LO SCENARIO

Cyber security nel settore sanitario: scenari, minacce e consigli di cyber hygiene

La cyber security nel settore sanitario riveste un ruolo di primo piano in quanto gli attacchi informatici possono minacciare direttamente non solo la sicurezza di sistemi e informazioni, ma anche la salute e la sicurezza dei pazienti. Ecco i possibili scenari e i consigli di igiene informativa

16 Apr 2020
L
Salvatore Lazzari

CTO | CISO | Business Continuity | Risk Management | ISO27001 LA | ISO 22301 LA | Privacy Manager

Gli attacchi informatici si intensificano giorno dopo giorno su tutti i settori infrastrutturali critici e ciò assume particolare rilevanza soprattutto quando si vanno ad analizzare gli aspetti di cyber security nel settore sanitario.

Per il settore della salute, infatti, gli attacchi sono particolarmente preoccupanti perché possono minacciare direttamente non solo la sicurezza dei sistemi e delle informazioni, ma anche la salute e la sicurezza dei pazienti.

Cyber security nel settore sanitario: lo scenario

Negli ultimi dieci anni, la minaccia per il settore sanitario è aumentata drammaticamente di pari passo con la sofisticazione degli attacchi informatici. Per ogni passo in avanti fornito dall’automazione, dall’interoperabilità e dall’analisi dei dati in termini di efficienza ed efficacia dei sistemi e delle organizzazioni, aumenta anche la vulnerabilità agli attacchi informatici malevoli.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Un approccio proattivo, ossia di contrasto a questi attacchi prima che si verifichino, è essenziale per le organizzazioni che operano in ambito Health Care, in modo tale che stabiliscano, attuino e mantengano pratiche di sicurezza informatica adeguate ed efficaci.

Le minacce alla sicurezza informatica per le organizzazioni sanitarie e la sicurezza dei pazienti sono reali. L’Information Technology in ambito Health Care, che fornisce funzioni essenziali di salvaguardia della salute e della vita dei singoli, è costituita da sistemi connessi e in rete, rendendo tali sistemi più vulnerabili agli attacchi informatici.

Recenti attacchi di ransomware a strutture ospedaliere hanno reso necessario il trasferimento dei pazienti ad altri ospedali e hanno portato all’incapacità di accedere alle cartelle dei pazienti per continuare il piano di cure previsto. Questo quanto successo, ad esempio, il 12 e 13 marzo scorsi nel Polo Ospedaliero Universitario di Brno in Repubblica Ceca, proprio mentre era in atto l’emergenza Covid-19.

Tali attacchi informatici espongono le informazioni sensibili dei pazienti e comportano notevoli costi finanziari ed organizzativi per rientrare nel controllo dei sistemi e dei dati stessi. Nessuno può ritenersi immune, dai piccoli professionisti indipendenti agli ambienti ospedalieri di grandi dimensioni: gli attacchi informatici colpiscono registri sanitari, sistemi IT, dispositivi medici, comprese quelle infrastrutture apparentemente più sicure.

Cyber security nel settore sanitario: le minacce

Le cinque minacce a cui fare maggiore attenzione sono, ad oggi, le seguenti:

  • attacchi di phishing;
  • attacchi ransomware;
  • perdita o furto di apparecchiature o dati;
  • minacce interne: perdita di dati accidentale o intenzionale;
  • attacchi contro dispositivi medici in rete (IOT/BYOD/SHADOW).

Questi sono, invece, i possibili scenari che potrebbero verificarsi qualora queste minacce si dovessero trasformare in attacchi reali al settore sanitario:

  • Phishing: generalmente effettuato tramite link inviati via e-mail con la richiesta di fornire le proprie credenziali (login/password, carta di credito, dati anagrafici ecc.) con lo scopo di accedere a tali dati riservati per un utilizzo fraudolento, come il furto di identità, truffe finanziarie, furto di dati, accesso non autorizzato ai sistemi, social engineering avanzato e così via.
  • Ransomware: è un attacco di tipo malware che infetta uno o più sistemi, criptando le informazioni contenute in documenti, immagini, fogli di calcolo, database col fine di richiederne un riscatto.
  • Perdita o furto di dispositivi e/o dati: questo è uno degli scenari meno sotto controllo da parte delle organizzazioni pur avendo una frequenza di accadimento molto alta rispetto agli altri scenari. Quotidianamente dispositivi di ogni genere (laptop, tablet, smartphone, USB stick) sono persi o rubati e finiscono nelle mani di soggetti che tendono a farne un uso malevolo. Molto spesso, il valore economico del dispositivo è ben inferiore al valore economico dei dati in esso contenuti. Nel caso in cui il dispositivo smarrito non sia stato adeguatamente protetto, non ne venga data immediata comunicazione e non vengano prese tutte le azioni necessarie da parte dell’organizzazione, tale circostanza potrebbe portare ad accessi non autorizzati e/o alla diffusione ed utilizzo illecito di dati sensibili.
  • Minacce interne: in ogni organizzazione in cui molteplici attori (dipendenti, fornitori, consulenti) hanno o possono avere accesso alle risorse tecnologiche (infrastruttura, rete, server, terminali, dispositivi di qualsiasi genere) esistono per definizione delle minacce interne. Tali minacce possono essere accidentali o intenzionali. Si parla di minaccia accidentale si concretizza quando si giunge ad un utilizzo non corretto o alla perdita di un’informazione a seguito di errori umani involontari, procedurali o ad un certo grado di negligenza. Si parla invece di minaccia intenzionale quando l’utilizzo errato o la perdita di dati è effettuata in maniera dolosa con l’obiettivo di ottenere un guadagno personale o di causare danno all’organizzazione o ad un individuo.
  • Attacchi contro dispositivi connessi: oggigiorno, l’era dell’Internet delle cose (IoT) permette l’interconnessione di migliaia di device, a volte in maniera incontrollata. È ancora lontana un’adeguatezza in termini di cyber security della maggior parte dei dispositivi presenti nelle organizzazioni del settore Health Care a 360°. Negli ultimi anni si nota comunque un tentativo di adeguamento normativo che stabilisca e fissi degli standard di riferimento in termini di “design”. Purtroppo, la fase implementativa e di ingegnerizzazione su questi dispositivi non rispetta sempre tali dettami lasciando ampi spazi di manovra a tutti quei soggetti che sono alla continua ricerca di punti di accesso per utilizzo ai sistemi dell’organizzazione.

L’importanza di un’igiene “informativa”

Tutti gli attori che operano nel mondo Health Care devono adottare quotidianamente prassi di cyber hygiene.

Come il semplice atto di lavarsi le mani, una cultura della consapevolezza informatica non deve essere complicata o troppo costosa per un’organizzazione. Deve semplicemente essere efficace nel consentire ai suoi membri di proteggere le informazioni critiche per i pazienti e l’operatività stessa dell’organizzazione.

L’avere coscienza e conoscenza della sicurezza informatica da parte di tutti i componenti dell’organizzazione è passo fondamentale per una corretta vigilanza contro i pericoli di attacchi.

Cyber security nel settore sanitario: il futuro

Per mantenere adeguatamente la sicurezza dei pazienti e proteggere le informazioni e i sistemi nel settore Health Care, ci deve essere un cambiamento di cultura e un’accettazione dell’importanza e della necessità della sicurezza informatica come parte integrante dell’assistenza ai pazienti. I cambiamenti e gli sforzi conseguenti richiesti non diminuiranno, ma cambieranno piuttosto con i tempi, le tecnologie, le minacce e gli eventi.

Ecco, quindi, alcuni utili consigli:

  • creare le corrette policy di utilizzo dei sistemi informativi, di gestione delle informazioni, di Business Continuity e di Incident Response (il 26% degli ospedali ed il 93% dei professionisti hanno dichiarato nel 2019 di non avere in atto soluzioni di rilevamento degli accessi ai dati e risposta ad eventuali incidenti in real time);
  • adottare una adeguata organizzazione del perimetro di rete (corretta configurazione degli apparati, segmentazione del network, adeguato inventory e patch management);
  • perseguire una adeguata gestione dei dati (crittazione dei dati at rest ed in transito);
  • avere una politica di coinvolgimento attivo dei fornitori di device in merito alle policy di sicurezza e gestione dei dati e dei sistemi;
  • effettuare un continuo Risk Assessment and Risk Management;
  • garantire una formazione continua di tutti i soggetti interessati.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr