Perché le compagnie di assicurazioni sono cruciali per la sicurezza delle API nell'ecosistema sanitario

Con un solido accesso a dati clinici e finanziari, le compagnie di assicurazioni sono il nesso per la condivisione delle informazioni nell'ecosistema sanitario, un'operazione per la quale si affidano sempre più alle API (Application Programming Interface). Le API rendono possibile la condivisione dei dati tra enti sanitari, compagnie di assicurazioni, pazienti e altre terze parti, come i sistemi di cartelle cliniche elettroniche, le aziende produttrici di dispositivi medicali e lo scambio di informazioni sanitarie. 

La spinta verso l'interoperabilità migliora i risultati finanziari e la soddisfazione dei pazienti, ma implica anche alcuni compromessi, in particolare notevoli requisiti di conformità e considerazioni in materia di sicurezza. Criminali informatici e aggregatori attaccano e abusano di queste funzionalità, causando problemi di sicurezza e privacy.  

Per le compagnie di assicurazioni, gli attacchi alle API possono determinare un'interruzione dei servizi influendo sulle operazioni di registrazione e di richiesta, causando costosi problemi di downtime e danneggiando il brand dell'azienda. 

In questo blog, analizziamo le tendenze e i dati sulle minacce relativi agli attacchi alle API per comprendere l'entità dei rischi e per offrire le best practice più utili per la loro mitigazione.

La promessa di migliorare i risultati finanziari e clienti tramite lo scambio di dati e la necessità di conformarsi ai requisiti normativi che impongono il suddetto scambio vanno a braccetto. È importante comprendere entrambi gli aspetti e adottare di conseguenza l'approccio ottimale. 

Il passaggio verso un'assistenza basata sul valore (VBC), un approccio longitudinale che premia i risultati sanitari in base al numero degli appuntamenti, è un ottimo esempio della quantità e della varietà di informazioni che ora è necessario condividere. Le compagnie di assicurazioni hanno da tempo accesso ai dati finanziari di pazienti e di enti sanitari. Tuttavia, un maggior numero di punti dati VBC, come le ammissioni ospedaliere e l'adesione alle terapie, richiede una continuità non solo più innovativa, ma più interoperabile, oltre ad un mezzo per condividere questi dati: le API sono il punto di contatto. 

Attualmente, non esistono normative che regolano nello specifico l'utilizzo o la sicurezza delle API, ma solo alcuni regolamenti che includono i requisiti delle API, come il regolamento generale sulla protezione dei dati (GDPR) dell'Unione europea, la direttiva rivista relativa ai servizi di pagamento (PSD2) dell'Unione europea e ilPCI DSS(Payment Card Industry Data Security Standard).  

I requisiti per le API sono in rapida evoluzione, In particolare, il PCI DSS v4.0 pubblicato a marzo 2024 include nuovi standard sull'utilizzo delle API per lo sviluppo e la manutenzione di sistemi e software al fine di ridurre il rischio di incorrere in problemi di violazione. 

Inoltre, una nuova regola di interoperabilità e autorizzazione preventiva CMS richiede alle compagnie di assicurazioni di mantenere tre categorie di API principali.

1. API di accesso ai pazienti: aumenta l'accesso dei pazienti ai propri dati sanitari e può migliorare la soddisfazione dei pazienti.

2. API di ricerca degli enti sanitari: consente ai pazienti di cercare strutture ed enti sanitari nella loro area geografica e in base alla specializzazione medica richiesta, migliorando l'accesso all'assistenza sanitaria

3. API per i rapporti tra le compagnie di assicurazioni e con gli enti sanitari: possono aiutare a risolvere e a ridurre le lacune nell'assistenza sanitaria, tagliando sui servizi costosi e ridondanti

Lo scopo principale è ridurre il costoso onere delle operazioni amministrative, specialmente l'elaborazione manuale delle autorizzazioni preventive che implica per i pazienti la necessità di attendere l'approvazione di alcune procedure sanitarie da parte della loro compagnia di assicurazioni prima di poter procedere. Eventuali ritardi possono influire in modo negativo (e spesso costoso) sull'assistenza sanitaria. 

Le performance stanno diventando una preoccupazione sempre più sentita poiché i pazienti si aspettano di trovare lo stesso livello di user experience in tutte le loro applicazioni.  Pertanto, l'ecosistema sanitario deve essere protetto dagli attacchi DoS (Denial-of-Service), nonché dagli episodi di violazione.  

L'elevato utilizzo di API nelle compagnie di assicurazioni offre enormi vantaggi, ma introduce anche dei rischi. La proliferazione delle API può condurre ad una mancanza di visibilità che diventa più complicata man mano che la superficie di attacco si espande. Le API fanno spesso parte di complessi progetti di trasformazione digitale, quindi potrebbero non venire considerate dagli enti sanitari e, ancor meno, dai programmi di sicurezza. Esistono, tuttavia, alcuni eccellenti standard di riferimento, come l'elenco OWASP (Open Web Application Security Project) con i 10 principali rischi per la sicurezza delle API. 

A complicare ulteriormente le sfide per le compagnie di assicurazioni, i tipi di dati (sanitari e finanziari) coinvolti nelle attività aziendali quotidiane sono altamente regolamentati e vulnerabili ai criminali informatici.

La sicurezza delle API è ora più importante che mai dal punto di vista della gestione dei rischi e della conformità. Tuttavia, a causa della proliferazione delle API, è sempre più complesso identificare, catalogare e proteggere le API del settore sanitario.

L'adozione di un solido programma di sicurezza delle API vi aiuta a migliorare la visibilità su tutte le API e a comprendere la vostra esposizione ai rischi in modo da consentirvi di migliorare il livello di protezione del vostro sistema. Ecco i quattro passaggi strategici che consentono di realizzare un solido programma di sicurezza delle API.

1. Eliminare i punti ciechi delle infrastrutture individuando sistematicamente le API ombra o non autorizzate e garantire che ciascuna di esse sia stata dismessa o incorporata nei relativi controlli di sicurezza.

2. Stabilire e rafforzare il proprio livello di rischio analizzando i tipi di avvisi comuni e correggendo eventuali difetti presenti nel codice delle API, risolvendo i problemi di configurazione errata e implementando i processi necessari per prevenire future vulnerabilità in base alle lezioni apprese.

3. Rafforzare il sistema di risposta e rilevamento delle minacce definendo i comportamenti normali e identificando potenziali abusi in base ai picchi osservati nel numero di avvisi di sicurezza delle API, quindi, attuare procedure di risposta ben definite per abbassare il numero di rischi e avvisi ai livelli normali.

4. Sviluppare una strategia di contrattacco più solida stabilendo una disciplina di ricerca delle minacce alle API formale con l'obiettivo di identificare possibili minacce prima che possano raggiungere uno scenario reattivo.

La trasformazione non si fermerà mai, ma ora è il tempo di tenere sotto controllo le API. Le aziende sanitarie con caratteristiche di resilienza hanno bisogno di funzionalità tali da fornire la consapevolezza della situazione, facilitare le indagini e attuare una risposta rapida.