Nel settore sanitario, gli avanzamenti tecnologici hanno portato a una maggiore interconnettività e a infrastrutture basate su cloud, per mantenere le distanze fisiche a causa del COVID-19 e far fronte all’urgenza di gestire volumi ingenti di pazienti con la telemedicina.
In base ai dati di Global Markets Insights, il mercato del cloud computing per il settore sanitario è stato valutato in oltre 29 miliardi di dollari nel 2020 e si prevede che nel 2027 ne varrà ben 79,3, con un CAGR (Compound Annual Growth Rate, tasso annuo di crescita composto) del 13,4%. Stiamo pertanto assistendo a un importante processo di migrazione al cloud nel settore, che non è passato inosservato ai criminali informatici.
A che cosa puntano i criminali informatici attaccando il settore sanitario?
Le cartelle cliniche contengono dati di alto valore, in quanto queste informazioni possono essere sfruttate in molti modi sul dark web e gli hacker riescono a trarne grosse somme. È possibile sfruttare questi dati, ad esempio, per acquistare farmaci soggetti a prescrizione, ricevere terapie o frodare le assicurazioni sanitarie e diffondere caos, il che nel lungo termine va a influire sulle persone i cui dati sono stati rubati.
I risultati del report di indagine sulle violazioni dei dati (Data Breach Investigation Report) di Verizon indicano che le motivazioni per cui gli autori delle minacce attaccano questo settore sono in primo luogo finanziarie (95%), seguite da spionaggio (4%), praticità (1%) e, infine, risentimento (1%).
Quando gli hacker riescono a far breccia nei sistemi di un centro sanitario, i dati compromessi sono in genere dati personali (58%), informazioni mediche (46%), credenziali (29%) e altro (29%).
Principali tipi di attacchi informatici al settore sanitario
Oltre al valore delle informazioni di identificazione personale (PII) sensibili, il settore sanitario è spesso un bersaglio relativamente facile per i cosiddetti hacker “black hat”. Sono molti i fattori che rendono un sistema più vulnerabile, fra cui diffusione dei dispositivi IoMT (Internet of Medical Things), protezione insufficiente (come l’uso di portali per la condivisione delle informazioni mediche dei pazienti, utilizzabili come gateway tramite password non sicure), mancato utilizzo dell’autenticazione MFA, mancata implementazione di soluzioni di sicurezza informatica in grado di bloccare minacce avanzate, uso di sistemi legacy e training dei dipendenti inefficace.
In un sondaggio svolto nel marzo di quest’anno, Health-ISAC ha identificato le cinque principali minacce per la sicurezza informatica nel settore sanitario tra il 2021 e il 2022:
- Ransomware
- Phishing
- Violazione dei dati di terze parti
- Violazione di dati proprietari
- Minacce interne
Analogamente, i risultati del report HIMSS Healthcare Cybersecurity Survey del 2021 confermano questi dati, con il phishing e il ransomware ai primi posti, rispettivamente con una quota del 45% e del 17%, seguiti da violazioni dei dati (7%) e social engineering (5%).
L’autenticazione a più fattori (MFA) è essenziale per i sistemi sanitari
Se gli operatori sanitari accedono alle cartelle cliniche elettroniche dei pazienti tramite un portale clinico, è fondamentale che seguano un protocollo in grado di garantire che l’accesso sia limitato agli utenti autorizzati a visionare questa documentazione. I dati sanitari dovrebbero essere esclusivamente riservati al personale essenziale e si dovrebbero esaminare frequentemente gli accessi.
Inoltre, se è implicato l’accesso al cloud, è imprescindibile implementare una soluzione MFA. La privacy dei dati è così importante che l’autenticazione MFA dovrebbe essere segnalata anche all’interno delle reti. Alcune aziende eliminano i requisiti MFA quando gli utenti si trovano fisicamente all’interno della rete, ignorando il rischio di attacchi e movimenti laterali. Ad esempio, nel 2021, in Olanda, l’autorità per la protezione dei dati (DPA) ha inflitto a un ospedale una multa di € 440.000 a causa di inadeguatezze nella protezione delle cartelle dei pazienti tra il 2018 e 2020, in quanto non aveva implementato misure di sicurezza sufficienti per prevenire l’accesso non autorizzato a questi documenti da parte di utenti interni alla rete.
Nonostante questo, dai risultati del sondaggio globale dell’HIMSS è emerso che soltanto il 34% degli intervistati ha dichiarato di avere implementato l’uso dell’autenticazione a più fattori nella propria organizzazione. Altri partecipanti al sondaggio hanno invece dichiarato che questo tipo di autenticazione viene applicato in minor misura presso gli istituti di appartenenza. Questo comporta rischi inutili per la riservatezza, l’integrità e la disponibilità delle informazioni.
Per gli MSP è fondamentale affermare l’importanza di utilizzare queste soluzioni e consigliare ai clienti del settore sanitario la più adatta alle loro esigenze. I sistemi sanitari gestiscono dati altamente sensibili, quali le informazioni mediche degli utenti, ed è pertanto essenziale che implementino l’autenticazione MFA, che è anche un requisito previsto dalle normative ormai da diverso tempo. Le organizzazioni mediche che l’hanno adottata sono a norma, come descritto in questo case study su Generalitat Valenciana, mentre la mancata implementazione di questa protezione può sfociare in multe e gravi violazioni della sicurezza.