Mettendo a confronto il funzionamento e le esigenze di sicurezza dei vari settori industriali, commerciali o di servizi, sicuramente i contesti in cui vengono trattati i dati sanitari sono tra i più difficili da gestire e da proteggere.
Purtroppo, sono anche i maggiormente presi di mira da attacchi informatici perché allettanti per hacker senza scrupoli che sperano, essendo i dati sanitari fondamentali, non solo per la continuità aziendale ma soprattutto per la vita delle persone, di scendere più facilmente a compromessi con le vittime ed ottenere conseguentemente il pagamento di riscatti.
Infatti, se puntiamo l’attenzione alle strutture che trattano dati riguardanti la salute, scopriamo che nella seconda metà del 2020 si è assistito a un aumento considerevole degli attacchi informatici alle strutture ospedaliere e in generale sanitarie di tutto il mondo e il consuntivo dello scorso anno costa al comparto sanitario un aumento del +177% di cyber attacchi.
Gli obiettivi dei cyber criminali
Obiettivo dei cyber criminali, oltre al furto di dati personali che possono alimentare un florido mercato di compravendita di dati, è portare a segno altre metodologie finalizzate al blocco delle attività critiche. Con l’utilizzo di malware e ransomware, si possono bloccare sistemi di massima rilevanza per il funzionamento di un ospedale compresi gli stessi strumenti utilizzati per diagnosi e interventi chirurgici, fino alla richiesta di un riscatto finale per la “liberazione” dei sistemi.
I cyber criminali prendono di mira anche società terze che lavorano per il settore e che, fornitrici di diversi servizi, sono sotto la loro attenzione facendo parte della supply chain della salute tanto che è loro il 75% dei record di dati violati nella seconda metà del 2020.
Come fare quindi a proteggersi? Come poter scongiurare un blocco dell’attività lavorativa che comporterebbe rischi incalcolabili per la salute delle persone?
Proviamo a osservare delle metodologie di uso comune partendo dalle indicazioni che possono dare organismi internazionali riconosciuti che, in questi casi, fungono da faro illuminante su adozioni di procedure e processi volti alla sicurezza delle informazioni.
Gli standard internazionali per la sicurezza dei dati sanitari
Partendo da un approccio pragmatico in questo ambito, il Dipartimento della Salute e dei Servizi Umani (DHHS) degli Stati Uniti offre una guida dettagliata per la sicurezza informatica nel settore sanitario.
È una buona lettura per tutte le organizzazioni sanitarie. Le strutture che trattano i dati sanitari devono adottare un approccio completo e proattivo alla sicurezza al fine di identificare e mitigare le minacce prima che i criminali informatici ottengano l’accesso alle loro preziose informazioni.
Volendo invece spostare l’attenzione su uno standard internazionale che fornisce linee guida per la sicurezza e pratiche di gestione delle informazioni, inclusa la selezione, l’implementazione e la gestione dei controlli è fondamentale approfondire la UNI EN ISO 27799:2017.
Questo standard internazionale amplifica le linee guida per supportare l’interpretazione e l’implementazione nell’informatica sanitaria partendo dalla ISO/IEC 27002 ed è ad essa complementare.
Questa ISO fornisce una guida all’implementazione dei controlli descritti nella 27002 e li integra ove necessario, in modo che possano essere efficacemente utilizzati. I controlli messi in atto sono volti alla sicurezza delle informazioni di tipo sanitario.
Implementando questo standard, le organizzazioni acquisiscono le metodologie per garantire un livello minimo di sicurezza appropriato alle circostanze, tutelando i parametri RID inerenti la riservatezza, l’integrità e la disponibilità dei dati personali.
La UNI 27799 si applica alle informazioni sanitarie in tutti i loro aspetti, qualunque sia la forma che assumono (parole, numeri, disegni, immagini mediche), qualunque mezzo venga utilizzato per memorizzarle (archiviazione cartacea o digitale), e qualsiasi mezzo venga utilizzato per trasmetterle (a mano, su reti informatiche, per posta), purché le informazioni siano sempre adeguatamente protette.
20 suggerimenti pratici per la sicurezza dei dati sanitari
Per aiutare a mettere in pratica dei comportamenti coerenti con un progetto di sicurezza delle informazioni riportiamo di seguito alcuni suggerimenti per tutte quelle attività che trattano dati personali di tipo sanitario:
1. Stabilire una cultura della sicurezza
Le politiche di sicurezza aziendale possono risultare vane se non sono condivise da tutti i collaboratori che devono assimilare i principi fondamentali diventando la prima protezione dei dati che loro stessi gestiscono. La leadership deve dare l’esempio e aiutare tutti i dipendenti con piani di formazione adeguati in base alla mansione svolta e alla tipologia di dati trattati.
2. Proteggere i dispositivi mobili
Una delle protezioni da adottare, al fine di proteggere le informazioni delle cartelle cliniche elettroniche è evitare l’utilizzo di dispositivi mobili. È sicuramente comodo consentire ai medici di accedere alle cartelle su dispositivi mobili come telefoni e tablet ma, quei dispositivi, sono sicuramente più vulnerabili al furto e all’accesso non autorizzato da parte di malintenzionati.
3. Mantenere una buona cybercultura informatica
Le abitudini sane sono molto importanti per i sistemi sanitari tanto quanto lo sono per la salute dei pazienti. Fondamentale quindi compiere alcuni passaggi molto semplici ma di estrema importanza come:
- disinstallare le applicazioni non necessarie;
- modificare le configurazioni predefinite;
- cancellare i dati dai dispositivi prossimi allo smaltimento.
4. Configurare i firewall
Un passaggio ormai obbligatorio è quello di affidarsi a personale qualificato che possa configurare firewall per proteggere i sistemi da attacchi esterni. La scelta della tipologia di firewall e della gestione dello stesso deve essere affidata a tecnici specializzati e competenti.
5. Installare e mantenere il software antivirus
Il software antivirus protegge da codici dannosi che possono compromettere i sistemi sanitari. Gli aggiornamenti sono essenziali per la sicurezza. Anche in questo caso è opportuno affidarsi ad amministratori di sistema competenti e preparati.
6. Eseguire il back up dei dati
Per scongiurare qualsiasi tipo di minaccia, sia essa fisica (incendi e alluvioni) o virtuale (ransomware e attacchi DDos) il backup dei dati con cadenza regolare e il mantenimento degli stessi archivi in modo sicuro è la chiave per il ripristino dei sistemi nel minor tempo possibile.
7. Controllare l’accesso alle informazioni sanitarie protette
Determinare chi deve vedere cosa, al fine di consentire solo a specifici operatori di accedere a dati personali di natura particolare (art.9 GDPR) utilizzando anche audit di conformità, per verificare chi sta accedendo e a quale tipologia di dati. In tale ambito è fondamentale anche non trascurare di rimuovere tempestivamente l’accesso ai collaboratori che sono stati licenziati.
8. Usare password complesse e cambiarle regolarmente
Non sarà mai abbastanza riportare l’attenzione sulle migliori pratiche per le password sicure come:
- non usare più password per diversi sistemi;
- cambiare le password regolarmente;
- usare password complesse che non siano facili da sabotare con un attacco brute force;
- eventualmente utilizzare l’autenticazione a più fattori.
9. Limitare l’accesso alla rete
Controllare costantemente le reti di accesso alle informazioni aziendali poiché le reti wireless possono essere soluzioni flessibili ed economiche ma soggette a numerose vulnerabilità. Le reti wireless, facili da configurare, devono assolutamente essere separate in base ai ruoli svolti all’interno dell’organizzazione poiché vulnerabili all’accesso non autorizzato ed opportunamente configurate.
10. Controllare l’accesso fisico
Laptop, tablet, smartphone sono dispositivi di archiviazione soggetti a furti e manomissioni poiché più facili da sottrarre rispetto ai dispositivi fissi. Questi dispositivi devono essere conservati in luoghi sicuri dove gli utenti non autorizzati non possano accedervi. Le politiche di sicurezza delle informazioni dovrebbero limitare l’uso di tali dispositivi al di fuori delle strutture per prevenire eventuali perdite o sottrazioni.
11. Formare il personale
Gli esseri umani sono l’anello più debole nella sicurezza delle informazioni. Devono apprendere i protocolli di sicurezza adeguati e le conseguenze del mancato rispetto dei protocolli. Naturalmente le metodologie per ottenere questo obiettivo sono molteplici e impongono un apprendimento costante e continuo che possa colmare eventuali lacune.
12. Implementare i controlli sull’utilizzo dei dati
Utilizzare strumenti di rilevamento e classificazione dei dati per identificare e codificare i dati sanitari al fine di monitorare l’accesso e proteggerli. Questi strumenti di controllo dell’utilizzo possono impedire ai dipendenti di inviarli tramite e-mail, caricarli su siti non autorizzati o copiarli su dispositivi di archiviazione.
13. Monitorare l’accesso ai dati
Tenere traccia di quali utenti accedono ai dati e alle risorse sanitarie. Monitorare questo aspetto aiuta ad identificare le attività vulnerabili e a creare misure di protezione. Utilizzare il monitoraggio per creare degli audit trail in modo che sia più facile rilevare punti di accesso non autorizzati.
14. Criptare i dati
Criptare i dati sanitari che vengono trasferiti o archiviati per rendere difficile (idealmente, impossibile) per gli hacker interpretare i dati anche in caso di violazione riuscita. È necessario quindi prendere decisioni su quali dati devono essere crittografati e con quali metodi verranno utilizzati.
15. Mitigare il rischio dai dispositivi collegati
I dispositivi mobili non sono l’unica vulnerabilità nelle reti. I dispositivi medici, le telecamere di sicurezza e le apparecchiature per ufficio sono spesso collegati in rete. Questi dispositivi connessi offrono punti di accesso che potrebbero portare ai dati dei pazienti. Mantenere i dispositivi su reti separate e monitorare l’accesso non autorizzato è fondamentale.
16. Eseguire regolari valutazioni dei rischi
Le valutazioni dei rischi aiuteranno a comprendere le vulnerabilità dell’organizzazione. Solo così è possibile anticipare i problemi di sicurezza e proteggere adeguatamente i sistemi.
17. Valutare la sicurezza dei fornitori (Responsabili del trattamento)
Nell’assistenza sanitaria la condivisione delle informazioni è imprescindibile. Valutare puntualmente la sicurezza di tutta la filiera aziendale è un passo necessario da compiere per porsi come collettore di metodologie sane e sicure. Tale procedura può essere adottata elaborando puntuali audit ai fornitori così come previsto all’interno di qualsiasi contratto stipulato in base all’articolo 28 del GDPR.
18. Mantenere gli aggiornamenti del software
Un software obsoleto è vulnerabile agli attacchi. Gli hacker possono sfruttare le versioni precedenti del software senza le ultime patch di sicurezza. Vale la pena mettere offline i sistemi che devono ancora adottare gli aggiornamenti del software.
19. Creare un piano di ripristino
La pianificazione di un attacco implica lo sviluppo di un piano per riportare online i sistemi e proteggerli da un altro attacco. Effettuare e pianificare prove di disaster recovery può essere l’arma fondamentale che diminuisce sensibilmente le conseguenze di qualsiasi attacco.
20. Stabilire politiche sicure per l’accesso remoto alle informazioni
La tecnologia consente agli operatori sanitari di lavorare da qualsiasi luogo, non solo all’interno delle strutture (ospedali, cliniche, ambulatori). Il problema è che questa procedura crea vulnerabilità per le informazioni sanitarie. Le politiche devono definire chi può accedere alle informazioni sanitarie e a quali informazioni è lecito accedere. Oltre a questo, l’utilizzo di collegamenti sicuri attraverso l’adozione di VPN dedicate è oramai la regola comune ma non sempre adottata.
Gli strumenti quindi esistono, deve solo aumentare la consapevolezza dei rischi e la volontà risolutiva di adoperarsi per combattere contro chi vorrebbe, a tutti i costi, ottenere i nostri dati.