Negli ultimi anni i perimetri delle strutture sanitarie si sono ampliati a dismisura facendo crescere i punti di ingresso alla rete e ai dati aziendali. I principali punti di ingresso ai sistemi IT in ambito sanitario sono le credenziali di accesso di dipendenti, medici, personale paramedico e dei pazienti e tutti i report degli analisti indicano che la fonte primaria delle minacce in ambito sanitario è quella interna.
Inoltre, gli ambienti sanitari sono caratterizzati da una costante modifica ai gruppi di utenti che rende problematico mantenere aggiornata la gestione dei privilegi.
Ecco perché la governance delle identità rappresenta una linea di difesa fondamentale per proteggere i dati sanitari e ridurne il rischio di compromissione.
Identity & Access Management
Le soluzioni di Identity & Access Management (IAM) consentono di automatizzare i processi di gestione delle policy di accesso e di impostare e rivedere i livelli di acceso in modo coerente con il costante mutamento dei profili utente.
Per un ospedale assicurarsi che la persona che accede alle informazioni sanitarie sia autorizzata a farlo e che sia davvero chi si presume che sia è critico.
Non si tratta solo di protezione dei dati. La corretta identificazione dei dipendenti in ogni punto di accesso assicura l’efficienza operativa nel rispetto delle normative, mentre la corretta identificazione del paziente aiuta anche a ridurre la possibilità di errori medici.
In generale una policy per la gestione dell’identità dovrebbe basarsi sui seguenti due principi:
• l’esigenza di sapere: garantire l’accesso alle informazioni, solo se esplicitamente autorizzati in base alla funzione;
• l’esigenza di accedere: garantire l’accesso a strutture e sistemi, solo se esplicitamente autorizzati in base alla funzione.
Cifratura dei dati e gestione delle chiavi
Il tema della privacy richiede una protezione del dato costante attraverso il suo intero ciclo di vita, che può comprensibilmente essere molto lungo.
La cifratura è la tecnologia principe per garantire la protezione del dato sia in condizione di riposo sia in movimento. Non a caso è una delle tecnologie per la protezione dei dati personali più frequentemente richiamata all’interno del GDPR.
Ovviamente la sottrazione di un dato cifrato presenta rischi molto inferiori rispetto alla sottrazione di dati in chiaro. Per questo motivo è opportuno considerare metodi di cifratura in grado di seguire i dati nei loro spostamenti per proteggerli non solo quando sono a riposo ma anche quando vengono spostati e scambiati.
Altri aspetti da considerare sono dove e come applicare le tecniche di cifratura (è molto diverso cifrare i dischi di un portatile o quelli di un server in un data center).
Le best practice indicano che sarebbe opportuno cifrare il dato il più vicino possibile al punto in cui viene generato e che una cura particolare andrebbe assegnata alla gestione delle chiavi di cifratura.
Infatti, gli attacchi mirati ai dati cifrati si concentrano solitamente non sugli algoritmi crittografici (tramite per esempio tecniche di forzatura “brute force”), ma sui processi di gestione delle chiavi e sulle vulnerabilità del software che implementa gli algoritmi crittografici.
Protezione da malware e Internet security
È noto che, ormai, il cybercrime opera in modo coordinato, come una grossa corporation ad alto profitto che definisce strategie, obiettivi e investimenti con finalità sempre di tipo economico.
Le esigenze di disponibilità dei dati richiedono soluzioni antiintrusione indirizzate a prevenire gli attacchi dall’esterno e a bloccare la diffusione di malware.
Oltre agli obiettivi, anche le tecniche del cybercrime si sono evolute, con l’emergere di attacchi mirati e modalità di phishing sempre più sofisticate, in un contesto reso ancor più critico dalla carente cultura sulla sicurezza informatica tra gli operatori sanitari.
Un ruolo particolare nella protezione dei dati lo merita il ransomware, non fosse altro per il crescente impatto che questo tipo di minaccia sta avendo, tanto da poter essere considerata in cima alla lista dei rischi legati al malware in ambito sanitario.
Gli attacchi andrebbero considerati come un male imprescindibile, impossibile da bloccare o prevenire completamente, che andrebbe affrontato con una logica di gestione del rischio. Per minimizzare i rischi sono necessarie misure di protezione ad ampia portata, in grado di operare in modo sinergico e integrato.
La sfida principale è di identificare in modo preventivo, nel più breve tempo possibile, le minacce e di predisporre azioni in grado di bloccare immediatamente qualsiasi diffusione del malware all’interno della rete sanitaria, sempre più ampia ed estesa.
Soluzioni specifiche di Data Loss Prevention forniscono le fondamenta per la realizzazione di un framework di conformità capace di combinare persone, processi e tecnologie al fine di prevenire violazioni della sicurezza e brecce.
Ovviamente servono anche misure accessorie quali piani efficaci di backup e ripristino che permettono di ridurre i rischi di perdita definitiva dei dati in caso, per esempio, di attacchi ransomware andati a buon fine.
Sicurezza delle applicazioni
Un’attenzione particolare andrebbe rivolta a un segmento troppo spesso trascurato che è quello della sicurezza applicativa.
Gli analisti stimano che oltre l’80% delle applicazioni open source e commerciali presenti vulnerabilità di sicurezza. Ai rischi legati alla connessione al Web delle applicazioni si aggiungono quelli delle applicazioni mobili nella conservazione e trasmissione di informazioni riservate e sensibili. Le vulnerabilità intrinseche del software costituiscono un punto di ingresso ideale per le attività illecite per la semplicità di sfruttamento e perché non vengono bloccate dalle soluzioni di sicurezza “network-based”.
Le applicazioni sanitarie, per la loro diffusione in ambiti specialistici, usufruiscono di un minor numero di punti di verifica. Inoltre sono spesso sviluppate ad hoc (magari da piccole software house) o richiedono attività integrative di personalizzazione sulle quali difficilmente viene mantenuto un rigoroso controllo di sicurezza.
È fondamentale che la sicurezza applicativa sia integrata a livello di progettazione e, pertanto, che la scelta delle applicazioni tenga conto dell’utilizzo degli strumenti di sicurezza nella fase di sviluppo da parte del produttore.
Protezione di rete
Una caratteristica distintiva dei dati sanitari è la necessità di doverli spostare e scambiare per un lungo periodo di tempo, per renderli accessibili a una pluralità di soggetti e organizzazioni. La loro protezione va quindi estesa a tutti i protocolli di rete, non solo per inibirne la compromissione, ma anche per garantirne la fruibilità (per esempio in caso di attacchi di tipo DoS e DDoS).
Gli strumenti per la protezione di rete sono molteplici e consolidati ma la scelta dovrebbe indirizzarsi verso quelli di nuova generazione.
Per esempio, Next Generation Firewall che sono in grado di affiancare tecniche di blocco tradizionali a strumenti per la prevenzione delle intrusioni basati sull’analisi dei comportamenti.
In generale, l’evoluzione degli strumenti di protezione di rete è improntato a integrare strumenti sempre più “intelligenti”, in grado di imparare dall’esperienza e di riconoscere le minacce di nuovo tipo, per fornire una barriera efficace già nella fase perimetrale più esterna, senza dover sovraccaricare inutilmente i sistemi di analisi e gestione degli eventi di sicurezza (i cosiddetti SIEM).
Le tecnologie di mascheramento
Nel settore sanitario, è spesso necessario condividere i dati oltre i confini organizzativi, per supportare gli interessi distribuiti su scala geografica di più parti interessate e delle agenzie coinvolte nella salute pubblica: per esempio il Ministero della Sanità. Tuttavia, la diffusione autorizzata dei dati dei pazienti potrebbe comportare anche la diffusione di informazioni per l’identificazione personale e di tipo sensibile con possibili violazione della privacy e ripercussioni di tipo socio-economico sul paziente. L’esigenza di mascherare questi dati rispetto alla possibilità di identificazione e diffusione di informazioni sensibili, deve però mantenere le proprietà analitiche per assicurare inferenze statistiche,
Anche se va riconosciuto che non è possibile scorrelare completamente le identità dei pazienti dalle loro informazioni sanitarie, oggi esiste un’ampia gamma di metodologie e framework per minimizzare questi rischi come Data masking, micro aggregazione, crittografia, de-identificazione o rimozione degli identificatori di dati.
Anonimizzazione e pseudonimizzazione
Le tecniche di anonimizzazione e pseudonimizzazione rispondono alla logica di data protection by design richiesta dalla normativa perché hanno l’obiettivo di inibire l’identificazione del soggetto proprietario dei dati personali che vengono trattati.
A differenza dell’anonimizzazione, che elimina tutti i dati identificativi impedendo la riconducibilità dei dati trattati al soggetto originale, la pseudonimizzazione si concentra sulla riduzione della possibilità di correlare i dati trattati e la possibile identificazione del soggetto a cui si riferiscono. Di fatto inibisce l’acceso ai dati identificativi se non nei trattamenti per i quali siano strettamente necessari, utilizzando altri codici per ricondurre i dati all’interessato.
La pseudonimizzazione è una tecnica di particolare rilevanza in ambito sanitario (spesso citata nel GDPR) poiché si tratta di un processo reversibile e quindi aggirabile in condizioni di emergenza. Inoltre, aspetti quali le finalità di rendicontazione nei confronti di Regione e Ministero della Sanità, spesso precludono la possibilità di procedere all’anonimizzazione dei dati sanitari alla sorgente, indirizzando verso tecniche di pseudonimizzazione.
Va anche osservato che attualmente, già molte patologie o prestazioni sanitarie sono contrassegnate con codici identificativi. Tuttavia, tali codici rappresentano standard a livello nazionale e, di conseguenza, sono noti e rendono inapplicabile il concetto di pseudonimizzazione.
Tra le tecnologie di pseudonimizzazione più diffuse ricordiamo il data masking, che prevede la sostituzione di dati sensibili con dati fasulli ma realistici.