Acronis spiega quali sono i punti deboli nella cybersecurity e quali protezioni mettere in atto per permette alle strutture sanitarie di proteggere i propri sistemi informatici. Per i criminali, le informazioni sanitarie protette (PHI) condivise dai pazienti con i fornitori di servizi sanitari hanno un valore superiore a quello dei numeri delle carte di credito, perché le cartelle cliniche contengono un gran numero di informazioni riservate. Gli attacchi sferrati al settore Healthcare dai cybercriminali hanno come obiettivo dati che possono garantire un immediato ritorno economico. Infatti possono essere utilizzati per fatture false, ricatti e divulgazione di informazioni fiscali con cui ottenere sconti, prescrizioni e richieste di dispositivi medicali.
Un settore a rischio elevato
Uno studio di Canalys segnala che il panorama delle minacce continuerà a imporre alle organizzazioni di migliorare le proprie difese di cybersecurity, estendere le funzionalità di rilevamento e le capacità di incident response. Secondo le previsioni, nel 2023 la richiesta di servizi di cybersecurity, come consulenza, outsourcing e servizi gestiti,aumenterà del 14,1%, toccando i 144,3 miliardi di dollari.
Gli MSP e gli MSSP possono rafforzare il profilo di sicurezza di un istituto sanitario proteggendo qualsiasi potenziale punto di compromissione. Capire quali sono i punti deboli dei sistemi e quali protezioni mettere in atto permette ai provider di ottenere credibilità in questa nicchia a rischio elevato e ad alto rendimento per i criminali.
Poca “igiene” informatica
I criminali informatici interessati al settore sanitario hanno a disposizione numerose modalità per infiltrarsi nelle reti e provocare il caos. Sette i punti critici identificati da Acrons che permettono la sottrazione dei dati dei pazienti ed espongono le organizzazioni a frodi e sanzioni.
Budget limitati. La scarsità di fondi è una delle principali cause della debolezza anemica delle difese informatiche. Più della metà (53%) delle strutture sanitarie investe meno del 10% del proprio budget in tecnologia.
I punti deboli nella cybersecurity
Scarsità di personale IT. Un budget limitato significa spesso meno personale dedicato al controllo, alla prevenzione e al ripristino dopo una violazione. La dimensione e la complessità degli attacchi alla sicurezza spingono oggi i provider di servizi sanitari a delegare queste responsabilità a professionisti IT. Ovvero persone più qualificate per gestire le misure di difesa necessarie per garantire la privacy dei dati dei pazienti e la conformità agli standard normativi, come la legislazione HIPAA (Health Insurance Portability and Accountability Act).
Sistemi legacy. I sistemi obsoleti possono essere troppo costosi da aggiornare o presentare problemi di compatibilità. La mancanza di supporto da parte del produttore implica spesso anche la carenza di patch di sicurezza aggiornate. Di seguito sono indicate tre azioni che gli MSP possono immediatamente mettere in atto per evitare i potenziali rischi dovuti ai sistemi legacy:
o Ridurre il numero di versioni e di fornitori dei prodotti software.
o Segmentare le reti. Ad esempio rimuovendo da Internet le attrezzature critiche vitali e dispositivi simili per isolare un attacco o un incidente.
o Creare un diagramma di flusso con le specifiche responsabilità per il Centro operativo di sicurezza (SOC).
I dispositivi medici compromessi
Internet of Medical Things (IoMT). Uno dei principali punti di vulnerabilità è costituito dai dispositivi connessi alle piattaforme cloud sui quali vengono archiviati e analizzati i dati dei pazienti. Uno studio di IBM individua in media tra i 10 e i 15 dispositivi connessi per ogni letto di degenza. I dispositivi medici compromessi possono mettere in pericolo la sicurezza e la privacy del paziente, oltre a esporre interi segmenti di utenti che utilizzano questi servizi.
Architettura di sicurezza frammentaria. I fornitori di servizi sanitari si affidano in genere a diverse soluzioni di sicurezza dedicate e specifiche. Spesso questi sistemi disparati impediscono agli MSP di identificare potenziali cause di attacco. Conseguentemente di risolvere le vulnerabilità prima che i criminali IT accedano a dati sensibili o distribuiscano ransomware.
Scarsa formazione
Scam di phishing. Gli utenti sono uno dei punti deboli più sfruttati dai criminali informatici. La scarsa consapevolezza del personale sui rischi associati alle e-mail e ai siti web può essere devastante per i professionisti della sanità. Il Dipartimento statunitense per la salute e i servizi sociali (HHS) sta attualmente indagando su centinaia di casi associati al phishing e all’intrusione nei sistemi.
Quali i punti deboli nella cybersecurity delle strutture sanitarie
Ransomware. Gli istituti ospedalieri sono obiettivi molto appetibili, perché è altamente probabile che gli amministratori paghino il riscatto richiesto. Un report pubblicato in Security Magazine sottolinea che spesso i fornitori di servizi sanitari cedono con facilità alle richieste di riscatto. Questo per evitare potenziali conseguenze sulle vite dei pazienti nel caso in cui non sia loro possibile accedere alle proprie cartelle o agli strumenti medicali connessi a Internet.
Priorità ai controlli di sicurezza
Così come alle persone si consiglia di praticare una regolare attività fisica, anche le istituzioni del settore sanitario sono tenute a verificare le condizioni di salute dei loro sistemi. Per migliorare il profilo di sicurezza del settore sanitario, HHS incoraggia un’analisi dei rischi che copra l’intera organizzazione e una serie di best practice che includono scansioni continue alla ricerca di vulnerabilità di tutti i sistemi e i dispositivi.
Ogni organizzazione deve dare priorità ai controlli di sicurezza, sia quelli di base che quelli avanzati. Tra questi i sistemi di rilevamento delle intrusioni e delle minacce, l’autenticazione a più fattori, la crittografia dei dati a riposo e il monitoraggio degli endpoint e dei dispositivi. In tutte queste aree, gli MSP e gli MSSP possono offrire un supporto strategico.
I controlli di base per i punti deboli nella cybersecurity
antivirus;
backup e ripristino di file/dati;
prevenzione della perdita di dati;
gateway e-mail/web;
crittografia per file a riposo/archiviati/in transito;
firewall;
piano di incident response;
criteri, procedure e sensibilizzazione alla sicurezza;
gestione delle vulnerabilità;
sistemi mdm (mobile device management).
I controlli di sicurezza avanzata
dispositivi antifurto;
piani di continuità operativa e di disaster recovery;
dati forensi digitali;
autenticazione a più fattori;
segmentazione delle reti;
test di penetrazione;
condivisione delle informazioni sulle minacce;
analisi delle vulnerabilità.
I punti deboli nella cybersecurity
È indispensabile che i provider in ambito Healthcare continuino a investire nell’infrastruttura IT per proteggere le informazioni personali dei pazienti e garantire la conformità a tutti i requisiti normativi. MSP e MSSP giocano un ruolo vitale identificando e ponendo rimedio alle vulnerabilità dei sistemi, affinché i loro clienti siano protetti sempre in modo ottimale. Ogni organizzazione deve occuparsi della sicurezza informatica in modo proattivo e non reattivo.
La partnership con Acronis offre agli MSP e agli MSSP queste capacità. Cyber Protect Cloud, ad esempio, rileva e blocca il ransomware con la funzionalità Active Protection. Mentre le soluzioni di backup e disaster recovery Acronis sono in grado di riportare rapidamente le strutture sanitarie alla completa operatività in caso di compromissione dei sistemi.
