CompuGroup Medical
Synchronizing Healthcare

Scopri tutto sulla visione, la missione e le persone che danno forma a CompuGroup Medical in tutto il mondo.

Investor Relations
Eine Person tippt mit dem Finger auf ein Tablet-PC mit einer Investor-Relations-Präsentation
Carriera
CGM Global
Mehrere CGM-Flaggen

Sette buone pratiche per difendere il tuo Studio dal cybercrimine.

5 novembre 2020 | CompuGroup Medical Italia
Sette buone pratiche per difendere il tuo Studio dal cybercrimine

Una delle sfide più ambiziose, oggi, per studi medici e poliambulatori è quella legata alla sicurezza informatica e alla salvaguardia dei dati sanitari. Ecco sette consigli per non cadere nelle trappole più comuni dei maleware e del phishing.
 

In mercati fortemente connessi (e complessi), le aziende di praticamente tutti i settori sono costrette a ricorrere a sistemi di protezione digitale per difendere i propri dati da attacchi esterni.
Da qualche anno, questo vale anche per il settore sanitario che fino a poco fa era stato ignorato dagli attacchi degli hacker.

Se da un lato, infatti, si moltiplicano gli strumenti innovativi per la gestione quotidiana di tutte le attività legate a studi medici e poliambulatori, dall’altro non si possono tacere i rischi sul piano della sicurezza: furto di dati sensibili (con o senza richieste di riscatto), frodi, sabotaggi.
L’azienda che decide di digitalizzarsi deve quindi predisporre delle soluzioni di cybersecurity e adeguati servizi di back up e di salvaguardia delle reti informatiche.
Facciamo un rapido punto della situazione.

 

Attacchi informatici nel settore sanitario: dati allarmanti

Basta un click “sbagliato” e i dati dei vostri pazienti, ovvero tutte le informazioni sensibili di carattere sanitario, a cui si aggiungono quelle relative a dati anagrafici, codice fiscale, estremi di documenti, conti correnti bancari, eventuali strumenti di pagamento utilizzati, vengono “bucati”: riescono ad arrivare nelle mani degli hacker che li gestiscono per una serie di scopi, ovviamente non legali, e comunque riconducibili a finalità di lucro.

Per avere contezza della portata del fenomeno – tecnicamente viene definito data breach – è utile leggere il report di Verizon che contiene una fotografia con riferimento all’anno 2018: emerge che il 24% di questi furti digitali totali ha avuto come bersaglio il settore sanitario.
Per quale motivo vengono attaccate le strutture che operano nel settore dell’healthcare? Lo stesso rapporto svela che tre attacchi su quattro, sono posti in essere per un movente di natura economico-finanziaria. In altre parole, consentono di fare soldi: le informazioni mediche acquisite illegalmente sono molto richieste nel mercato nero.

C’è una parte di attacchi organizzata e realizzata solo per divertimento: il 13 per cento, stando a quanto si legge nel rapporto Verizon. Da ultimo, non vanno dimenticati gli attacchi legati allo spionaggio industriale o da parte di concorrenti disonesti.
A conferma di questo spiacevole trend, la Direttiva NIS (Network and Information Security, recepita con il decreto legislativo n.65/2018) ha incluso la sanità nei sei settori strategici e ha individuato in questo settore la maggioranza dei 465 OSE (operatori di servizi essenziali) elencati.

 

Pericoli a portata di click: ransomware e phishing

A questo punto, è utile chiedersi quali sono i metodi attraverso i quali vengono realizzati attacchi di questo tipo. I più diffusi, sono quelli attraverso i ransomware: rappresentano l’85 per cento dei malware nel settore della sanità. I ransomware sono virus del riscatto (traduzione letterale dall’inglese all’italiano): quando un dispositivo viene attaccato, si blocca, finisce sotto sequestro e resta in ostaggio sino a quando non avviene il pagamento del riscatto richiesto.

Si tratta di una tecnica non nuova, in realtà, dal momento che si fa risalire il primo attacco di questo tipo alla fine degli anni Ottanta. E’ negli ultimi anni che i ransomware sono arrivati sulla ribalta mondiale: nella primavera 2017, WannaCry, ha infettato centinaia di migliaia di computer nel giro di poche ore e ha compromesso il normale funzionamento di uffici pubblici, aziende e anche ospedali.

Lo strumento di più facile trasmissione dei virus è costituito dalla posta elettronica, attraverso il phishing: è uno stratagemma per indurre gli utenti a rivelare con l’inganno informazioni personali o finanziarie attraverso un’email o un sito Web, oppure messaggi su Whatsapp e Facebook, anche sotto forma di banner pubblicitari. La notifica sembra arrivare da una fonte meritevole di fiducia, come può esserlo una banca oppure un ipermercato o ancora un amico e contiene l’invito ad aprire il messaggio. Tanto basta per far scattare la frode.

I rischi per la reputazione dello studio

Il pericolo, quindi, c’è e non va sottovalutato, altrimenti si compromette in maniera irrimediabile il rapporto strettamente fiduciario tra medici (compresi i dentisti) e i pazienti. Proviamo a metterci dalla parte dei pazienti, anche solo potenziali e poniamoci questa domanda: si rivolgerebbero mai al nostro ambulatorio, se la struttura è stata bersaglio di attacchi? Prima o poi, verranno a conoscenza dell’attacco, e allora sapranno che il nostro studio non adopera adeguati strumenti di sicurezza informatica.

A quel punto, faranno le proprie valutazioni, e il rischio è che possano arrivare a una decisione: interrompere qualsiasi tipo di rapporto con il nostro studio. Il motivo è presto detto: i pazienti non si fideranno più della nostra struttura perché sarà valutata come vulnerabile e non affidabile. Questa valutazione ha un’ulteriore conseguenza negativa per il medico: incide sulla reputazione della struttura, sulla professionalità del personale che vi lavora, sulla credibilità. Anni di lavoro finiscono al vento.

Tre parole chiave per difendere le proprie informazioni

Alla luce di questa premessa, appare evidente quanto sia indispensabile applicare la massima tutela alla gestione e alla conservazione dei dati sanitari, a maggior ragione in considerazione di quanto stabilito dal legislatore europeo con la normativa di protezione dei dati, entrata in vigore il 25 maggio 2018 (il GDPR, regolamento europeo 2016/679).

Con il Regolamento europeo è stata posta in essere una modifica della prospettiva in materia di privacy perché si è passati dalla semplice protezione alla più complessa attività di governance dei dati.

Tre sono le parole chiave, ciascuna delle quali è espressione di una esigenza precisa, rispetto a possibili attacchi cyber:

• PRIVACY
• SECURITY 
• SAFETY

Con il termine privacy, si indica la necessità di avere dati al riparo da sguardi indiscreti, non necessariamente malevoli, ma certamente non autorizzati. Quando si parla di security, si fa riferimento alla protezione da lesioni, situazione che rapportata in termini cyber, rimanda all’esigenza di avere dati al sicuro nei confronti di possibili attaccanti. Infine, con safety, si fa riferimento alla protezione da danni accidentali e, quindi, l’esigenza di avere dati al sicuro, qualora dovessero esserci perdite o comunque danneggiamenti.

Le sette buone pratiche per la cybersecurity

A questo punto, la domanda è d’obbligo: cosa può e deve fare uno studio medico in termini di cybersecurity? Quali sono le buone pratiche che si possono seguire senza essere degli addetti ai lavori o degli esperti? Possiamo elencare alcuni consigli, quanto mai attuali e aderenti alle peculiari necessità del settore sanitario.

1) Definisci preventivamente i tuoi rischi
La prima regola impone la definizione del perimetro di sicurezza digitale, vale a dire l’individuazione delle aree ritenute a maggior rischio di attacco e quindi vulnerabili. Si tratta di norma dell’insieme dei pc, router, server, linea dati, periferiche, ecc. Effettuare questa preventiva analisi dei rischi significa individuare i propri punti deboli ed essere in grado di formulare un preciso piano di sicurezza informatica aziendale per la concreta gestione della cybersecurity.

2) Fai formare il tuo personale
Si tratta di investimenti indispensabili. Troppi collaboratori amministrativi e infermieristici di studi medici privati non sono all’altezza in termini di aggiornamento professionale. L’informatica non può più essere un plus: va considerata invece una competenza indispensabile (oltre che obbligatoria, per la nuova normativa GDPR); chi utilizza dati sensibili deve disporre di adeguata formazione rispetto ai sistemi di archiviazione e consultazione.

3) Non aprire email rischiose
Non va dimenticato un ulteriore aspetto, oltre a quello legato alla formazione: la sensibilizzazione dei dipendenti alle tematiche della prudenza rispetto alla cyber security. Molto spesso, l’attacco degli hacker riesce perché qualcuno ha aperto un’email o ha cliccato su un messaggio pubblicitario o ha scaricato un programma, di fatto andando ad aprire la porta al virus. Con un po’ di cautela, il grosso dei pericoli può essere scongiurato.

4) Usa solo software sicuri
Le apparecchiature dello studio devono essere esclusivamente riservate al lavoro. Assolutamente da bandire i download di programmi ludici o per il tempo libero. L’installazione di un software deve avvenire solo ed esclusivamente se si tratta di fonte sicura. Anche per gli antivirus sconsigliamo soluzioni troppo economiche o poco autorevoli. Bisogna poi ricordarsi di eseguire con regolarità le scansioni. Si tratta di una misura semplice ma estremamente efficace, in grado di ridurre al minimo i rischi derivanti dalla presenza di virus informatici.

5) Esegui regolari backup dei dati aziendali
Effettuare con regolarità il salvataggio di tutti i dati è una pratica spesso trascurata, ma che può rivelarsi un vero salva-vita per i poliambulatori oggetto di attacco. Poter ripristinare con relativa facilità tutte le informazioni recenti, garantendo continuità all’attività lavorativa, rappresenta una dimensione fondamentale della sicurezza informatica. È naturalmente indispensabile archiviare offline questi backup (su supporto fisico, come degli hard disk), in modo da poter riottenere i propri dati anche in caso di presenza di un malware.

6) Un po’ di fantasia nelle password
Sembra banale, ma un classico consiglio di chi si occupa professionalmente di sicurezza informatica è di scegliere password e PIN che non contengano informazioni facili da ipotizzare da parte di un malintenzionato. Primo criterio è la lunghezza: più la frase segreta è lunga è meglio è. Meglio poi utilizzare lettere maiuscole e minuscole, integrandole con numeri e simboli. Per quanto riguarda l’accesso a smartphone o tablet è meglio utilizzare il log-in tramite impronta digitale o riconoscimento facciale. Altri consigli: usare i software di tipo “password manager”, in grado di memorizzare le parole chiave criptandole con codici specifici e selezionare (ove possibile) l’autenticazione a due fattori (oltre alla password, viene inviato un codice univoco sul telefono personale dell’utente).

7) I software vanno sempre aggiornati
Sicurezza vuol dire utilizzare sempre le ultime versioni dei sistemi operativi in uso ed eseguire regolarmente tutti gli aggiornamenti di sicurezza. L’utilizzo di vecchi sistemi operativi rende l’utente vulnerabile.