L'onda lunga del Covid-19 nella cybersecurity dell’healthcare
La parola "senza precedenti" sembra essere stata usata quotidianamente durante la pandemia di COVID-19, in particolare quando si tratta dell'impatto del virus sui pazienti, sui medici, sulle risorse ospedaliere e sulla fornitura di materiali sanitari. Ma ha avuto un'eco altrettanto forte presso i responsabili della sicurezza informatica (CISO), mettendo chi si occupa della sicurezza dei dati in condizioni di dover affrontare una scala e un livello di minacce Cyber completamente nuovi.
(Nella foto: Pieguido Iezzi, co-fondatore e Ceo di Swascan)
Infatti, lungi dall'arrivare da solo, il virus è stato accompagnato da una serie di Criminal Hacker che hanno rapidamente puntato gli occhi sulle vulnerabilità che quasi certamente sarebbero state esposte nel perimetro di Cyber Security delle strutture ospedaliere mentre l'attenzione e l'energia venivano dirottate in prima linea nella cura dei pazienti.
E la riprova non si è fatta attendere. Durante la pandemia attacchi ransomware hanno colpito diverse strutture sanitarie, come il San Raffaele a Milano, e laboratori di ricerca sul coronavirus.
Nelle settimane successive alla dichiarazione di pandemia da parte dell’OMS (l’11 marzo), l'organizzazione stessa ha denunciato un aumento degli attacchi informatici ai propri sistemi.
Entro maggio, agenzie come il National Cyber Security Centre (NCSC) nel Regno Unito e la Cyber Security and Infrastructure Security Agency (CISA) negli Stati Uniti consigliavano al personale sanitario di cambiare le password e di implementare l'autenticazione a due fattori a fronte di una marea crescente di attacchi con password spraying e phishing.
Data l'entità di questi attacchi – e il potenziale valore del volume di dati sui pazienti che si stava rapidamente accumulando – non sarebbe stato sorprendente per nessuna istituzione trovarsi in difficoltà.
CIO, CISO e DPO ospedalieri si sono trovati a fronteggiare una battaglia su due fronti: la sicurezza da un lato e l'accessibilità dei dati per i medici e gli infermieri dall'altro.
Reti sicure, password lunghe e dipendenti che seguono le best practice in materia di IT e sicurezza sono in teoria tutte note positive. Tuttavia, sono spesso prassi lontane dalla realtà dove troviamo sistemi non aggiornati, login condivisi e persino password scarabocchiate su dei fogli. E spesso basta un solo errore.
Nell'ambiente teso, stressato e “furibondo” di un ospedale al culmine della pandemia, la possibilità che anche un solo individuo distolga lo sguardo o utilizzi una scorciatoia per accedere a delle informazioni urgenti potrebbe essere proprio l'anello più debole che l'aggressore sta cercando.
E le minacce più sofisticate e pericolose tendono a non farsi annunciare immediatamente con una richiesta di riscatto.
Si intrufolano e si aggirano silenziosamente nei sistemi, nelle applicazioni e nei dispositivi ospedalieri, sfruttando i punti deboli e raccogliendo informazioni fino a quando non sono in grado di causare il massimo danno.
Il vero valore delle cartelle cliniche - I dati sanitari hanno un valore straordinariamente alto sul Dark Web, di solito da 10 a 40 volte di più di un numero di carta di credito.
Forse una delle maggiori vulnerabilità causate dal COVID è una forza lavoro particolarmente distratta/stressata, che potrebbe essere sempre più incline a cadere vittima delle e-mail di phishing.
Un clic sbagliato e un intero sistema ospedaliero potrebbe fermarsi. E la crescente necessità di tecnologia nei servizi medici non fa altro che dare ai Criminal hacker la possibilità di chiedere ingenti riscatti dagli ospedali che cercano di riottenere l'accesso ai loro dati e ai loro sistemi.
Come se non bastasse, in caso di attacco Criminal Hacker, c’è anche il pericolo delle possibili sanzioni imposte dal garante della privacy.
È bene ricordare che sul piano sostanziale una violazione di dati personali o data Breach è un tipo di incidente di sicurezza che porta il titolare del trattamento a non poter più garantire l’osservanza dei principi relativi al trattamento di dati personali di cui all’art. 5 GDPR.
In caso di Data Breach di un server contenete dati dei pazienti, per esempio, l’evento consiste in una violazione di riservatezza, dal momento che si è realizzato un accesso non autorizzato e nelle ore successive una divulgazione.
E questo quindi porta inevitabilmente all’obbligo di notifica al garante e alle implicazioni che questo iter può avere in termini finanziari.
Cosa potrebbe succedere adesso? A livello globale, i Data Breach nel settore sanitario costano agli ospedali miliardi ogni anno. Non dobbiamo dimenticare come solo pochi giorni fa in un rapporto del Ponemon Institute il settore della sanità si era classificato come ultimo nella lista che comprendeva i costi medi di una violazione dei dati (7,13 milioni di dollari per incident).
Sempre l’healthcare era fanalino di coda nel tempo medio per individuare e contenere una violazione (329 giorni).
Certo non esistono regolamenti che impongono agli ospedali di utilizzare le ultimi soluzioni di sicurezza né necessariamente di ottenere la certificazione ISO27001.
E quando si parla di cyber security e sanità rimane sicuramente il problema di bilanciare delicatamente la citata necessità di sicurezza con quella di dare accesso rapido a tutto ciò di cui necessitano agli operatori sanitari.
Un lavoro di bilanciamento reso ancora più arduo dopo il carico e lo sforzo fatto dalle strutture sanitarie durante lo zenit della Pandemia.
Con l’abbassarsi del livello di criticità della pandemia però, anche per chi al tempo si era trovato più impreparato, è stata data una seconda chance per agire.
La strada per intervenire a monte del problema esiste già e percorre tre vie parallele, dove le attività da adottare seguono tre differenti parametri della sicurezza informatica: preventiva; proattiva e predittiva.
I CISO, CIO e DPO si trovano davanti a una scelta, reimpostare come il concetto di Cyber Security è percepito all’interno delle proprie strutture o fare i conti con l'onda lunga del COVID…