Cybersecurity e sanità. Un binomio tanto delicato quanto importante sia dal punto di vista delle infrastrutture sia per quanto riguarda la tutela dei cittadini. Il settore è infatti una rara combinazione di complessità, valore dei dati trattati e importanza nei rapporti con gli utenti. Intesi sia come sia addetti ai lavori sia come pazienti.
Un compito decisamente impegnativo per i responsabili IT chiamati a uno sforzo superiore alla media su più fronti. Dalla gestione ai sistemi a apparati alla tutela di personale e pazienti, fino alla formazione. Il tutto, con risorse per definizione sempre inferiori alle reali disponibilità.
Utile quindi una panoramica sulla cybersecurity nella Sanità. Per conoscere il punto di vista, le proposte e le risposta degli specialisti del settore offrendo loro quattro spunti su cui confrontarsi.
Per Kaspersky, un compito affidato a Cesare D’Angelo, general manager per l’Italia dell’azienda.
Quali sono le sfide attuali per la cybersecurity , globali e specifiche del settore, nel mondo della Sanità?
La pandemia ha cambiato il modo in cui tutti nel mondo hanno interagito a livello personale e professionale, e questo è stato particolarmente vero per il settore sanitario. La maggior parte delle istituzioni mediche a livello globale sono state sopraffatte dal numero di pazienti e anche dopo che la situazione si è calmata, i professionisti avevano bisogno di un modo per curare i pazienti senza rischi. Una soluzione è stata quella di adottare funzionalità di telemedicina per consentire agli operatori sanitari di parlare con i pazienti e fare diagnosi anche a distanza.
L’adozione della telemedicina comporta però anche rischi dal punto di vista della sicurezza informatica, in quanto la natura estremamente sensibile dei dati personali raccolti, condivisi e memorizzati dal settore sanitario è di particolare interesse per i criminali informatici.
Gli operatori sanitari riconoscono alla telemedicina il futuro del settore sanitario, ma molti di loro credono anche che questo sarà sostenibile solo se ci sarà un miglioramento globale della sicurezza dei dati.
Lo scorso anno i nostri ricercatori avevano previsto che, con l’arrivo della pandemia, il settore sanitario sarebbe stato di grande interesse per i criminali informatici. Infatti, i cybercriminali hanno cercato di trarre profitto dal vaccino e gli ospedali sono stati attaccati da ransomware, mettendo in serio pericolo la vita dei pazienti.
Secondo le nostre previsioni, anche nel 2022 il settore sanitario continuerà a essere oggetto di interesse per i cybercriminali, poiché una quantità sempre maggiore di dati dei pazienti continua a spostarsi online e gli operatori sanitari continuano ad adottare servizi sanitari digitali come la telemedicina. Nel 2021 le violazioni dei dati sanitari sono già aumentate di una volta e mezza rispetto al 2019. Secondo gli esperti dovremo aspettarci che gli attaccanti rivolgano le loro attenzioni a eventuali vulnerabilità nei dispositivi wearable e nelle applicazioni mediche in fase di sviluppo, o che creino app fraudolente che gli utenti potrebbero scaricare per errore. Inoltre, con l’entrata in vigore di diverse regole per viaggiare ed entrare nei ristoranti in diversi Paesi, il mercato dei pass e dei certificati di vaccinazione falsi continuerà a crescere.
In particolare, come consigliate di gestire aspetti particolari quali privacy, cartelle cliniche digitali e la gestione dei dati del paziente in generale?
La privacy dei dati sensibili dei pazienti dovrebbe essere una priorità per qualsiasi organizzazione ma soprattutto per le istituzioni sanitarie. Il primo consiglio che ci sentiamo di dare per raggiungere un alto livello di sicurezza informatica e proteggere la privacy è quello di fornire corsi di formazione sulla sicurezza informatica ai dipendenti con accesso alle informazioni personali dei pazienti. La formazione dovrebbe coprire almeno le pratiche più essenziali, come l’uso corretto della password, la sicurezza delle e-mail, la messaggistica privata e la navigazione sicura sul Web. L’impatto del fattore umano sulle problematiche di cybersecurity è infatti ancora tra i fattori più critici. Da una ricerca recente è emerso come nessun fornitore di servizi sanitari italiano intervistato sia davvero convinto che il personale medico incaricato di eseguire sessioni di telemedicina abbia un’idea chiara di come vengano protetti i dati dei pazienti. Questo accade nonostante il 70% delle organizzazioni mediche italiane abbia dichiarato di aver ricevuto una formazione dedicata alla sicurezza informatica. Evidentemente la maggior parte dei training di formazione mirata non corrispondono alla realtà e non sono in grado di coprire gli argomenti più utili alle pratiche quotidiane dei medici. Ecco perché crediamo sia fondamentale partire da una buona formazione del personale medico.
Inoltre, la crescente popolarità dei servizi di telemedicina richiede un uso esteso dei dispositivi informatici e dell’IT in generale. È quindi necessario dotarsi di soluzioni di sicurezza che garantiscano il controllo della complessa infrastruttura IT e assicurino la protezione di tutti i dispositivi aziendali che hanno accesso alla rete dell’azienda.
Ovviamente è importante non trascurare la protezione delle apparecchiature mediche basate su sistemi embedded. Questi sistemi hanno di solito una bassa capacità operativa e possono eseguire solo un compito molto specifico. Le relative soluzioni di sicurezza dovrebbero affrontare le ultime minacce ed essere compatibili con low-ended hardware.
Per difendere i server Web da diversi tipi di malware, compresi virus, ransomware e Trojan è inoltre necessario utilizzare un firewall che serva da barriera alle minacce esterne.
Come bisogna comportarsi in caso di attacchi, o sospetti tali, per difendere la salute del paziente e il patrimonio dei dati riservati? Per esempio, di fronte a una richiesta di riscatto per non divulgare gli archivi o a dati clinici cifrati da ransomware?
Il modo migliore per difendersi dagli attacchi ransomware sarebbe quello di prevenirli adottando tutte le misure appena citate. In particolare è essenziale adottare le misure di sicurezza di base, come la segregazione delle reti, password amministrative complesse e software di protezione endpoint che sia in grado di identificare e bloccare anche script dannosi e attacchi veicolati attraverso strumenti non-malware. Una delle minacce più significative per le strutture mediche sono gli attacchi ransomware, con molteplici conseguenze. Oltre all’ovvia e pericolosa interruzione dei servizi medici, le aziende sanitarie possono affrontare ripercussioni a lungo termine che vanno dalle multe inflitte per violazione delle norme alle richieste di risarcimento da parte dei pazienti i cui dati personali sono stati violati. Gli attaccanti possono penetrare nei sistemi in svariati modi. Phishing e compromissioni dei servizi esposti sono i metodi preferiti dai criminali negli ultimi anni. È quindi essenziale proteggere questi punti di ingresso con sistemi avanzati come per esempio una soluzione EDR o MDR avanzata per aiutare a identificare un attacco nei primissimi stadi, evitando così i danni più gravi. I criminali informatici possono rubare le credenziali di accesso da remoto, raggirare i dipendenti con l’ingegneria sociale o semplicemente ricorrere ad attacchi di forza bruta. Ecco perché il vecchio detto medico secondo cui prevenire è meglio che curare si applica altrettanto bene alla cybersecurity, e in particolar modo quando parliamo di ransomware. Nel caso in cui però un’organizzazione sia vittima di attacco ransomware la prima cosa da fare non è pagare il riscatto ma rivolgersi a esperti di sicurezza informatica e alle autorità competenti perché possano agire per contrastare l’attacco. Pagare il riscatto non è mai la soluzione, in quanto non fornisce alcuna garanzia che i dati vengano restituiti.
Quali benefici potrà ottenere secondo voi la Sanità in materia di cybersecurity dal PNRR? Come potrà essere sfruttato?
Il PNRR rappresenta un’occasione unica per recuperare il gap digitale presente in questo settore. Il rafforzamento delle difese in materia di cybersecurity previsto dal PNRR, mira infatti a migliorare il sistema di monitoraggio e prevenzione dei rischi grazie a un sistema integrato (PSNC) che copre tutto il Paese e connesso a livello internazionale con partner e aziende fornitrici della tecnologia necessaria. Gli investimenti in questo senso sono indirizzati verso misure di rafforzamento delle difese che andranno applicate soprattutto al settore sanitario. Le misure mirano principalmente a rafforzare i presidi di front-line per la gestione degli alert e degli eventi a rischio ma non solo. Anche a costruire e rendere più solide le capacità tecniche di valutazione e audit della sicurezza dei dispositivi e delle applicazioni utilizzate per l’erogazione di servizi critici. Con l’avvento della telemedicina e della digitalizzazione in ambito medico questo rappresenta un punto fondamentale. Inoltre, Il PNRR prevede anche investimenti nell’immissione di nuovo personale dedicato alla prevenzione e investigazione del crimine informatico e propone di irrobustire gli asset e le unità cyber incaricate della protezione della sicurezza nazionale e della risposta alle minacce cyber.
Questi ultimi due punti rappresentano sicuramente un beneficio per il settore sanitario, perché significherà dotarsi di soluzioni in grado di identificare le minacce in modo tempestivo come le soluzioni EDR che consentono maggiori probabilità di scoperta e visibilità dell’infrastruttura endpoint oltre a un’analisi semplificata delle cause alla base dell’attacco, threat hunting e risposta rapida agli incidenti. Allo stesso tempo, la soluzione EDR automatizza i compiti di routine che gli analisti potrebbero dover affrontare nelle attività di rilevamento e di elaborazione della risposta.
