Sicurezza informatica in sanità, sempre più rischi arrivano dall’interno delle aziende

Secondo l’edizione 2019 del Data breach investigations report (Dbir) di Verizon, per il secondo anno consecutivo, la maggior parte delle violazioni della sicurezza informatica in sanità è stata attribuita a soggetti interni. Un problema ancora troppo diffuso a cui si fa fatica a porre rimedio

Secondo l’edizione 2019 del Data breach investigations report (Dbir) di Verizon, per il secondo anno consecutivo, la maggior parte delle violazioni della sicurezza informatica in sanità è stata attribuita a soggetti interni (anziché esterni). Una tendenza che è esclusiva del settore sanitario. Questi soggetti sono solitamente impiegati che lavorano all’interno delle strutture sanitarie (medici, infermieri, ecc.) e hanno maggiori probabilità di aver innescato una violazione rispetto ad hacker esterni. Il fine non è sempre quello doloso. Ma il punto è che a questi soggetti interni è consentito l’accesso ai sistemi per svolgere il proprio lavoro e che quindi non è necessario, per loro, dover violare il sistema per recuperare o rivelare informazioni riservate.

Destinatario sbagliato

Il fenomeno del “Misdelivery” (l’invio dei dati al destinatario sbagliato) è il tipo di errore più comune che porta alla violazione dei dati in tutti i settori. Quello sanitario, non fa eccezione. In genere, questi errori sono il risultato dell’invio di documenti del paziente all’indirizzo errato, dell’invio di documenti di dimissioni o di altre informazioni riservate alla persona sbagliata.

Social engineering

Anche il settore sanitario soffre del dilagante problema di Social engineering. Come molti altri settori, le aziende sanitarie sono costantemente sotto la minaccia di e-mail phishing che “fanno da esca” a destinatari ignari per far immettere e quindi rivelare le proprie informazioni personali come le credenziali e-mail su siti contraffatti. Le informazioni di accesso rubate vengono quindi utilizzate per accedere all’account di posta cloud-based dell’utente e a tutti i dati dei pazienti nella loro casella di posta in arrivo, invii o nelle altre cartelle e vengono quindi messi a rischio.

Le segnalazioni 

A differenza di altri settori, in alcuni Paesi le aziende sanitarie sono tenute per legge a segnalare gli attacchi ransomware come se si trattasse di violazioni confermate. Questi attacchi tendono a fare notizia a causa dell’interruzione della capacità dell’organizzazione di svolgere la loro funzione primaria: la cura del paziente. Sebbene alcune organizzazioni abbiano fatto ricorso al pagamento della richiesta di riscatto, anche questa scelta non è comunque una garanzia che venga fornita una chiave di sblocco valida per i dati rubati. I criminali potrebbero decidere di prendere i soldi e sparire dalla circolazione.

Istruzioni per una rete sicura

Quindi, come possono le istituzioni sanitarie proteggersi da attacchi e data breach? Non esiste una pillola magica, ma ci sono precauzioni che i leader del settore possono mettere in atto per proteggersi al meglio dalle minacce provenienti sia dall’interno che dall’esterno.

 Individuare le aree a rischio

È bene adottare una buona prassi in materia di sicurezza esaminando l’attuale stato di salute della rete. I responsabili e gli amministratori delle aziende sanitarie sono tenuti a conoscere la posizione dei più importanti database aziendali, a limitare l’accesso al personale e a tenere traccia di chi sta tentando di individuarne i punti deboli. Alcuni membri del team potrebbero non aver bisogno dell’accesso completo ai file e alle cartelle per svolgere le proprie attività, e i medici possono mettere in atto controlli di processo a basso costo per prevenire errori vari che possono compromettere la sicurezza informatica dell’organizzazione.

Facilitare la segnalazione di eventuali problemi di sicurezza

Gli errori di minor entità come il phishing possono comunque infettare il sistema. Gli amministratori dovrebbero rendere più semplice per i loro dipendenti il processo di segnalazione di episodi di phishing quando si manifestano. I dirigenti possono incoraggiare questo processo introducendo policy basate su ricompense che spingono i dipendenti a segnalare rapidamente gli incidenti, in modo da ridurre il numero di persone e le informazioni coinvolte.

I controlli regolari

Bisognerebbe, inoltre, predisporre una strategia per limitare il numero di attacchi o data breach, piuttosto che ripristinare la funzionalità di un sistema di sicurezza dopo che questi si sono verificati. I referenti aziendali devono essere consapevoli dei processi di trasmissione, eliminazione o pubblicazione dei dati personali e di controllo per evitare che un piccolo errore commesso da un dipendente si trasformi in una violazione. Attraverso la pianificazione di una strategia e di check-up periodici sulla sicurezza delle reti fisse e mobili, i responsabili delle istituzioni sanitarie possono definire uno standard per misurare le loro prestazioni rispetto ai controlli.

La violazione dei dispositivi medici

Poiché le aziende sanitarie stanno diventando sempre più interconnesse, è necessario un piano per affrontare lo stato della sicurezza della telefonia mobile e della rete. Occorre pensare alla cybersecurity come una questione di tutela del paziente. I dispositivi medici possono essere violati e una violazione può causare una diagnosi errata e le informazioni sanitarie personali memorizzate sui computer possono essere sottratte. Per non parlare del fatto che i tempi di inattività durante una violazione possono mettere i pazienti in serio pericolo.