Obiettivo tra i preferiti dai cybercriminali, quando si parla di sicurezza IT, per riuscire a sfruttare i tanti benefici della tecnologia, il mondo della Sanità deve rassegnarsi a dover fare i conti anche con alcuni aspetti dei quali probabilmente farebbe volentieri a meno.
Difendersi da minacce praticamente all’ordine del giorno è infatti incombenza allo stesso livello strategico di cure e servizi. Aspetto meno scontato, una sfida nella quale non sono coinvolte solo le strutture sanitarie.
«Anche ogni azienda fornitrice di servizi in questo settore, può diventare vittima di un cyberattacco – avverte Gianluca Busco Arrè, vice president sales and operations di Panda Security –. Un altro elemento da considerare è come in alcuni casi i software non vengano aggiornati, aumentando significativamente la superficie di attacco e la quantità di vulnerabilità».
Una chiara dimostrazione arriva proprio da un recente fatto di cronaca. L’effetto degli attacchi legati a WannaCry si può infatti definire devastante. Solo nel Regno Unito sono state infatti colpite 61 organizzazioni legate al servizio sanitario nazionale, con operazioni annullate per relativi 19mila appuntamenti.
La sicurezza non è un miraggio
Eppure, i potenziali rimedi esistono, e per raggiungere livelli minimi di difesa, più ancora di grandi investimenti serve buona volontà da responsabili IT e personale, troppo spesso unico indiziato. L’aggiornamento regolare dei software, sempre tra le cause principali, è un’operazione da gestire il più possibile a livello di sistema.
«Importante è anche bloccare il download automatico di tutti i file eseguibili e prendere precauzioni quando si aprono allegati da mittenti sconosciuti – riprende Arrè -. L’e-mail resta il principale vettore di accesso e il phishing una delle principali tecniche di attacco».
Meno diffusa invece l’importanza di cifrare i dati a tutti i livelli. Rimedio fondamentale per per prevenire il furto di informazioni riservate in caso di smarrimento o sottrazione del dispositivo attraverso la cifratura del disco rigido.
«Consiglierei anche di adottare soluzioni specifiche per la protezione dei dati personali – riflette Arrè –, in quanto perdite di informazioni o violazioni di dati riservati o sensibili sono ora una preoccupazione particolarmente urgente. Tra l’altro, da quando è in vigore il GDPR, con sanzioni più severe e importanti».
Completa il quadro per una strategia di base della sicurezza IT nella sanità il sempre utile invito alla formazione del personale come strumento efficace e preventivo per limitare gli errori derivanti dal fattore umano.
Il rischio di una condivisione estesa
In particolare, in questa fase, è utile richiamare l’attenzione su un altro aspetto non sempre considerato a dovere. Se una delle principali cause di pericolo legata alla condivisione dei dati, negli ambienti sanitari c’è anche un altro aspetto importante da considerare. «Più utenti hanno accesso allo stesso endpoint condividendo file e informazioni tra medici e dipartimenti, oltre ovviamente ad accedere al Web. Questa situazione aumenta ulteriormente il rischio di un attacco poiché non tutte le persone che accedono al singolo endpoint, hanno la stessa percezione del rischio».
A prescindere dal divertimento responsabile della situazione, tra ospedali e ambulatori il rischio legato agli errori umani resta quindi effettivamente superiore alla media. «È ormai ampiamente dimostrato quanto il primo elemento di vulnerabilità per queste organizzazioni sia anche il fattore umano, ovvero la scarsa preparazione e consapevolezza del personale addetto alla manipolazione dei dati dei pazienti nei riguardi del rischio informatico».
Più rischi, più soluzioni
La soluzione passa inevitabilmente per un’architettura strutturata su più livelli. «Le organizzazioni del settore devono adottare una strategia di sicurezza avanzata in grado di aumentare la visibilità di quanto accade in rete, riducendo al minimo la superficie d’attacco su tutte le postazioni di lavoro».
Nel caso specifico di Panda Security questo assume le fattezze della suite Adaptive Defense 360, pensata per aiutare a rilevare in tempo reale eventuali tentativi di compromissione attraverso gli strumenti più attuali come machine learning e intelligenza artificiale
«Inoltre, consiglierei di aggiungere pacchetti per gestire aggiornamenti e patch in automatico, nel nostro caso Patch Management. Fornisce inoltre la funzionalità molto rilevante in ambito sanitario di rollback per gli aggiornamenti delle applicazioni di terze parti Nel caso in cui per esempio una patch certificata e rilasciata dal produttore abbia causato problemi impedendo il funzionamento della macchina sanitaria stessa».
Inevitabile infine, un richiamo a sicurezza e privacy, non solo per evitare di cadere nelle sanzioni prevista dal GDPR. «Data Control è il nostro modulo progettato per aiutare le organizzazioni a rispettare le normative relative alla sicurezza dei dati, a rilevare e proteggere quelli personali e riservati in tempo reale, durante il loro intero ciclo di vita su ogni dispositivo – conclude Abbè -. Consente di rilevare, controllare e monitorare i dati personali non strutturati sugli endpoint, inclusi quelli a riposo, in uso e in movimento. Inoltre, impedisce l’accesso non controllato a informazioni riservate dell’azienda e aiuta a rispettare le normative più recenti».
