La maggior parte degli investimenti in IT del mondo Sanità è come prevedibile destinata a migliorare sistemi di analisi e supporto alle attività mediche o all’interazione con i pazienti.
Questo passaggio,cruciale per arrivare a una telemedicina diffusa porta però a trascurare un altro aspetto cruciale, la sicurezza.
La rapida diffusione di canali attraverso i quali un utente remoto (paziente, medico di base o altro specialista), interagisce con dati clinici e il conseguente aumento nelle informazioni prodotte da gestire, concorrono a creare una situazione a elevato rischio sicurezza.
L’allerta è lanciato da Morphisec, società specializzata in cybersecurity, a seguito di uno studio dal quale emerge uno scenario per certi versi preoccupante. Nel rapporto Morphisec 2019 Consumer Healthcare: Cybersecurity Threat Index si sottolinea tra l’altro come il 54% dei pazienti non sia a conoscenza di eventuali attacchi rivolti presso un gestore di servizi sanitari presso il quale sono conservati i propri dati.
D’altra parte, il numero di pazienti che accedono a questi servizi è in costante aumento. Negli USA, si arriva al 42% solo nell’ultimo anno. Se a questo si affianca la diffusione negli accessi da dispositivi mobile e reti pubbliche, con relative condivisioni, lo scenario della sicurezza in telemedicina diventa presto preoccupante.
Anche e soprattutto considerando come sia appena agli inizi l’ulteriore spinta di IoT. La natura stessa di tecnologia ai primi passi, la rende particolarmente vulnerabile, con tanti sensori e apparati non ancora in linea con adeguati livelli di sicurezza.
Primo passo, conoscere il rischio
Come facile prevedere, tutto questo si traduce in un rapido aumento nella superficie di attacco a disposizione degli hacker. Tuttavia, il 40% degli utenti si dice convinto di essere al sicuro, mentre solo il 6% ammette di essere a conoscenza di violazioni.
A rendere lo scenario ancora più delicato, la rapida crescita nell’accesso online alla telemedicina. Se nel 2017 era una pratica comune per il 28% degli utenti, nel giro di un anno è salita fino al 42%. L’aspetto in parte positivo è una parziale presa di coscienza. Più della metà, il 51%, riconosce infatti di condividere con le strutture sanitarie la responsabilità sulla tutela dei dati personali, mentre il 29% attribuisce tutto il peso al sistema.
D’altra parte, emerge anche un meno rassicurante eccesso di fiducia, o semplicemente una conoscenza limitata dello scenario. Il 45% si dice infatti convinto di usare dispositivi di accesso remoto (PC, tablet e smartphone) più sicuri dei server a cui accedono.
Segnali in parte contrastanti, con buona probabilità frutto di conoscenze limitate sull’argomento e sui reali rischi di conservare dati sensibili su dispositivi mobile spesso non adeguatamente protetti. Confermati dall’80% pronto ad ammettere di non sapere come muoversi in caso di minacce rivolte al proprio tablet o smartphone.
I rischi legati all’IoT
Se una certa sensazione sulla vulnerabilità dei dati in qualche modo si fa strada, il mondo IoT al momento resta ancora troppo trascurato. La complessità del settore certo non aiuta ad approntare difese standard, ma prima di tutto manca la percezione.
Di recente, alla RSA Security Conference un gruppo di ricercatori ha dimostrato quanto per esempio sia facile intercettare i dati trasmessi via wireless da un apparato per ultrasuoni, manipolando di fatto i dati clinici o cifrandoli in un attacco ransomware. Eppure, secondo il 59% degli utenti di servizi di telemedicina il pericolo maggiore sono i dati stessi e non gli strumenti dai quali vengono prodotti.
Nel complesso, Morphisec richiama l’attenzione su uno scenario di sicurezza in telemedicina sul quale è necessario intervenire e al tempo stesso dove si sente la necessità di una maggiore informazione agli utenti.
Il 24,2% infatti, considera il browser Web come anello più debole della catena, mentre i dispositivi wireless sono i meno considerati, con il 13,8%. Considerati a rischio anche i punti terminali, intesi sia come strumentazione sia come personale utente, con il 21%, poco più del 20,9% indicato nelle email di phishing. Il restante 20,1% considera infine a rischio soprattutto i portali sanitari dedicati.