall’analisi iniziale al go-live sono stati necessari circa 45 giorni — un arco temporale che riflette la complessità dell’ambiente e la necessità di testare le policy in modo progressivo prima di renderle operative su una rete che supporta servizi critici per la salute dei cittadini.
Le policy implementate in questa prima fase includono:
- Profilazione e classificazione automatica dei dispositivi connessi alla rete, con assegnazione dinamica alla VLAN corretta.
- VLAN dedicata per le stampanti, isolate dal traffico clinico e amministrativo.
- VLAN dedicata per i dispositivi IoT e IoMT (apparecchiature biomediche), separati dal resto della rete per ridurre la superficie d’attacco.
- Assegnazione dinamica dei PC alla VLAN corretta in base all’utente Active Directory che esegue il login — garantendo che ogni utente acceda solo alle risorse di sua competenza.
- Autorizzazione manuale obbligatoria per tutti i dispositivi non rientranti nelle categorie profilate automaticamente, impedendo l’accesso non autorizzato alla rete.
I Risultati: Visibilità, Controllo e Conformità Normativa
Il dato più emblematico emerso dall’implementazione è il censimento di 2.013 dispositivi connessi alla rete della sede principale.
Un numero che, nella sua concretezza, racconta quanto sia difficile avere piena visibilità su ciò che è connesso a una rete ospedaliera senza strumenti dedicati — e quanto sia rischioso non averla.
Tra questi dispositivi figurano workstation, laptop, stampanti, telefoni VoIP, tablet e un insieme eterogeneo di apparecchiature biomediche connesse in rete: elettrocardiografi, monitor multiparametrici, pompe infusionali e altri dispositivi IoMT che, se non correttamente isolati, rappresentano vettori di attacco particolarmente insidiosi perché spesso impossibili da aggiornare o dotare di agenti di sicurezza.
Con FortiNAC operativo, ogni dispositivo che tenta di connettersi alla rete viene identificato, classificato e assegnato alla VLAN di competenza — oppure messo in quarantena in attesa di autorizzazione manuale. Nessun dispositivo sconosciuto può accedere liberamente alla rete, eliminando di fatto uno dei vettori di attacco più comuni nelle strutture sanitarie.
Conformità Normativa: NIS2, GDPR e le Linee Guida Regionali
Il progetto risponde puntualmente ai requisiti imposti dalla Direttiva NIS2, che include esplicitamente le aziende sanitarie tra i soggetti essenziali tenuti ad adottare misure di gestione del rischio cyber.
Tra queste, la segmentazione della rete, il controllo degli accessi e la capacità di rilevare e rispondere a comportamenti anomali sono elementi cardine — e sono esattamente ciò che FortiNAC garantisce.
Sul fronte GDPR, la separazione tra reti che trattano dati sanitari e reti amministrative — combinata con il controllo granulare degli accessi basato sull’identità dell’utente Active Directory — contribuisce a garantire che i dati sensibili dei pazienti siano accessibili solo da chi ne ha effettiva necessità e solo dai dispositivi autorizzati.
Infine, il progetto si allinea alle indicazioni di Regione Lombardia in materia di cybersicurezza per le aziende sanitarie, che richiedono l’adozione di controlli tecnici specifici per la protezione delle infrastrutture critiche.
Il Percorso Continua: Gli Sviluppi Futuri
L’implementazione attuale rappresenta la fondazione di un sistema destinato a evolvere. Nei prossimi mesi sono previsti ulteriori sviluppi che porteranno il livello di sicurezza a un grado ancora più elevato:
- Estensione delle policy al controllo degli accessi alla rete wireless, con profilazione e segmentazione anche per i dispositivi connessi via Wi-Fi.
- Hardening delle policy di accesso con requisiti di conformità più stringenti: presenza di software antivirus aggiornato, versioni minime di firmware per gli apparati di rete, livello di patch del sistema operativo dei client.
- Progressiva estensione del progetto alle altre sedi dell’ASST distribuite sul territorio provinciale.
Questo approccio evolutivo riflette una filosofia progettuale che DCLabs condivide con i propri Clienti: la sicurezza informatica non è un prodotto che si acquista, ma un percorso che si costruisce nel tempo, con gradualità e piena consapevolezza del contesto operativo.