Cyber security nel settore sanitario: scenari, minacce e consigli di cyber hygiene - Cyber Security 360

LO SCENARIO

Cyber security nel settore sanitario: scenari, minacce e consigli di cyber hygiene

La cyber security nel settore sanitario riveste un ruolo di primo piano in quanto gli attacchi informatici possono minacciare direttamente non solo la sicurezza di sistemi e informazioni, ma anche la salute e la sicurezza dei pazienti. Ecco i possibili scenari e i consigli di igiene informativa

16 Apr 2020
L
Salvatore Lazzari

CTO | CISO | Business Continuity | Risk Management | ISO27001 LA | ISO 22301 LA | Privacy Manager


Gli attacchi informatici si intensificano giorno dopo giorno su tutti i settori infrastrutturali critici e ciò assume particolare rilevanza soprattutto quando si vanno ad analizzare gli aspetti di cyber security nel settore sanitario.

Per il settore della salute, infatti, gli attacchi sono particolarmente preoccupanti perché possono minacciare direttamente non solo la sicurezza dei sistemi e delle informazioni, ma anche la salute e la sicurezza dei pazienti.

Cyber security nel settore sanitario: lo scenario

Negli ultimi dieci anni, la minaccia per il settore sanitario è aumentata drammaticamente di pari passo con la sofisticazione degli attacchi informatici. Per ogni passo in avanti fornito dall’automazione, dall’interoperabilità e dall’analisi dei dati in termini di efficienza ed efficacia dei sistemi e delle organizzazioni, aumenta anche la vulnerabilità agli attacchi informatici malevoli.

Un approccio proattivo, ossia di contrasto a questi attacchi prima che si verifichino, è essenziale per le organizzazioni che operano in ambito Health Care, in modo tale che stabiliscano, attuino e mantengano pratiche di sicurezza informatica adeguate ed efficaci.

Le minacce alla sicurezza informatica per le organizzazioni sanitarie e la sicurezza dei pazienti sono reali. L’Information Technology in ambito Health Care, che fornisce funzioni essenziali di salvaguardia della salute e della vita dei singoli, è costituita da sistemi connessi e in rete, rendendo tali sistemi più vulnerabili agli attacchi informatici.

Recenti attacchi di ransomware a strutture ospedaliere hanno reso necessario il trasferimento dei pazienti ad altri ospedali e hanno portato all’incapacità di accedere alle cartelle dei pazienti per continuare il piano di cure previsto. Questo quanto successo, ad esempio, il 12 e 13 marzo scorsi nel Polo Ospedaliero Universitario di Brno in Repubblica Ceca, proprio mentre era in atto l’emergenza Covid-19.

Tali attacchi informatici espongono le informazioni sensibili dei pazienti e comportano notevoli costi finanziari ed organizzativi per rientrare nel controllo dei sistemi e dei dati stessi. Nessuno può ritenersi immune, dai piccoli professionisti indipendenti agli ambienti ospedalieri di grandi dimensioni: gli attacchi informatici colpiscono registri sanitari, sistemi IT, dispositivi medici, comprese quelle infrastrutture apparentemente più sicure.

Cyber security nel settore sanitario: le minacce

Le cinque minacce a cui fare maggiore attenzione sono, ad oggi, le seguenti:

  • attacchi di phishing;
  • attacchi ransomware;
  • perdita o furto di apparecchiature o dati;
  • minacce interne: perdita di dati accidentale o intenzionale;
  • attacchi contro dispositivi medici in rete (IOT/BYOD/SHADOW).
WHITEPAPER
Sicurezza OT: tutto quello che c’è da sapere
Sicurezza
Disaster recovery

Questi sono, invece, i possibili scenari che potrebbero verificarsi qualora queste minacce si dovessero trasformare in attacchi reali al settore sanitario:

  • Phishing: generalmente effettuato tramite link inviati via e-mail con la richiesta di fornire le proprie credenziali (login/password, carta di credito, dati anagrafici ecc.) con lo scopo di accedere a tali dati riservati per un utilizzo fraudolento, come il furto di identità, truffe finanziarie, furto di dati, accesso non autorizzato ai sistemi, social engineering avanzato e così via.
  • Ransomware: è un attacco di tipo malware che infetta uno o più sistemi, criptando le informazioni contenute in documenti, immagini, fogli di calcolo, database col fine di richiederne un riscatto.
  • Perdita o furto di dispositivi e/o dati: questo è uno degli scenari meno sotto controllo da parte delle organizzazioni pur avendo una frequenza di accadimento molto alta rispetto agli altri scenari. Quotidianamente dispositivi di ogni genere (laptop, tablet, smartphone, USB stick) sono persi o rubati e finiscono nelle mani di soggetti che tendono a farne un uso malevolo. Molto spesso, il valore economico del dispositivo è ben inferiore al valore economico dei dati in esso contenuti. Nel caso in cui il dispositivo smarrito non sia stato adeguatamente protetto, non ne venga data immediata comunicazione e non vengano prese tutte le azioni necessarie da parte dell’organizzazione, tale circostanza potrebbe portare ad accessi non autorizzati e/o alla diffusione ed utilizzo illecito di dati sensibili.
  • Minacce interne: in ogni organizzazione in cui molteplici attori (dipendenti, fornitori, consulenti) hanno o possono avere accesso alle risorse tecnologiche (infrastruttura, rete, server, terminali, dispositivi di qualsiasi genere) esistono per definizione delle minacce interne. Tali minacce possono essere accidentali o intenzionali. Si parla di minaccia accidentale si concretizza quando si giunge ad un utilizzo non corretto o alla perdita di un’informazione a seguito di errori umani involontari, procedurali o ad un certo grado di negligenza. Si parla invece di minaccia intenzionale quando l’utilizzo errato o la perdita di dati è effettuata in maniera dolosa con l’obiettivo di ottenere un guadagno personale o di causare danno all’organizzazione o ad un individuo.
  • Attacchi contro dispositivi connessi: oggigiorno, l’era dell’Internet delle cose (IoT) permette l’interconnessione di migliaia di device, a volte in maniera incontrollata. È ancora lontana un’adeguatezza in termini di cyber security della maggior parte dei dispositivi presenti nelle organizzazioni del settore Health Care a 360°. Negli ultimi anni si nota comunque un tentativo di adeguamento normativo che stabilisca e fissi degli standard di riferimento in termini di “design”. Purtroppo, la fase implementativa e di ingegnerizzazione su questi dispositivi non rispetta sempre tali dettami lasciando ampi spazi di manovra a tutti quei soggetti che sono alla continua ricerca di punti di accesso per utilizzo ai sistemi dell’organizzazione.

L’importanza di un’igiene “informativa”

Tutti gli attori che operano nel mondo Health Care devono adottare quotidianamente prassi di cyber hygiene.

Come il semplice atto di lavarsi le mani, una cultura della consapevolezza informatica non deve essere complicata o troppo costosa per un’organizzazione. Deve semplicemente essere efficace nel consentire ai suoi membri di proteggere le informazioni critiche per i pazienti e l’operatività stessa dell’organizzazione.

L’avere coscienza e conoscenza della sicurezza informatica da parte di tutti i componenti dell’organizzazione è passo fondamentale per una corretta vigilanza contro i pericoli di attacchi.

Cyber security nel settore sanitario: il futuro

Per mantenere adeguatamente la sicurezza dei pazienti e proteggere le informazioni e i sistemi nel settore Health Care, ci deve essere un cambiamento di cultura e un’accettazione dell’importanza e della necessità della sicurezza informatica come parte integrante dell’assistenza ai pazienti. I cambiamenti e gli sforzi conseguenti richiesti non diminuiranno, ma cambieranno piuttosto con i tempi, le tecnologie, le minacce e gli eventi.

Ecco, quindi, alcuni utili consigli:

  • creare le corrette policy di utilizzo dei sistemi informativi, di gestione delle informazioni, di Business Continuity e di Incident Response (il 26% degli ospedali ed il 93% dei professionisti hanno dichiarato nel 2019 di non avere in atto soluzioni di rilevamento degli accessi ai dati e risposta ad eventuali incidenti in real time);
  • adottare una adeguata organizzazione del perimetro di rete (corretta configurazione degli apparati, segmentazione del network, adeguato inventory e patch management);
  • perseguire una adeguata gestione dei dati (crittazione dei dati at rest ed in transito);
  • avere una politica di coinvolgimento attivo dei fornitori di device in merito alle policy di sicurezza e gestione dei dati e dei sistemi;
  • effettuare un continuo Risk Assessment and Risk Management;
  • garantire una formazione continua di tutti i soggetti interessati.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5