Strutture sanitarie oggetto di attacchi informatici. Qual è la soluzione?

Al di là della rilevanza degli obiettivi perseguiti dalla nuova normativa europea in relazione alla data privacy, il sempre più esteso utilizzo delle Information and Communication Technologies nell’ambito dell’erogazione di servizi in ambito sanitario (con gli evidenti vantaggi in termini di disponibilità dei dati, efficienza e cooperazione applicativa) impone lo sviluppo e l’applicazione di policy di protezione continuativa dei dati e degli asset più critici e contromisure cyber dinamiche per garantire la riservatezza e integrità dei dati , così come l’affidabilità e la continuità di servizio.

L’iperconnessione e la disponibilità di dispositivi IoT che amplificano le capacità interattive e cognitive di dispositivi e sistemi medicali sempre più sofisticati possono, proprio in virtù delle aumentate prestazioni complessive del sistema, aggiungere al rischio di un non corretto utilizzo delle informazioni di carattere privato e della violazione della sfera di identità personale, rischi rilevanti correlati ad attività criminali che trovano negli strati più profondi del Web, remunerazione dal possesso fraudolento di dati personali e cartelle cliniche anche in relazione ai premi assicurativi.L’assistenza sanitaria rimane un obiettivo chiave anche del ransomware perché le strutture sanitarie raccolgono e dispongono di un vastissimo archivio di informazioni che, quando sottratte, non possono essere facilmente sostituite e possono persino non essere individuate dalle vittime per molto tempo.

Gli hacker considerano pertanto il settore dell’healthcare una fonte redditizia di informazioni personali identificabili in cui le relative registrazioni finanziarie sono facilmente monetizzabili come beni commerciabili negli strati sotterranei del Web. Singoli malfattori od organizzazioni criminali strutturate usano questi dati rubati per commettere frodi, furti di identità, spionaggio, ricatti ed estorsioni, alimentando il circolo vizioso del cybercrimine.

Ma ancora non basta. Emergono, infatti, casi di attacchi informatici nei confronti dei dispositivi medici attivi impiegati in ambito sanitario per la cura dei pazienti. L’ambito sanitario rappresenta, infatti, un settore estremamente dinamico in termini di metodologie e di tecniche innovative adottate, ma al contempo si mostra estremamente delicato e vulnerabile, in quanto l’impiego sempre più diffuso delle nuove tecnologie in tale contesto viene a intrecciarsi inevitabilmente con la delicatezza e la rilevanza dei servizi erogati e dei dati trattati. Tale peculiare struttura comporta di conseguenza la presenza di una potenziale molteplicità di data breach della sicurezza che possono comportare conseguenze rilevanti in termini di efficacia dei trattamenti o addirittura condurre a situazioni di rischio per la vita degli ammalati nel momento in cui le violazioni, o peggio ancora, le manomissioni possano alterare le funzionalità degli strumenti medicali utilizzati in ambito diagnostico e curativo. Come per tutti i settori dell’industria che sono similmente oggetto di attacchi cyber più o meno targettizzati, emerge in primis la necessità e l’urgenza di elevare il livello complessivo di consapevolezza sulla sicurezza e il livello di professionalizzazione degli addetti ai lavori e degli utenti critici di sistemi, dispositivi e applicazioni che possono essere vulnerabili. Parallelamente emerge la possibilità per il settore sanitario privato e pubblico – attraverso differenti e specifiche modalità di acquisizione e approvvigionamento – di avvalersi per la complessità o per singoli processi o task, di strutture specialistiche esterne dedicate allo studio, all’analisi e alla mitigazione del rischio cyber in ambito sanitario. Una strategia di risk management integrato in questo contesto può consentire un produttivo rapporto di collaborazione tra competenze verticali di processo e know how specialistico in ambito cyber supportato da asset strategici come il Security Operation Center per il monitoraggio continuativo e la gestione degli incidenti.