I dispositivi elettromedicali connessi spesso sono sfruttati come entry point dai cyber criminali, per guadagnarsi l'accesso alla rete (e ai database) dell'azienda sanitaria.

Il numero di attacchi cyber condotti a danno di ospedali e strutture sanitarie è cresciuto del 211% nel 2017 (fonte: McAfee). A preoccupare sono soprattutto attacchi DDoS (Distributed Denial of Service), botnet e ransomware (malware da riscatto), come ha dimostrato l'epidemia di WannaCry, che il 12 maggio dello scorso anno ha messo in ginocchio numerose strutture ospedaliere del mondo occidentale.

 

Il lato oscuro della sanità digitale

I dati sanitari rappresentano una delle categorie di dati personali "sensibili" oggetto di maggior tutela, sia in base alla normativa italiana sulla Privacy (196/2003) e sia alla luce della definitiva entrata in vigore, lo scorso 25 maggio, del GDPR. Il Regolamento Europeo, in particolare, impone alle aziende sanitarie e agli ospedali di fare proprio il principio della privacy "by design" e incorporare, quindi, la tutela della privacy fin dalle fasi di progettazione di un servizio. Il punto di partenza per preservare l'integrità dei dati sanitari in ottica GDPR è senz'altro quello di intervenire sui dati stessi, privandoli di alcuni componenti utili per identificarli, attraverso l'utilizzo di tecniche di pseudonimizzazione e minimizzazione. Ma non basta? I dati sanitari protetti (PHI, Protected Health Information) rappresentano una fonte di guadagno molto appetitosa per i cybercriminali. Aggiornamento tecnologico, intelligence sulle nuove minacce, audit continua non sono sufficienti. Serve una formazione più incisiva a favore di dipendenti e collaboratori che, spesso, con i loro comportamenti spianano la strada alle epidemie di malware da riscatto.

Secondo il "Data Breach Investigations 2018" di Verizon, i casi di intrusione nel settore sanitario sono passati in un anno dal 17 al 24% del totale. La causa principale (56%) è l'errore umano, quindi i comportamenti superficiali di dipendenti e collaboratori. La sanità è l'unico settore in cui le minacce interne superano quelle esterne. Negli altri settori, infatti, l'incidenza degli attori esterni all'organizzazione nel favorire i data breach si attesta al 73%. I comportamenti che causano incidenti di sicurezza, sempre secondo lo stesso report, sono nel 56% dei casi il cosiddetto misdelivery, ovvero l'invio di dati a destinatari errati e, in misura minore, gli errori di configurazione ed errata gestione di device informatici. Nel report, gli esperti di Verizon sostengono che la probabilità di incidenti informatici legati a questi errori nella sanità è quasi 7 volte superiore a quella degli altri settori. I dati più a rischio sono quelli contenuti nei PACS, i sistemi che archiviano referti di esami e consulti medici e li rendono accessibili su Internet. Gli esempi di incidenti famosi, anche nel nostro Paese, non mancano. Già nel giugno 2016 L'Azienda Sanitaria ASP della Basilicata veniva messa in scacco da un attacco ransomware. Più di recente, quest'anno, a essere compromessi sono stati i sistemi informatici dell'ASST della Valle Camonica e dell'Ospedale Galliera di Genova, mentre il Pronto Soccorso dell'Ospedale di Arzignano (VI) è stato oggetto di un attacco ransomware sventato grazie all'uso di un servizio di intelligenza artificiale che, attraverso apposite sonde software, ha identificato per tempo traffico e comportamenti anomali e messo in sicurezza tutta l'infrastruttura IT.

I progressi in campo sicurezza IT hanno permesso anche alle cliniche più tradizionali di migliorare la protezione dei dati dei pazienti. Nonostante questo, secondo il recente report "Challenges in Securing Connected Hospitals" di Trend Micro sono oltre 80mila i sistemi a rischio di violazione negli ospedali di tutto il mondo. Ecco perché aumenta il ricorso delle realtà dell'healthcare ai servizi di sicurezza gestita.

L'offerta di un Managed Security Service Provider (MSSP) permette di sfruttare tecnologie all'avanguardia e personale altamente qualificato per potenziare la protezione delle infrastrutture IT di ospedali e cliniche, garantendo la massima tutela e integrità dei dati personali dei pazienti della smart health. Questo è un aspetto che acquista particolare rilevanza, dato il livello di criticità dei dati trattati, ma che inevitabilmente deve trovare un giusto equilibrio con la necessità di garantire una user experience fluida, un'esperienza utente non penalizzante. I sistemi di autenticazione utili per accedere a dati e servizi online, per esempio, impattano notevolmente sull'operatività degli utenti dei servizi pubblici, e di quelli sanitari in particolare. L'aiuto di operatori specializzati, che fanno della gestione della sicurezza IT il proprio core business, si rivela fondamentale per abilitare servizi come i videoconsulti di specialisti (che si relazionano con il paziente in diretta attraverso smartphone, notebook e tablet). Ma, soprattutto, si rivela fondamentale per garantire che lo scambio e la condivisione dei dati sanitari, che costituisce la base dei cosiddetti Fascicoli Sanitari Elettronici, possa avvenire in sicurezza.

 

30 gennaio 2019