Cesare di Lucchio, SOC Manager, Axitea, illustra i fattori di rischio per la sicurezza delle strutture sanitarie e spiega come li si può affrontare.
A 24 ore da un altro incidente informatico verso la Asl5 de La Spezia ci troviamo a parlare nuovamente di come mettere in sicurezza gli asset informativi nel mondo sanitario.
I vettori che possono essere sfruttati per mirare ai dati sensibili in ambito sanitario sono molteplici e la loro conoscenza è fondamentale per poter mettere in atto un’efficace strategia di difesa del perimetro.
Quattro fattori di rischio per la sicurezza delle strutture sanitarie
Il primo è dato dalla mancanza o carenza di conformità rispetto a standard e normative internazionali. Le strutture sanitarie conservano una quantità impressionante di dati che per la loro confidenzialità sono nel mirino degli attaccanti. Proprio per questo motivo esistono molteplici regolamentazioni a cui queste realtà dovrebbero sottostare:
- HIPAA (Health Insurance Portability and Accountability Act): è un insieme di regole e linee guida per la privacy e la sicurezza dei dati dei pazienti negli Stati Uniti. HIPAA stabilisce standard per l’accesso, l’uso e la condivisione delle informazioni sanitarie protette (PHI), tra cui requisiti di sicurezza per la protezione dei dati.
- HITECH (Health Information Technology for Economic and Clinical Health Act): è una legge statunitense che fornisce incentivi finanziari per l’adozione di tecnologie sanitarie digitali e definisce le responsabilità per la sicurezza e la privacy dei dati dei pazienti.
- ISO 27001: è uno standard internazionale per la gestione della sicurezza delle informazioni. Esso definisce i requisiti per stabilire, implementare, mantenere e migliorare il sistema di gestione della sicurezza delle informazioni all’interno di un’organizzazione.
Il secondo è legato all’incremento dell’utilizzo di dispositivi edge per fornire assistenza e facilitare la comunicazione con le strutture sanitarie. I dispositivi medicali sono utilizzati per scopi specifici, a volte non supportano le patch più recenti e vengono collegati alla rete interna per poter scambiare informazioni con altri sistemi di refertazione. Questo vettore viene sfruttato non per estrapolare dati sensibili ma come canale di comunicazione per eseguire pivoting e lateral movement verso sistemi che contengono dati più preziosi.
Il terzo fattore è strettamente culturale. Le realtà nel settore sanitario mettono i propri dati anche a disposizione di personale che non è educato sui rischi legati ad un loro utilizzo inappropriato e non è avvezzo alle normali pratiche di cyber hygiene. La formazione non è sufficiente se a monte non sono state mappate le tipologie di dato e garantita una sua continuità attraverso backup e framework di Disaster Recovery.
Il quarto ed ultimo fattore di rischio è collegato alla forte interazione tra operatori sanitari e l’innovazione di settore attraverso App, Dashboard di Governance e business intelligence sui dati, che ha favorito l’utilizzo di informazioni sensibili non solo per scopi medici ma anche per migliorare la User Experience dei pazienti. In questo contesto i rischi cyber sono strettamente legati allo sviluppo di codice da parte di team interni e fornitori terzi che potrebbe contenere vulnerabilità o sfruttare dipendenze che le contengono.
Strumenti e strategie di protezione: l’esperienza di Axitea
Axitea supporta le realtà sanitarie attraverso lo sviluppo e il supporto alle strategie di cybersecurity fornendo:
- Servizi SOC di sicurezza gestiti che monitorano comportamenti anomali che possono rappresentare un segnale di compromissione dei dati e forniscono una risposta integrata per prevenire la propagazione di minacce tra i dispositivi. Il SOC è in grado di monitorare reti molto ampie, compresi i dispositivi connessi, garantendo il rispetto di protocolli utilizzati in ambito sanitario per identificare connessioni sospette.
- Servizi di consulenza per la creazione di policy di accesso ai dati, risk assessment per individuare eventuali gap nella strategia cyber, e team dedicati a istruire i clienti sulle normative esistenti per assicurare la compliance alle principali Certificazioni.
- Formazione del personale attraverso training dedicati, supportati da una piattaforma che esegue il test di awareness degli utenti in modo continuativo e, in base al feedback ricevuto, somministra corsi personalizzati e dedicati agli aspetti più critici.
- Offensive Team che ha il compito di simulare e prevedere gli attacchi su infrastruttura, sito web e app esposte per individuare reali e concrete modalità di difesa e rimedio per la singola struttura.
