Dati di pazienti e personale sanitario sempre più a rischio. E secondo Mia-Care, per un patient data security a prova di hacker, necessari crittografia, segmentazione della rete, controllo accessi. Secondo il report di Check Point nel 2022 ci sono stati in media 1463 cyberattacchi alla settimana nel settore healthcare, una media di 209 tentativi al giorno. Numeri che fanno della sanità la prima industry per crescita percentuale anno su anno e il terzo per cyberattacchi dietro al settore “Accademico-Istituzionale” (2314) e “Governativo-Militare” (1661).
In Italia attacchi triplicati
A livello di data breach (effettive violazioni e recupero di dati da parte dei pirati informatici), il Dipartimento della salute e dei servizi umani americano evidenzia come nel 2022 ci siano state 707 violazioni per un totale di quasi 52 milioni di record di dati sottratti. In Italia l’unico dato disponibile afferisce al Rapporto Clusit 2023. Nel rapporto si legge che i cyberattacchi negli ultimi quattro anni sono triplicati passando dai 3 del 2018 ai 9 del 2021 e 2022. Con una severity che nell’ultimo anno è critica nel 78% dei casi e alta nel restante 22%.
Costi in crescita esponenziale
Inoltre, i costi riguardante la violazione dei dati sono allarmanti. Il Cost of Data Breach Report 2022 di IBM mette in evidenza come per 12 anni consecutivi il settore della sanità abbia registrato il costo medio più alto per una violazione. Arrivando nel 2022 a 10,10 milioni di dollari. Un dato in crescita del 42% e quasi il doppio rispetto al costo medio del settore finanziario, al secondo posto in questa classifica con 5,97 milioni di dollari.
Patient data security a prova di hacker
Marzio Ghezzi, CEO di Mia-Care
Strutture sanitarie a corto di risorse in materia di cybersicurezza, strutture informatiche particolarmente vulnerabili, mancanza di know how specifico per affrontare attacchi informatici sempre più sofisticati. Queste sono solo alcune delle cause che spiegano questi numeri. Grazie all’utilizzo di tecnologie d’intelligenza artificiale come ChatGPT che possono generare codici maligni e fake email ad un ritmo sempre più rapido e automatizzato, ci aspettiamo che in futuro gli attacchi informatici alle strutture sanitarie continueranno a crescere e saranno sempre più sofisticati.
Nuovi strumenti informatici
L’implementazione della tecnologia nella sanità ha creato una superficie di attacco molto più ampia ed estesa per i malintenzionati. Gli studi medici di base sono collegati al Servizio Sanitario Nazionale, alle farmacie e agli ospedali. L’uso sempre più frequente di app e strumenti elettronici per fornire assistenza sanitaria personalizzata e telemedicina portano ad affidarci a sviluppatori e programmatori. Professionisti che devono essere in grado di garantire che questi nuovi strumenti informatici siano sicuri oltre che performanti in termini medici.
Dati in vendita nel dark web
Un altro punto a favore degli hacker riguarda gli investimenti dedicati in cybersicurezza. Secondo Statista, solo il 6% delle strutture sanitarie dedica un budget IT superiore al 10% delle risorse rispetto al 40% che dedica solo fino al 6% del budget. Il 18% non sa rispondere a questa domanda. Alla fine i pirati informatici che riescono ad avere accesso alle informazioni le mettono in vendita nel dark web. Il documento “Threat Landscape Report Italy” della statunitense SOCRadar mostra come il 15 luglio 2022 sia stato messo in vendita un database di medici e pazienti italiani.
I ruolo dei metadati
Marzio Ghezzi
Per i cybercriminali i dati sanitari valgono di più di quelli finanziari. All’interno delle cartelle cliniche infatti ci sono informazioni strutturate che non cambiano nel tempo, come potrebbero accadere invece per i dati bancari. Si tratta di un tesoro immenso in quanto contengono metadati. Ovvero quei dati trasversali che hanno diversa natura: dall’anagrafica ai dati assicurativi, fino alle relazioni familiari. Per questo è fondamentale proteggerli al meglio permettendo un’adeguata formazione del personale clinico sui rischi informatici.
Consigli per una patient data security a prova di hacker
Questi numeri testimoniano l’importanza e la crucialità dei dati dei pazienti sanitari per i cybercriminali. Questi mirano a recuperare, oltre alle informazioni generali dei pazienti, anche assicurazioni sanitarie, numeri e contenuto di cartelle cliniche e numeri di previdenza sociale, con minacce dirette ai pazienti. Rimanendo in questo ambito, privacy e sicurezza dei dati rappresentano delle priorità assolute per il settore. Secondo “Future Health Index 2022” il 41% dei leader italiani della sanità ha messo al primo posto la sicurezza e la privacy dei dati quale priorità assoluta. Un dato nettamente superiore alla media globale (20%) e a quella degli altri paesi europei (21%).
Il fattore umano
Sempre secondo il report realizzato da IBM, la prima causa di un data breach sono gli errori nei sistemi IT, causati dall’interruzione o dal malfunzionamento dei sistemi informatici con il 24%. Queste falle includono errori nei codici sorgente o malfunzionamenti dei processi come errori nelle comunicazioni automatizzate. Seguono l’errore umano (21%) causato involontariamente da negligenza, attacchi alla supply chain (19%), attacchi distruttivi (17%), attacchi ransomware (11%). Il restante 8% altra tipologia di attacchi malevoli.
Come ridurre i rischi per una patient data security a prova di hacker
Quali sono quindi le misure da adottare per ridurre al minimo il rischio di violazione della sicurezza dei dati dei pazienti? Questi i consigli di Mia-Care per una “patient data security” a prova di hacker.
- Crittografia end-to-end dei dati. I dati devono essere crittografati a riposo (compreso il back-up in rete e nel cloud) e in transito, con strumenti di decodifica memorizzati su un dispositivo o in un luogo separato.
- Controllo degli accessi. Solo le persone che devono conoscere determinate informazioni possono avere accesso alle stesse. E anche in questo caso, devono avere accesso solamente allo specifico sottoinsieme d’informazioni di cui hanno bisogno. Occorre fare affidamento sull’autenticazione a due o più fattori (2FA/MFA), idealmente utilizzando un dispositivo fisico con chiave di sicurezza.
- Analisi dei rischi. Effettuare un’analisi periodica dei rischi informativi favorisce la buona salute dell’infrastruttura IT e del sistema dati. In base al risultato, si può andare a rafforzare il sistema dove si presume possano crearsi falle nel futuro. Inoltre si riescono a identificare nuovi ambiti in cui è opportuno creare un piano d’azione di difesa dei dati. È fondamentale attivare sempre procedere di backup criptati e risk mitigation.
Consigli per una patient data security a prova di hacker
- Segmentazione della rete. È essenziale mantenere i dispositivi diagnostici e di monitoraggio dei pazienti critici in una parte separata del sistema IT utilizzando la virtualizzazione della rete. I monitor acquisiscono la diagnostica della salute del paziente in tempo reale. Così nel caso in cui gli hacker s’introducano nella rete informatica principale, non devono avere la possibilità di spostarsi all’interno della struttura e accedere alle cartelle cliniche dei pazienti o ai dispositivi medici.
- Formazione del personale. Come evidenziato il 21% dei data breach è causato da errori umani. La sicurezza dei dati dei pazienti dipende dalle pratiche del personale e la formazione su questo tema deve essere fatta a tutti i livelli. Questo per assicurarsi che i dipendenti comprendano il loro contributo nel mantenere i dati sicuri e i sistemi liberi da interferenze indesiderate.