La cyber sicurezza si occupa di tutte quelle tecnologie, processi e controlli atti a proteggere dispositivi, server, sistemi, reti, programmi e dati da attacchi malevoli, tipicamente intenzionati a: accedere, cambiare o distruggere informazioni sensibili; estorcere soldi dagli utenti; interrompere i normali processi lavorativi. Per cyber igiene, invece, si intendono quelle pratiche e accortezze – idealmente integrate in una routine quotidiana – che gli utenti di computer e altri dispositivi possono adottare per mantenere l’integrità del sistema e, nel lungo periodo, migliorare la propria sicurezza online.
Il cyber spazio non è un posto semplice da proteggere, a causa sia di fattori intrinseci (come le connessioni imprescindibili tra sistemi digitali e fisici, o l’abilità degli attori malevoli di operare da qualunque parte del mondo) che di nuovi trend, in particolare l’ubiquità dei dispositivi elettronici personali, la complessità crescente delle infrastrutture digitali critiche (come nella sanità, nelle telecomunicazioni, nel settore energetico e dell’e-banking) e l’inevitabile integrazione tra sistemi fisici e digitali (esplicata nell’Internet delle Cose).
Come se non bastasse, quella tecnologica non è l’unica componente fondamentale nel garantire la sicurezza del cyber spazio – noi abbiamo un ruolo importante e spesso sottovalutato, e l’errore umano (come condividere password sensibili, cadere vittima di ‘phishing’, perdere dispositivi di lavoro e ignorare update di sistema) è di fatto responsabile per la stragrande maggioranza dei cyber attacchi (fino al 90%).
Nel settore sanitario, tutte queste minacce diventano più pressanti e la posta in palio molto più alta. Ad esempio, i dati clinici sensibili possono essere rubati (il 2015 ha battuto i record, con 113+ milioni di fascicoli sanitari elettronici rubati) e rivenduti sul deep web, mentre i dispositivi medici possono venire scassinati, con un impatto diretto sulla qualità delle cure e sull’incolumità del paziente. Infine, ogni tipo di attacco all’infrastruttura IT o a dispositivi medici può essere sfruttata per costringere la vittima a pagare un riscatto (‘ransom’). Un report recente di Kaspersky Lab indica che più di 1/4 degli impiegati in health IT in Canada e Stati Uniti ammette di essere a conoscenza di attacchi ransomware ai danni del proprio datore di lavoro nell’ultimo anno, 1/3 dei quali più di una volta. Nel 2019, per la prima volta due centri medici statunitensi sono stati costretti a chiudere in seguito ad un attacco di ransomware.
Come prevedibile, le abilità e gli appetiti economici dei cyber criminali non sono gli unici elementi da incolpare per l’allarmante aumento nel numero di cyber attacchi a operatori sanitari e centri medici; un po’ più inaspettata è la scoperta che un settore così sensibile e vulnerabile abbia storicamente prestato molta meno attenzione a cyber sicurezza e cyber igiene rispetto a tanti altri ambiti similarmente bersagliati.
La formazione in cyber sicurezza del personale medico è generalmente inadeguata e i fondi limitati, risultando in operatori sanitari che condividono le credenziali di login, nell’uso endemico di dispositivi e sistemi obsoleti (inclusi i dispositivi medici), nel mancato rispetto delle normative sulla protezione dei dati, furti di dati non rilevati o riportati per lunghi periodi e in altri comportamenti ‘anti-igienici’ che aumentano la cyber vulnerabilità delle istituzioni sanitarie e dei centri medici. Per inquadrare l’entità del problema, stando agli ultimi dati dell’HIMSS, gli operatori sanitari che abboccano a scam online (30%) o ignorano le pratiche di cyber igiene (16%) rappresentano la causa principale di cyber attacchi in ambito sanitario, al pari delle azioni dirette da parte di cyber criminali (16%).
Sebbene un quadro simile possa non sembrare troppo promettente, c’è speranza per dei cambiamenti positivi: fioriscono in Europa e nel mondo nuove regolamentazioni su cyber igiene e protezione dei dati in ambito sanitario; aumentano gli investimenti nella formazione e nelle tecnologie necessarie per migliorare la cyber sicurezza dei centri medici e istituzioni sanitarie; i pazienti sono sempre più a conoscenza delle minacce che pone loro l’health IT; un numero crescente di paesi impone ai propri operatori sanitari di frequentare corsi di cyber security training. Tra le misure che gli operatori sanitari possono adottare per minimizzare la propria vulnerabilità, è importante fare un attento studio dei dispositivi medici e infrastrutture IT proposte prima di scegliere un fornitore, per poi lavorare in collaborazione con questo per rispondere efficacemente ai problemi di cyber sicurezza che possono presentarsi nel tempo, così come consultare tutte le raccomandazioni e risorse di cyber sicurezza disponibili gratis online.
Kelyon, attiva in ambito di health IT e sviluppo di SaMD (Software as Medical Device) da oltre 10 anni, ha sempre riconosciuto l’importanza della protezione dei dati e della cyber sicurezza quando si ha a che fare con tecnologie sanitarie. Tutti i nostri prodotti sono soggetti a certificazioni e marcatura CE secondo le più recenti normative EU, e offriamo ai nostri clienti cloud hosting sicuro, monitoring continuo della piattaforma e supporto dal system administration team in caso di malfunzionamenti e cyber attacchi.
