Con la corsa al lancio sul mercato del vaccino contro il Coronavirus, non si può trascurare l’elevato rischio legato a eventuali cyber attacchi, sempre in agguato e ultimamente in aumento e che potrebbero condurre alla contaminazione dei farmaci, violare le proprietà intellettuali (IP), obbligare a ripetere gli studi clinici, provocare danni di immagine, tempi di inattività, cause legali, perdita di profitti e ritardi nella consegna dei vaccini stessi, mettendo a rischio la salute di milioni di vite umane. Oggi gli hacker hanno maggiori risorse per raggiungere i propri scopi con intenti criminali senza troppe difficoltà e requisiti di conformità come HIPAA (Health Insurance Portability and Accountability Act) non sono più sufficienti come strategie di cybersecurity nell’industria farmaceutica.
Fortinet, multinazionale americana che si occupa dello sviluppo e della commercializzazione di software, dispositivi e servizi di sicurezza informatica, quali firewall, software antivirus, sistemi di prevenzione delle intrusioni e di sicurezza degli endpoint, ha condotto un’ampia analisi delle sfide che le realtà che operano in questo settore devono affrontare. Le minacce informatiche in continua evoluzione riguardano le esigenze di compliance, attacchi stati-nazione e la crescente complessità del network. E piuttosto che cercare di risolvere ogni criticità separatamente, che costa tante risorse IT, sarebbe meglio adottare un approccio globale alla sicurezza del network. Questo garantisce automazione, visibilità e una risposta rapida alle minacce.
Le vulnerabilità dell’industria farmaceutica
Per contrastare gli eventuali attacchi all’industria farmaceutica, un buon primo passo consiste senza dubbio nel conoscere e saper riconoscere le principali difficoltà da affrontare.
Con l’integrazione di Internet of Things (IoT) e Industrial Internet of Things (IIoT) e le innovazioni digitali come migrazioni cloud, medicina connessa o telemedicina, e smart working, non solo la superficie di attacco si è notevolmente ampliata, ma anche il numero di obiettivi di attacco disponibili all’interno dei network Pharma. E poiché quasi sempre, i dispositivi e sistemi di tecnologia operativa (OT) non sono stati creati pensando alla sicurezza, la convergenza tra reti OT e reti IT ha esposto i network OT alle minacce.
La strategia growth-by-acquisition può comportare ulteriori sfide per la sicurezza, dato che a volte le aziende in oggetto non dispongono di infrastrutture di sicurezza adeguate o facilmente integrabili. Tali acquisizioni devono tener conto delle best practice di cybersecurity come parte integrante di un mondo web digitale già complesso di per sé. La proprietà intellettuale, le electronic protected health information (ePHI) e altri dati operativi sensibili sono regolarmente accessibili e trasferiti, ma a causa dei sistemi scollegati, le aziende farmaceutiche devono affrontare sfide di visibilità, controllo dei dati, audit degli accessi e reporting di conformità in tutte le loro reti.
Inoltre, i danni possono provenire da fonti interne possono essere difficili da rilevare dato che includono un’ampia varietà di comportamenti e motivazioni. Potrebbe trattarsi di un dipendente scontento che tenta di ostacolare le operazioni, di un membro del personale che cerca di guadagnare denaro extra vendendo i dati dei clienti, o di un collega ben intenzionato che si limita a eludere una policy aziendale per risparmiare tempo.
L’evoluzione e la complessità dei requisiti normativi non fa che aumentare la difficoltà di ottenere manualmente la visibilità a livello di rete e di applicare i controlli di sicurezza richiesti. Inoltre, dimostrare la conformità può richiedere molto tempo, soprattutto quando le reti sono composte da point products disparati che non condividono le capacità di reporting. La maggior parte alla fine fatica a rivelare la conformità completa, e l’integrità dei dati è un nuovo importante requisito di cui tener conto man mano che la digitalizzazione avanza.
Un ultimo tema da non sottovalutare è la necessità delle aziende farmaceutiche di attrarre i migliori talenti nella cybersecurity, un settore che purtroppo soffre una carenza di professionisti che a livello mondiale supera oggi i 4 milioni. La scarsità di esperti renderà difficile e costoso ricoprire tali posizioni.