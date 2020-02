La minaccia di attacchi informatici è considerato il quarto maggior rischio per il futuro del business secondo il parere dei Ceo delle aziende del settore sanitario, del pharma & lifescience fotografato dalla 22a Global Ceo Survey di PwC. *Dal numero 175 del magazine. *IN COLLABORAZIONE CON PwC

di Andrea Fortuna (partner PwC) e Giuseppe D'Agostino (partner PwC)

Gli attacchi informatici e i furti massivi di dati (cyberattack) sono tra i cinque maggiori rischi globali percepiti dai governi e dalle organizzazioni internazionali secondo il World Economic Forum del 2019. Il tema è ancora più critico per il settore healthcare se si pensa alla tipologia di dati gestiti e alla natura dell’attività delle organizzazioni del settore che si occupano di prevenzione, diagnosi e cura delle persone.

Cyberattack, i numeri in un report

Secondo l’ultimo report di PwC “Top health industry issues” nel 2018 si è registrato il record di cyberattack nei sistemi sanitari e il numero di medical device vulnerabile ad attacchi informatici è cresciuto del 525%. Per citare alcuni esempi, tra i casi più noti figura NotPetya, il ransomware (malware che infetta e limita l’accesso a un dispositivo e chiede un riscatto per la sua rimozione) che nel 2017 si è diffuso in tutto mondo, arrecando a una multinazionale farmaceutica danni economici milionari. Altro esempio: il malware Winnti che ha colpito due note case farmaceutiche, le quali hanno subìto azioni di spionaggio mirato e furto di brevetti.

Violazione dei dati nell’healthcare

È stato stimato che i costi per la perdita e la violazione di dati nel settore healthcare sono stati a livello globale pari a tre trilioni di dollari nel 2017 che saliranno a sei nel 2020. L’American medical collection agency (Amca) ha reso noto che negli Stati Uniti nel 2019 sono state rilevate violazioni di dati per 11,9 milioni di record di pazienti di numerose strutture sanitarie.

La minaccia di attacchi informatici è infatti considerato il quarto maggior rischio e uno dei fenomeni potenzialmente più dirompenti per il futuro del business del healthcare secondo il parere dei Ceo delle aziende del settore sanitario, del pharma & lifescience fotografato dalla 22a Global Ceo Survey di PwC. In particolare, il numero dei Ceo che si dichiarano molto preoccupati di questi temi è più che raddoppiato negli ultimi due anni e la “cybersecurity” e la privacy sono considerate le principali barriere per la realizzazione delle strategie digitali.

Cybersecurity priorità per le aziende

Cybersecurity, sicurezza nella gestione delle informazioni e privacy sono destinati a essere sempre più tra le massime priorità del settore del healthcare, in relazione all’inevitabile crescita della digitalizzazione dei dati sanitari, della telemedicina, della “virtual care”, nonché delle app, dei wearable e dei devices connessi a internet per la raccolta dei dati (Internet of medical things). Il IoMT, è un mercato in forte crescita che si prevede supererà i 130 miliardi di dollari nel 2021 e che vede già oggi oltre 4 milioni di device in uso che raccolgono e trasmettono dati sanitari.

A questi fenomeni si aggiungono lo sviluppo dei sistemi di big data e di intelligenza artificiale per l’elaborazione e l’analisi dei dati sanitari, in relazione anche alla crescente diffusione ad esempio delle logiche di real world data e value based healthcare, oltre all’aumento delle necessità/opportunità di condividere informazioni sensibili tra ricercatori, medici, pazienti, terze parti, etc.

Le insidie del cybercrime

Occorre inoltre considerare che il settore healthcare risulta essere uno dei più attrattivi per il cybercrime (i cui threat actor includono professionisti ingaggiati da organizzazioni internazionali o governative, dipendenti “infedeli” o ex-dipendenti che conducono attività di spionaggio industriale e gli hacktivist) proprio in ragione del trattamento di informazioni altamente confidenziali e sensibili nonché per il valore e la strategicità delle proprietà intellettuali.

Basti pensare che i dati sanitari possono essere venduti al mercato nero del web, il dark web, a valori tra i 20 dollari e i 100 dollari per ogni record (tra 20 e 50 volte il valore di un dato di altra natura). Oltre al fatto che i cyber-criminali possono sfruttare i dati sanitari sottratti, ricchi di dettagli, per costruire e vendere identità false, ad esempio, per aprire un conto bancario, richiedere una carta di credito o un mutuo.

È evidente che cybersecurity, sicurezza nella gestione delle informazioni e privacy hanno una rilevanza assoluta nell’ambito del settore sanitario, del pharma e del life science per la tipologia dei dati trattati e i possibili rischi sulla salute e la sicurezza degli individui, ma, dal punto di vista delle aziende, anche per il potenziale impatto sulla fiducia e sulla reputazione agli occhi dei pazienti, ovvero per il rischio di perdere velocemente il cosiddetto “trust” in caso di attacchi informatici, furto o compromissione di dati sensibili o utilizzo degli stessi non in linea con le regole della privacy.

Farmaceutico e crimine informatico

Le aziende farmaceutiche e sanitarie devono inoltre affrontare condizioni di mercato in rapido mutamento, cambiamenti dei quadri normativi e regolamentari e un maggiore controllo da parte delle istituzioni dei diversi paesi in cui operano; situazioni che mettono alla prova la capacità di salvaguardare la sicurezza e la privacy dei dati personali sensibili in loro possesso e delle loro proprietà intellettuali. Se a questo come già detto si aggiunge che i servizi connessi alla salute proliferano e il volume delle informazioni digitali si moltiplica, diventerà sempre più complesso gestire i rischi associati alla sicurezza dei dati.

Da una ricerca condotta da PwC a livello globale nel 2018 “Key findings from the global state of information security survey 2018: pharmaceutical and life sciences respondents” emerge che la frequenza e la sofisticazione degli attacchi contro le aziende farmaceutiche e sanitarie è aumentata vertiginosamente, anche se il numero degli incidenti con violazione dei dati è calato del 30% rispetto all’anno precedente con conseguente calo delle perdite economiche; questo grazie ad una maggiore consapevolezza delle organizzazioni e un netto aumento degli investimenti sulla cybersecurity (+13% rispetto al 2017), mediante l’acquisizione di figure professionali esperte e di sistemi di sicurezza e tecnologie di ultima generazione.

Viceversa raddoppiano i soggetti vittime di furti di proprietà intellettuali (pari al 45%). Forse non è una coincidenza che le violazioni attribuite a stati ed entità nazionali straniere, che hanno interessato le proprietà intellettuali per sviluppare rapidamente nuovi farmaci e terapie, siano aumentati del 21%.

Le sfide da combattere

Le cinque principali sfide individuate dalla ricerca in ambito sicurezza dei dati e di conseguenza le aree su cui si concentrano i programmi di investimento sono:

i) controllo degli accessi; ii) prevenzione della perdita di dati; iii) autenticazioni; iv) sicurezza dei dispositivi medici; v) sicurezza nello scambio/condivisione di informazioni tra organizzazioni e operatori (ricercatori, medici, pazienti, business partner, etc).

L’impatto dell’internet of medical things

La ricerca evidenzia che il trend tecnologico che avrà maggiore impatto sulla spesa per cybersecurity e privacy sarà lo sviluppo del IoMT (Internet of medical things). Se da un lato infatti la maggioranza (51%) delle organizzazioni ha dichiarato di aver adottato tecnologie e dispositivi connessi (+41% rispetto all’anno precedente) e forse sorprendentemente il 71% ha affermato di accettare già dati da dispositivi indossabili, dall’altro lato solo il 30% ha dichiarato di avere una strategia di sicurezza per l’IoMT, tenendo conto che le stesse organizzazioni hanno segnalato che le violazioni sui device connessi sono aumentate del 62%.

Il rischio che l’ecosistema di dispositivi connessi porta con sé è significativo considerando: i) la quantità e la tipologia di informazioni generate che transitano sulla rete; ii) l’aumento dei punti di accesso alle informazioni che possono essere sfruttati se vulnerabili (più tecnicamente un aumento della “superficie di attacco”); iii) l’impatto potenziale sulla salute degli individui.

Gli obblighi del Gdpr

A tal proposito il nuovo regolamento europeo sulla data protection (Gdpr) impone alle aziende precisi obblighi di trasparenza e adeguatezza delle misure di sicurezza e un’attenzione particolare alla riservatezza e l’integrità dei dati relativi alla salute. Tale categoria di dati sono definiti come “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4 Gdpr) e sono ricompresi nella più vasta categoria dei dati soggetti a trattamento speciale (art. 9 Gdpr).

L’analisi di questi dati mostra chiaramente l’aumento delle vulnerabilità e delle minacce relative alla cybersecurity e come le aziende del settore healthcare non possano prescindere dall’affrontare queste sfide in modo strutturato. Questo impone la necessità di sviluppare e utilizzare un approccio olistico alla sicurezza, agendo su tre diversi livelli: prevenzione, identificazione e risposta agli incidenti di cybersecurity.

Un approccio olistico per evitare rischi

A livello di prevenzione risulta fondamentale integrare i principi di sicurezza e privacy all’interno dei programmi di trasformazione aziendale, per esempio nello sviluppo di nuovi servizi e nel ridisegno dell’architettura dei sistemi informativi, dell’infrastruttura tecnologica e dei processi/procedure (security by-design and by-default). Molti studi dimostrano come il costo per la mitigazione di una vulnerabilità cresca esponenzialmente con il tempo trascorso; ad esempio, risolvere un bug di sicurezza in fase di sviluppo è chiaramente molto più facile ed economico rispetto ad un intervento su di un sistema in piena operatività.

Un altro aspetto legato alla prevenzione degli incidenti di sicurezza riguarda i fornitori esterni. I servizi erogati dalle aziende sono sempre più integrati all’interno di catene del valore complesse e geograficamente distribuite, in cui i rapporti e lo scambio di informazioni con le terze parti assumono carattere predominante.

Tenendo conto, come già detto, che tra le principali sfide per le aziende sanitarie e farmaceutiche c’è la necessità di integrarsi con il sistema del IoMT e condividere in modo sicuro informazioni sensibili con ricercatori, medici, partner commerciali e pazienti, la sicurezza dipende dalla sicurezza dell’intera catena del valore. I fornitori meno strutturati, inoltre, costituiscono sempre più spesso il punto di ingresso per gli attaccanti, da cui partire per poi colpire anche le aziende più mature.

L’importanza di monitoraggio e alerting

Per quanto efficaci possano essere le misure di prevenzione adottate, è comunque indispensabile essere in grado di rilevare tempestivamente eventuali attacchi. Un esempio di come le aziende stanno indirizzando questa esigenza è la costituzione di strutture organizzative ad hoc per eseguire il monitoraggio e l’alerting; queste strutture prendono solitamente il nome di Security Operation Center (Soc) ed hanno il compito di raccogliere i dati, correlarli ed analizzarli per poter generare alert e rilevare i possibili incidenti di sicurezza. Il Gdpr, con le misure riguardanti in particolare il data breach (che obbligano la segnalazione di violazioni di dati personali in tempi molto ristretti), dà ancora maggior risalto all’importanza di un monitoraggio efficace.

Intervenire subito può limitare i danni

La risposta agli incidenti, ovvero al contenimento e ripristino delle componenti impattate, è cruciale per il contenimento dei danni. È importante avvalersi di professionalità adeguate in grado di contenere l’incidente in tempi rapidi, assicurare la raccolta di informazioni esaustive ed utilizzabili anche in tribunale, comprendere prima possibile la root cause e garantire che non si ripeta in futuro (lesson learned).

Una sempre maggiore conoscenza e comprensione delle minacce e delle azioni da intraprendere permetterà alle aziende di migliorare la loro resilienza. La capacità di rispondere efficacemente a queste sfide sarà sempre più in futuro un fattore distintivo fondamentale, che premierà le aziende in grado di erogare sul mercato servizi cyber-ready affidabili, trasformandosi così da misure volte ad evitare rischi, in una vera e propria opportunità di business.

A cura di Andrea Fortuna (Healthcare, Pharmaceuticals & Life Sciences Partner, PwC) e Giovanni D’Agostino (Cybersecurity and Privacy Associate Partner, PwC)

In collaborazione con PwC