Abbiamo detto più volte che il settore sanitario è oggetto di continui attacchi da parte di organizzazioni criminali. Nell’underground criminale i record trafugati da sistemi sanitari sono merce preziosa: in molti casi il loro valore supera quello dei dati relativi alle carte di pagamento.
Privacy e sicurezza dei dati sanitari sono oggetto di un acceso dibattito tra istituzioni, aziende private e cittadini. Ancora una volta la sicurezza è percepita come un costo in un settore che si confronta con una congiuntura economica che in molti casi ha portato ad una riduzione degli investimenti da parte delle aziende sanitarie.
La sicurezza quindi è una voce di spesa, trascurarla tuttavia potrebbe avere un impatto catastrofico su una struttura ospedaliera e persino mettere a rischio la vita stessa dei pazienti. Di recente sono stati osservati numerosi casi in cui ransomware hanno infettato i sistemi di ospedali in tutto il mondo causandone la paralisi delle attività. In queste occasioni è emersa l’esigenza di dover operare per rendere resilienti i sistemi ospedalieri a minacce di complessità crescente. E che dire dei sistemi dell’Internet delle cose che sono entrati prepotentemente anche nel settore sanitario? Pensiamo ai dispositivi medicali e ai potenziali effetti di un attacco informatico con annessi divulgazione di dati sensibili e perdite di vite umane.
Purtroppo in molti casi i sistemi sanitari non sono progettati per respingere gli attacchi informatici, né tantomeno per essere esposti in rete. Sistemi fuori produzione, mal protetti e spesso non aggiornati sono una costante nelle reti informatiche di ospedali di mezzo mondo ed è per questo motivo che si sta assistendo a un significativo aumento degli attacchi contro gli operatori sanitari.
La risultante di tali attacchi nella maggior parte dei casi è la disponibilità di record sanitari nei principali black market.
Secondo un articolo pubblicato dal sito web fastcompany.com è possibile acquistare una cartella clinica completa per circa 60 dollari nel deep web, un valore decisamente superiore al costo medio dei dati relativi ad una carta di pagamento, che sono acquistabili a partire da 3 dollari. L’articolo riferisce di un hacker in possesso di oltre un milione di cartelle cliniche complete di ignari individui, ovviamente tutte in vendita.
Secondo una ricerca del Brookings Institute, nel corso degli ultimi sei anni, i dati medici di oltre 155 milioni di americani sono stati potenzialmente esposti a causa di circa 1.500 violazioni informatiche.
Il rapporto conferma la criticità che il settore sanitario si trova ad affrontare, con un numero di incidenti in forte aumento a partire dalla fine del 2014. Le strutture sanitarie si trovano a fronteggiare una spesa crescente per l’acquisizione di sistemi per la gestione digitale dei dati dei pazienti, a tale spesa tuttavia non corrisponde un investimento congruo in cyber security.
Gli esperti sono preoccupati dai servizi di rete così come dalle numerose falle che periodicamente sono scoperte all’interno di sistemi medicali. Di recente il CERT statunitense ha pubblicato un avviso di sicurezza relativo a diverse vulnerabilità presenti nei sistemi Philips Xper-IM basati su sistemi Windows XP, un sistema operativo ormai fuori produzione.
Nei prossimi anni, a meno di un radicale cambiamento di mentalità, il numero di violazioni di dati nel settore sanitario è destinato a crescere. Le aziende del settore devono confrontarsi con una spesa esigua per la sicurezza, la mancata applicazione di best practice per la protezione delle reti informatiche e dei dati gestiti, ed ovviamente con la carenza di talenti necessari per attuare le migliorie auspicate.
Nel frattempo, è importante spiegare ai pazienti quale sia il rischio associato all’esposizione dei dati relativi alle loro cure mediche. Quali dati sono gestiti, in che modo e da chi, sono informazioni minime che dovrebbero essere fornite agli utenti che potranno quindi scegliere le strutture in grado di offrire sicurezza anche sotto il profilo informatico.
Attraverso la conoscenza dei rischi è possibile mettere in moto processi virtuosi che ci possano portare all’adozione di sistemi sempre più resilienti ad attacchi informatici.
Facebook Comments