A cura di Suzanne Widup*

Grande o piccola che sia, ogni tipo di organizzazione sanitaria può rimanere danneggiata da un attacco informatico. Nelle aziende più grandi il numero di pazienti da assistere è maggiore, e ciò si traduce in un maggiore numero di cartelle cliniche che rischiano di essere compromesse. Quelle più piccole, d’altro canto, potrebbero non avere le risorse finanziarie per proteggersi da un attacco o rispondere quando questo si verifica.

In caso di attacchi o data breach, riparare un sistema di sicurezza può comportare pesanti oneri finanziari per un’istituzione sanitaria, causando un dispendio di tempo, denaro e personale per porvi rimedio. Questo incide gravemente sulla quantità di pazienti visitati in un dato giorno (o il tempo necessario a risolvere il problema), causando loro danni sia a livello economico che reputazionali.

Il sistema sanitario è un bersaglio informatico particolarmente sensibile, con migliaia di cartelle cliniche da proteggere e l’obbligo di essere conformi alle normative nazionali relative alla tutela dei pazienti. Tuttavia le istituzioni sanitarie spesso non dispongono del personale (e talvolta della consapevolezza) per impedire che i dati personali degli utenti vengano estorti e archiviati dagli hacker. Con la costante richiesta di assistenza da parte dei pazienti, la sicurezza informatica non è mai stata una priorità assoluta per queste istituzioni. Ma dovrebbe esserlo.

Quando il problema viene dall’interno

Secondo l’edizione 2019 del Data Breach Investigations Report (DBIR) di Verizon, per il secondo anno consecutivo, la maggior parte delle violazioni della sicurezza informatica nel settore sanitario è stata attribuita a soggetti interni (anziché esterni) – una tendenza che è esclusiva del settore sanitario. Questi soggetti sono solitamente impiegati che lavorano all’interno delle strutture sanitarie (medici, infermieri, ecc.) e hanno maggiori probabilità di aver innescato una violazione rispetto ad hacker esterni. Il fine non è sempre quello doloso, ma il punto è che a questi soggetti interni è consentito l’accesso ai sistemi per svolgere il proprio lavoro e che quindi non è necessario, per loro, dover violare il sistema per recuperare o rivelare informazioni riservate.

Il fenomeno del “Misdelivery” (l’invio dei dati al destinatario sbagliato) è il tipo di errore più comune che porta alla violazione dei dati in tutti i settori e, quello sanitario, non fa eccezione. In genere, questi errori sono il risultato dell’invio di documenti del paziente all’indirizzo errato, dell’invio di documenti di dimissioni o di altre informazioni riservate alla persona sbagliata.

Anche il settore sanitario soffre del dilagante problema di Social Engineering. Come molti altri settori, le aziende sanitarie sono costantemente sotto la minaccia di e-mail phishing che “fanno da esca” a destinatari ignari per far immettere e quindi rivelare le proprie informazioni personali come le credenziali e-mail su siti contraffatti. Le informazioni di accesso rubate vengono quindi utilizzate per accedere all’account di posta cloud-based dell’utente e a tutti i dati dei pazienti nella loro casella di posta in arrivo, invii o nelle altre cartelle e vengono quindi messi a rischio.

Ransomware e sanità

A differenza di altri settori, in alcuni paesi le aziende sanitarie sono tenute per legge a segnalare gli attacchi ransomware come se si trattasse di violazioni confermate. Questi attacchi tendono a fare notizia a causa dell’interruzione della capacità dell’organizzazione di svolgere la loro funzione primaria: la cura del paziente. Sebbene alcune organizzazioni abbiano fatto ricorso al pagamento della richiesta di riscatto, anche questa scelta non è comunque una garanzia che venga fornita una chiave di sblocco valida per i dati rubati. I criminali potrebbero decidere di prendere i soldi e sparire dalla circolazione.

Istruzioni per una rete sicura

Quindi, come possono le istituzioni sanitarie proteggersi da attacchi e data breach? Non esiste una pillola magica, ma ci sono precauzioni che i leader del settore possono mettere in atto per proteggersi al meglio dalle minacce provenienti sia dall’interno che dall’esterno.

  • Individuare le aree a rischio:
    • Adottare una buona prassi in materia di sicurezza esaminando l’attuale stato di salute della rete. I responsabili e gli amministratori delle aziende sanitarie sono tenuti a conoscere la posizione dei più importanti database aziendali, a limitare l’accesso al personale e a tenere traccia di chi sta tentando di individuarne i punti deboli. Alcuni membri del team potrebbero non aver bisogno dell’accesso completo ai file e alle cartelle per svolgere le proprie attività, e i medici possono mettere in atto controlli di processo a basso costo per prevenire errori vari che possono compromettere la sicurezza informatica dell’organizzazione.
  • Facilitare la segnalazione di eventuali problemi di sicurezza:
    • Errori di minor entità come il phishing possono comunque infettare il sistema. I leader del settore dovrebbero rendere più semplice per i loro dipendenti il processo di segnalazione di episodi di phishing quando si manifestano (che abbiano funzionato o meno), in modo da poter fermare il problema sul nascere ed evitare che si verifichi uno scambio contagioso che rischia di compromettere la rete. I dirigenti possono incoraggiare questo processo introducendo policy basate su ricompense che spingono i dipendenti a segnalare rapidamente gli incidenti, in modo da ridurre il numero di persone e le informazioni coinvolte.
  • Introdurre controlli regolari:
    • Bisognerebbe predisporre una strategia per limitare il numero di attacchi o data breach, piuttosto che ripristinare la funzionalità di un sistema di sicurezza dopo che questi si sono verificati. I referenti aziendali devono essere consapevoli dei processi di trasmissione, eliminazione o pubblicazione dei dati personali e di controllo per evitare che un piccolo errore commesso da un dipendente si trasformi in una violazione. Attraverso la pianificazione di una strategia e di check-up periodici sulla sicurezza delle reti fisse e mobili, i responsabili delle istituzioni sanitarie possono definire uno standard per misurare le loro prestazioni rispetto ai controlli.

Poiché le aziende sanitarie stanno diventando sempre più interconnesse, è necessario un piano per affrontare lo stato della sicurezza della telefonia mobile e della rete prima che si verifichi un eventuale attacco. Occorre pensare alla cybersecurity come una questione di tutela del paziente: i dispositivi medici possono essere violati, una violazione può causare una diagnosi errata e le informazioni sanitarie personali memorizzate sui computer possono essere sottratte. Per non parlare del fatto che i tempi di inattività durante una violazione possono mettere i pazienti in serio pericolo.

Prevenzione prima del trattamento. I professionisti del settore devono prendere tutte le misure necessarie per valutare e stabilizzare la sicurezza mobile e di rete della propria azienda per meglio contrastare gli attacchi – soprattutto quelli provenienti “dall’interno”. Con l’introduzione di misure di sicurezza per i collaboratori – compresi medici e infermieri – per proteggersi dal rischio di compromettere accidentalmente la rete, istituzioni e aziende sanitarie possono ridurre o addirittura prevenire la minaccia di un incidente o di una violazione.

*Senior Analyst, Verizon Enterprise Solutions

Cybersecurity