LA SICUREZZA INFORMATICA NELL'ASSISTENZA SANITARIA: MINACCE E LORO PREVENZIONE

Proteggere i pazienti sia virtualmente che in ospedale

Il settore sanitario ha tratto enormi benefici dall'uso diffuso di Internet e di computer medici specializzati. Cartelle cliniche elettroniche, telemedicina e dispositivi IoT (Internet of Things) sono solo alcuni dei vantaggi di cui godono gli ospedali e gli studi medici in questa era digitale.

Purtroppo, tutti questi dati trasmessi avanti e indietro tra i dispositivi sanitari elettronici sono un obiettivo primario per i criminali informatici. Al 22 settembre 2023, l'Office of Civil Rights del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti ha indagato su 907 violazioni di dati solo nei 24 mesi precedenti. Ogni violazione ha coinvolto almeno 500 persone e la più grande ha interessato oltre 11 milioni di persone. La sicurezza informatica nel settore sanitario non è una questione che riguarda solo i team IT, ma è una preoccupazione critica per tutti i dipendenti a tutti i livelli del settore.

Sensibilità dei dati nel settore sanitario

I dati sanitari, comprese le cartelle cliniche, i dati personali e le informazioni assicurative, sono estremamente sensibili e riservati:

Informazioni sanitarie personali (PHI): le PHI comprendono informazioni sulla storia medica, le diagnosi, i trattamenti e le prescrizioni di un individuo. L'accesso non autorizzato a questi dati può portare a furti di identità, frodi assicurative o addirittura mettere in pericolo la vita del paziente se le cartelle cliniche vengono alterate o utilizzate in modo improprio.

Informazioni finanziarie: Le cartelle cliniche contengono spesso dati relativi alla fatturazione e all'assicurazione, il che le rende interessanti per i criminali informatici a scopo di lucro.

Una violazione dei dati nel settore sanitario può comportare una perdita di fiducia tra i pazienti e gli operatori sanitari. I pazienti si aspettano che le loro informazioni sensibili siano salvaguardate e le violazioni possono erodere la fiducia nelle istituzioni sanitarie.

I principali stakeholder della sicurezza informatica nel settore sanitario

Diverse parti interessate sono responsabili della sicurezza informatica nel settore sanitario, tra cui i pazienti, i dirigenti, i membri della forza lavoro e i fornitori di apparecchiature. Tutte le parti devono seguire le migliori pratiche per la sicurezza informatica.

I pazienti devono essere informati su come comunicare in modo sicuro con i loro fornitori di servizi sanitari. Devono anche comprendere le politiche sulla privacy e sulla sicurezza e come proteggere le loro informazioni personali. Ciò è particolarmente importante se interagiscono virtualmente con il loro fornitore, ad esempio tramite piattaforme di teleassistenza.

I dirigenti di alto livello stabiliscono le politiche che determinano l'approccio di un'organizzazione sanitaria alla sicurezza informatica. Molte aziende ora impiegano un Chief Information Security Officer (CISO) al pari di un Chief Financial Officer o di un Chief Marketing Officer. La responsabilità del CISO è quella di concentrarsi sulla strategia generale di cybersecurity dell'azienda, mentre i suoi subordinati la eseguono.

I dipendenti delle strutture sanitarie sono responsabili della comprensione delle politiche di privacy e sicurezza dell'organizzazione. Devono inoltre ricevere regolarmente una formazione sulle migliori pratiche di cybersecurity, essere in grado di spiegare queste politiche ai pazienti e sapere cosa fare in caso di emergenza di cybersecurity.

I venditori e i fornitori del mercato devono fornire prodotti con opzioni rigorose di protezione della cybersecurity e della privacy. Poiché spesso i fornitori dispongono di credenziali o privilegi elevati presso più strutture sanitarie, devono prestare particolare attenzione a non subire una violazione dei dati da parte loro, per evitare che le credenziali compromesse vengano utilizzate contro i loro clienti.

Minacce comuni alla sicurezza informatica nel settore sanitario

I criminali informatici dispongono di un arsenale di tattiche e strumenti per introdursi in una rete sanitaria e rubare i dati. Questi sono solo alcuni dei modi in cui un hacker può colpire la rete di un'organizzazione sanitaria.

Phishing

Il phishing consiste in tentativi fraudolenti di ingannare le persone per indurle a rivelare informazioni sensibili, come le credenziali di accesso o i dati personali, spacciandosi per entità affidabili con cui il destinatario ha familiarità. I criminali informatici spesso utilizzano e-mail o messaggi di testo falsi per chiedere all'obiettivo di aprire un link o scaricare un programma che richiede l'utilizzo delle proprie credenziali di accesso o di altre informazioni personali che verranno successivamente utilizzate in modo improprio

Ad esempio, un dipendente può ricevere un'e-mail apparentemente legittima che gli chiede di aggiornare le proprie credenziali di accesso, fornendo così inconsapevolmente l'accesso ai criminali informatici.

Il phishing è un tipo di crimine informatico molto diffuso che richiede uno sforzo minimo da parte del criminale e sfrutta uno degli anelli più deboli di qualsiasi sistema di sicurezza: l'uomo. Può provocare l'accesso non autorizzato alle cartelle cliniche dei pazienti, frodi finanziarie o l'introduzione di malware nei sistemi sanitari.

Ransomware

Il ransomware è un software dannoso che cripta i dati di un'organizzazione, rendendoli inaccessibili fino al pagamento di un riscatto all'aggressore. Le istituzioni sanitarie sono bersagli privilegiati a causa della natura critica dei dati dei pazienti.

Se la vittima non paga il riscatto, gli hacker spesso caricano i dati rubati su Internet o disabilitano permanentemente il dispositivo di cui hanno preso il controllo. Gli attacchi ransomware compromettono la privacy e la sicurezza dei pazienti e possono paralizzare il sistema della struttura.

Solo nel 2022, il settore sanitario è stato preso di mira da 210 attacchi ransomware. Uno dei più grandi, che ha preso di mira CommonSpirit Health, ha colpito oltre 620.000 pazienti.

Attacchi Man In The Middle (MITM)

In un attacco MITM, i criminali informatici intercettano i dati trasmessi mentre attraversano una rete.

Uno dei modi più semplici per farlo è aprire hotspot Wi-Fi in un luogo pubblico, come un ospedale. Questi hotspot spesso riportano il nome del luogo nella rete, ma in realtà sono gestiti da attori malintenzionati. Altre tecniche avanzate prevedono che i criminali imitino gli indirizzi IP per reindirizzare le persone verso i loro siti web fasulli anziché verso la destinazione prevista.

Qualunque sia il loro metodo, se un attaccante Man-in-the-Middle (MITM) ottiene l'accesso ai vostri messaggi, può cercare di decifrarli e leggerli. Una volta fatto ciò, l'aggressore può utilizzare i messaggi violati per effettuare furti di identità, interrompere le operazioni aziendali o anche peggio, a seconda del contenuto dei messaggi intercettati.

Sicurezza fisica

Nonostante la varietà di opzioni per l'infiltrazione remota, uno dei modi più semplici per gli hacker di accedere a una rete è mettere le mani su un dispositivo utilizzato in quella rete. Una volta rubato, gli hacker possono utilizzare il dispositivo per accedere alle cartelle cliniche dei pazienti, alle informazioni assicurative e altro ancora. Ancor peggio, poiché stanno utilizzando un dispositivo registrato sulla rete, le loro azioni non verranno segnalate come illegittime finché non sarà troppo tardi per fermarle. Ecco perché le funzioni di sicurezza, come SSO e RFID, che consentono solo al personale autorizzato di utilizzare i dispositivi di un'organizzazione sanitaria, sono fondamentali.

Attacchi DDoS (Distributed Denial of Service)

Un attacco DDoS comporta un'ondata di richieste di connessione fasulle rivolte allo stesso server. Ciò causa il rallentamento o il blocco del server, che fatica a tenere il passo con il numero eccessivo di richieste. Nel settore sanitario, questo può rendere inutilizzabili le risorse di rete e impedire agli operatori sanitari di accedere alle cartelle cliniche dei pazienti o di utilizzare le loro apparecchiature.

Gli attacchi DDoS sono spesso utilizzati in combinazione con altri tipi di crimini informatici. Ad esempio, un dispositivo già compromesso da malware può essere utilizzato come parte di un attacco DDoS senza che il proprietario se ne accorga.

Conseguenze delle violazioni dei dati di sicurezza informatica in ambito sanitario

I fornitori di servizi sanitari che subiscono una violazione dei dati possono andare incontro a diverse conseguenze dolorose, che vanno dalle perdite finanziarie alle ripercussioni normative.

Preoccupazioni per la privacy dei pazienti

Parte di ciò che rende i dati sanitari un obiettivo così allettante per i criminali è la quantità di informazioni private che contengono. Ad esempio, le condizioni mediche, i trattamenti e i dati di identificazione personale, come i dati di contatto, il numero di previdenza sociale e le informazioni finanziarie, sono alcuni dei potenziali dati che possono essere compromessi durante una violazione.

Quando questi dati finiscono nelle mani sbagliate a causa di una violazione, possono verificarsi gravi problemi di privacy, tra cui:

Furto di identità: I criminali informatici possono utilizzare i dati rubati dei pazienti per commettere furti d'identità, aprire linee di credito, ottenere servizi medici o intraprendere attività fraudolente a nome della vittima.

Stigmatizzazione: I pazienti possono subire stigma sociale o discriminazione se la loro storia medica, come le diagnosi di salute mentale o i trattamenti per abuso di sostanze, diventa di dominio pubblico.

Disagio emotivo: Sapere che le proprie informazioni sanitarie private sono state compromesse può causare un forte disagio emotivo ai pazienti, erodendo la fiducia nei confronti degli operatori sanitari e delle istituzioni.

Impatto sull'assistenza ai pazienti

Una violazione dei dati può avere gravi conseguenze, tra cui la perdita dell'accesso alla rete o l'arresto completo di un dispositivo. Ciò potrebbe causare situazioni frustranti come l'impossibilità di accedere alle cartelle cliniche elettroniche di un paziente o, in casi estremi, lo spegnimento senza preavviso di apparecchiature vitali.

Tempi di inattività: Attacchi come il ransomware possono causare tempi di inattività del sistema, impedendo agli operatori sanitari di accedere alle cartelle cliniche dei pazienti e ritardando procedure mediche critiche.

Integrità dei dati: Le violazioni possono compromettere l'integrità delle cartelle cliniche dei pazienti, portando a decisioni terapeutiche errate e a conseguenze potenzialmente dannose per i pazienti.

Perdita di fiducia: I pazienti possono perdere fiducia nei fornitori di assistenza sanitaria e nelle istituzioni, con conseguente riluttanza a condividere informazioni sensibili o a richiedere cure.

Diversione di risorse: La risposta agli incidenti di cybersecurity distoglie le risorse dall'assistenza ai pazienti, incidendo sulle operazioni sanitarie e sulla produttività del personale.

Perdite finanziarie

I costi di recupero dei dati, le spese legali e i danni alla reputazione portano il costo medio della violazione dei dati nel settore sanitario a circa 11 milioni di dollari nel 2023. Si tratta di una cifra quasi doppia rispetto al secondo settore più costoso, quello finanziario, con 5,9 milioni di dollari per violazione dei dati. Questo costo deriva dall'interruzione di servizi vitali che gli ospedali non possono permettersi di lasciare cessare e dalla prevalenza di attacchi ransomware contro gli operatori sanitari.

Purtroppo, il numero di violazioni di dati e le relative spese aumentano di anno in anno, poiché sempre più criminali informatici si rendono conto di quanto il settore sanitario sia un bersaglio allettante.

Conseguenze legali e normative

Anche dopo che la violazione dei dati è stata identificata e sigillata, i problemi di un fornitore di servizi sanitari potrebbero essere solo all'inizio. I dati sanitari dei pazienti sono fortemente regolamentati e, se un'azienda o un fornitore risulta negligente nel modo in cui li conserva o li protegge, può incorrere in pesanti ripercussioni legali. Le violazioni dell'HIPAA, ad esempio, possono costare da 100 a 50.000 dollari per violazione. I reati particolarmente negligenti possono addirittura comportare pene detentive.

Un altro problema è rappresentato dalle azioni legali collettive promosse da privati. Ad esempio, il Johns Hopkins Health System è stato recentemente citato in giudizio dopo aver subito una violazione dei dati. La causa accusa Johns Hopkins di essere a conoscenza di una sicurezza informatica "al di sotto degli standard", ma di non aver agito e di non aver avvisato tempestivamente le persone colpite dalla violazione.

Le migliori pratiche di sicurezza informatica in ambito sanitario

Le organizzazioni sanitarie devono dare priorità alle best practice di cybersecurity per mitigare le minacce e le conseguenze.

Controllo degli accessi e autenticazione

I computer medici spesso implementano metodi di controllo degli accessi come lettori RFID o smart card per garantire la sicurezza fisica. Chi tenta di utilizzare il computer senza l'identificazione corretta viene bloccato. Anche qualcosa di semplice come uno schermo per la privacy può impedire a occhi indiscreti di spiare mentre un operatore sanitario inserisce la propria password.

Formazione e sensibilizzazione dei dipendenti

Il tipo di attacco informatico più comune, il phishing, si basa sull'inconsapevolezza e sull'eccessiva fiducia del bersaglio. Insegnare ai dipendenti a riconoscere e segnalare le tattiche di phishing e a utilizzare correttamente i filtri antispam può impedire che si verifichino violazioni.

Una formazione analoga per reagire prontamente a una notifica di violazione, l'uso dell'autenticazione a più fattori e altre nozioni di base sulla cybersecurity possono contribuire in modo significativo alla protezione delle organizzazioni sanitarie.

Crittografia e protezione dei dati

L'implementazione della crittografia per i dati sensibili è un livello critico di sicurezza informatica. In questo modo, anche se i malintenzionati riescono ad accedere ai vostri dati, non possono farci nulla se non hanno le chiavi di decrittazione. Per questo motivo, è consigliabile utilizzare solo tablet e computer medici dotati di software di crittografia come Imprivata.

Inoltre, eseguite regolarmente il backup dei dati e dei sistemi sanitari critici per garantire il recupero dei dati in caso di incidente.

Internet degli oggetti

Gli ospedali moderni si affidano sempre più a reti di dispositivi wireless che interagiscono tra loro come parte di un "Internet delle cose" Ad esempio, il cardiofrequenzimetro di un paziente può trasmettere informazioni in modalità wireless al computer di un operatore sanitario per il monitoraggio remoto.

Tuttavia, il problema di questi dispositivi è che spesso necessitano di una maggiore sicurezza informatica. Ciò è particolarmente vero per i vecchi sistemi legacy su cui molti ospedali fanno ancora affidamento. Collegando questi vecchi dispositivi a un computer medico più moderno, un ospedale può continuare a usarli implementando misure di sicurezza informatica più moderne.

Risposta agli incidenti e recupero

Se si verifica il peggio e la vostra organizzazione sanitaria subisce una violazione dei dati, sapere come reagire è fondamentale. Considerate la risposta agli incidenti come un piano di evacuazione antincendio, come qualcosa di preparato, aggiornato e addestrato. Quanto più rapidamente la vostra organizzazione riuscirà a proteggere i propri sistemi e a correggere le vulnerabilità, tanto minori saranno i danni subiti.

Sviluppate un piano di risposta agli incidenti completo che delinei le misure da adottare in caso di violazione della sicurezza informatica.

Testate e aggiornate regolarmente il piano di risposta agli incidenti per assicurarvi che rimanga efficace.

Stabilire protocolli di comunicazione chiari per informare le parti interessate, compresi i pazienti e le autorità di regolamentazione, in caso di violazione dei dati.

Prevenire gli attacchi informatici con i computer medici giusti

Il numero di attacchi informatici contro le strutture sanitarie e i relativi costi sono in costante aumento. Le organizzazioni sanitarie devono fare della sicurezza informatica una priorità assoluta, viste le gravi conseguenze.

Se la vostra organizzazione vuole migliorare la propria sicurezza informatica, prendete in considerazione la gamma di computer medicali specializzati di Cybernet Manufacturing. Oltre a essere progettati specificamente per gli ambienti medici, i nostri computer integrano diverse funzioni per proteggersi meglio dalle minacce della criminalità informatica, come la crittografia Imprivata e gli scanner RFID per bloccare gli accessi non autorizzati. Contattate oggi stesso i nostri esperti; possiamo aiutarvi a scegliere il computer medico più adatto alle esigenze della vostra organizzazione.