Cybersecurity e sanità. Un binomio tanto delicato quanto importante sia dal punto di vista delle infrastrutture sia per quanto riguarda la tutela dei cittadini. Il settore è infatti una rara combinazione di complessità, valore dei dati trattati e importanza nei rapporti con gli utenti. Intesi sia come sia addetti ai lavori sia come pazienti.
Un compito decisamente impegnativo per i responsabili IT chiamati a uno sforzo superiore alla media su più fronti. Dalla gestione ai sistemi a apparati alla tutela di personale e pazienti, fino alla formazione. Il tutto, con risorse per definizione sempre inferiori alle reali disponibilità.
Utile quindi una panoramica sulla cybersecurity nella sanità. Per conoscere il punto di vista, le proposte e le risposta degli specialisti del settore offrendo loro quattro spunti su cui confrontarsi.
Per ESET, un compito affidato a Samuele Zaniboni, pre sales engineer manager dell’azienda
Quali sono le sfide attuali per la cybersecurity, globali e specifiche del settore, nel mondo della sanità?
La presenza di dati sensibili rende molto appetibile il settore. Tutti noi ci preoccupiamo dei nostri dati sanitari e anche i gruppi criminali hanno consapevolezza che gli ospedali e, in generale le aziende operanti nel settore sanitario, gestendo i dati personali di molteplici pazienti, sono diventati un obiettivo sensibile e una miniera per poter fare grandi guadagni. Parliamo di Enti Sanitari dove le infrastrutture IT sono distribuite e i sistemi piuttosto datati, non prevedono aggiornamenti puntuali delle patch rilasciate dai produttori e lasciano aperte vulnerabilità sfruttabili per portare a termine l’intrusione. La pandemia ha inoltre reso ancora più centrale l’importanza del settore sanitario.Basti pensare alle miriadi di attacchi ransomware che hanno colpito in tutto il mondo le strutture sanitarie, come la Asl della regione Lazio, lo scorso agosto e l’azienda sanitaria locale di Napoli, lo sorso gennaio, attacchi che hanno paralizzato i sistemi di prenotazione dei vaccini. Le tecniche sfruttate sono sempre più evolute in termini di malware anche se spesso l’approccio è quello di sfruttare l’errore umano con mail di phishing dedicate o meno.
In particolare, nelle strutture sanitarie, così come nelle aziende, viene attaccato l’endpoint e, sfruttando il tema delle campagne vaccinali, vengono lanciati attacchi che fanno riferimento proprio alla nomenclatura del virus pandemico. I malware e le intrusioni fanno leva sugli utenti e sui dispositivi. Attacchi ai sistemi di connessione remota, compromissioni delle credenziali e zero day sono alcune delle tipologie di attacco che vengono attuate. Tutte queste aggressioni possono essere mitigate con la giusta consapevolezza dei security manager e utilizzando i prodotti giusti: Endpoint protection di ultima generazione, sandbox dedicate, soluzioni EDR e sistemi per la doppia autenticazione sono i più indicati. Occorre poi ricordare come anche gli smartphone e i tablet utilizzati dai medici nelle corsie ospedaliere, oggi siano sempre più spesso vittime di attacchi di ransomware e quindi, debbano essere protetti con soluzioni di sicurezza all’avanguardia capaci di sfruttare le potenzialità di rilevamento delle tecnologie di machine learning.
In particolare, come consigliate di gestire aspetti particolari quali privacy, cartelle cliniche digitali e la gestione dei dati del paziente in generale?
La priorità deve essere strutturarsi per evitare il blocco delle attività e la perdita del dato. I dati sanitari sono sempre più digitalizzati e, nel momento in cui l’accesso diventa impossibile a causa di un attacco informatico, questo porta a interrompere l’attività di una struttura sanitaria, impedendo di portare a termine anche le operazioni più semplici. La paralisi di un ospedale, per fare un semplice esempio, espone i cittadini a rischi elevatissimi. Se ci agganciamo alla pandemia che stiamo vivendo, si può facilmente immaginare cosa potrebbe accadere se venissero a mancare i servizi sanitari a causa di un attacco informatico. Non dimentichiamo inoltre che i dati sanitari hanno un valore molto elevato tanto che la normativa GDPR è estremamente rigida su questo tema. È necessario che il reparto IT decida di investire il budget a disposizione in soluzioni di cybersecurity avanzate e nel mantenere aggiornata l’intera infrastruttura informatica. Associare soluzioni che implicano un bassissimo effort di gestione da parte delle risorse tecniche interne ma al contempo siano in grado di rilevare eventuali situazioni anomale, potrebbe alzare notevolmente la protezione dei sistemi.
Così facendo, il reparto IT può intervenire tempestivamente, bloccando l’attacco sul nascere ed evitando, quindi, che si propaghi nell’intera infrastruttura di rete, causando anche il blocco di servizi essenziali. Il trend futuro vedrà sempre più attacchi mirati con malware di nuova generazione e i gruppi criminali saranno sempre più numerosi anche per la semplicità di accesso a piattaforme di gestione degli attacchi con soluzioni di malware as a service purtroppo sempre più semplici da implementare.
Come bisogna comportarsi in caso di attacchi, o sospetti tali, per difendere la salute del paziente e il patrimonio dei dati riservati? Per esempio, di fronte a una richiesta di riscatto per non divulgare gli archivi o a dati clinici cifrati da ransomware?
Un attacco può costare milioni di euro non solo per le eventuali richieste di riscatto in caso di cifratura dei dati da ransomware (per fare un esempio), ma anche in relazione ai dati che potrebbero essere esfiltrati e rivenduti. Una recente statistica evidenzia come i data breach (violazioni dei dati personali) del settore sanitario abbiano una delle durate più lunghe con 329 giorni prima di essere individuati. Questo ci dà uno spunto importante su cui riflettere per scegliere di investire per migliorare la protezione. Le aziende non devono mai dimenticare che il dato è l’asset principale da considerare per strutturare un sistema di protezione. Intorno ad esso è necessario costruire un sistema multi-layer che, combinando diverse tecnologie di nuova generazione, possa garantire una protezione completa contro gli attacchi più complessi. Se a questo, poi, si affianca una gestione semplice e puntuale, come quella che è possibile fare attraverso una console di gestione in cloud, disponibile anche per le nostre soluzioni (ESET Protect), allora la sicurezza diventa un’attività essenziale ma non onerosa per le aziende sanitarie.