Aiutare la sanità a vincere un'altra grande battaglia: gli attacchi informatici

Chi lavora nelle aziende spesso sente frasi del tipo "costruire l'aereo mentre si sta volando". Dopo la follia degli ultimi 19 mesi, molti di noi hanno preso dimestichezza con questa espressione, diventando piloti e ingegneri delle nuove realtà da un giorno all'altro.

Ma pochi hanno vissuto tutto questo come chi lavora nel settore sanitario. Non solo hanno costruito l'aereo mentre stavano volando, ma hanno anche cambiato itinerari di volo, usato aeroporti diversi e formato il personale durante il volo. In altre parole, hanno compreso come attivare lo smart working, come espandere esponenzialmente la cura virtuale e come sviluppare un vaccino, il tutto mentre gran parte del personale faceva straordinari in condizioni rischiose, per prendersi cura di centinaia di migliaia di persone gravemente malate. 

Prendiamoci un momento per celebrare questa incredibile ondata di innovazione nel settore sanitario. Questo settore ha trasformato la rigidezza normativa, i debiti tecnici e lo scetticismo industriale esistenti da anni in esperienze digitali e in un servizio di continuità assistenziale per miliardi di persone.  

E un altro punto è questo. Gli ospedali hanno ottenuto questi risultati nonostante fossero colpiti da un numero sempre maggiore e vario di attacchi informatici. Sì, nel pieno della pandemia, il settore sanitario ha dovuto combattere su un altro fronte, che ha creato un'altra banda di eroi. 

Come il personale dell'University of Florida Health. Quando l'UF Health è stata colpita da un evento di cybersicurezza su una parte della sua rete lo scorso giugno, il suo personale aveva bisogno di contattare le farmacie per compilare le informazioni sui farmaci mancanti. Si sono dati da fare per trovare nuovi percorsi di cura usando medici esterni. Ed Jimenez, CEO di uno degli ospedali colpiti, ha dato il giusto riconoscimento ai suoi dipendenti per aver guidato l'ospedale fuori dalla crisi. "I nostri dipendenti dedicati sono davvero i nostri eroi, perché hanno raccolto la sfida di ripristinare il normale funzionamento, spesso sacrificando il tempo con le persone care, per lavorare ore in più".

Gli attacchi malware sfruttano il flusso della pandemia

Secondo un rapporto stilato dall'HHS, il dipartimento della salute e dei servizi umani degli Stati Uniti e una ricerca condotta da IBM, il settore sanitario ha registrato un aumento del 50% nel numero di attacchi informatici dall'inizio della pandemia, e questi attacchi sono stati i più costosi, con un costo medio di 7,13 milioni di dollari per incidente. Secondo i dati di IBM, la minaccia più comune è stata rappresentata dai ransomware, in quanto i malintenzionati sfruttavano la necessità di ripristinare velocemente i sistemi di ospedali e strutture sanitarie, seguiti dal furto di dati e dall'accesso ai server. In particolare, le strutture sanitarie sono un bersaglio allettante per i criminali perché è possibile vendere sul dark web le cartelle cliniche elettroniche a 1.000 dollari ciascuna,rispetto ai dati delle carte di credito che vengono venduti a circa 110 dollari o ai numeri di previdenza sociale venduti a 1 solo dollaro ciascuno. 

"I sistemi degli ospedali erano già fragili prima della pandemia", ha dichiarato Josh Corman, direttore della task force per il COVID-19 della CISA (Cybersecurity and Infrastructure Security Agency). "Poi gli attacchi ransomware sono diventati più variegati, aggressivi e con richieste di pagamenti più elevate". Nell'autunno del 2020, quell'aggressione ha suggerito un avviso congiunto sulla sicurezza informatica emesso dalla CISA, dall'FBI (Federal Bureau of Investigation) e dall'HHS, il dipartimento della salute e dei servizi umani, che avvisava, in modo specifico, i leader delle aziende sanitarie riguardo agli imminenti attacchi ransomware e consigliava un approccio basato sui backup, ossia di salvare tre copie di tutti i dati critici in almeno due diversi formati, con una copia offline, fuori dalla portata di un eventuale codice dannoso.

Tuttavia, per molte aziende sanitarie, seguire quell'avviso crea un altro difficile compromesso finanziario. Secondo Stephen Lopez, PhD, MBA e Senior Director dell'Information Security presso l'Association of American Medical Colleges (AAMC), le organizzazioni sanitarie tendono a rimandare gli investimenti in sicurezza informatica. "Può essere difficile dirottare le risorse verso la sicurezza informatica", ha affermato, "se va a discapito dei servizi ai pazienti. Ma, in questo ambiente, i servizi ai pazienti sono a rischio se le organizzazioni rimandano la protezione dai ransomware". Concorda la CISA, notando nel suo rapporto sulle informazioni mediche 2021 che, quando l'infrastruttura che supporta la delivery di servizi sanitari viene attaccata o tenuta in ostaggio, le operazioni degradano rapidamente, soprattutto in caso di crisi e urgenze.

Istruire lo staff a tutti i livelli delle aziende sanitarie è la chiave per difendersi. "Migliorando le "norme igieniche" basilari del personale riguardo alle e-mail di phishing, è possibile evitare o mitigare la maggior parte degli attacchi malware", aggiunge Lopez. Raccomanda di creare un programma formativo che mostri esempi reali dell'aspetto che hanno i messaggi degli attacchi ransomware, ricordando al personale di fermarsi e riflettere prima di rispondere a qualsiasi richiesta urgente di dati sensibili.

Le decisioni sugli investimenti in sicurezza dipendono dallo storage e dall'accesso ai dati 

Anche con la pandemia che miete ancora troppe vittime, i leader delle aziende sanitarie devono affrontare questa battaglia aggiuntiva. Allora, da dove iniziare? Ad alti livelli, le principali priorità in termini di sicurezza informatica sono proteggere i punti di accesso dai ransomware (oltre a formare lo staff al rilevamento del phishing); ridurre l'esposizione delle informazioni sanitarie protette (PHI) disponibili nelle cartelle cliniche elettroniche e della proprietà intellettuale riguardo alla produzione di farmaci; e proteggere le tecnologie di connettività che consentono la condivisione di tali informazioni con sistemi, partner e fornitori esterni (ad esempio il CDC e altri dipartimenti della salute).

Molte aziende sanitarie hanno spostato le cartelle elettroniche, la proprietà intellettuale e altri dati medici nel cloud per ottimizzare la flessibilità, l'accessibilità e la velocità di recupero. Ma poiché la migrazione nel cloud è avvenuta troppo rapidamente e senza una robusta pianificazione organizzativa, le informazioni sulla salute dei pazienti e altri dati sensibili sono spesso ospitati in ambienti cloud multi-vendor, che possono essere, a loro volta, indeboliti da configurazioni errate. 

Questo elenco tutt'altro che esaustivo mette in evidenza la quantità di dati necessari per garantire un'assistenza continua e ridurre le potenziali dimensioni della superficie delle minacce di un'organizzazione.

• Cartelle cliniche elettroniche (EHR): cartelle cliniche, anamnesi, esami da laboratorio e dei test, e altri dati

• Registri dei pazienti e delle malattie: database contenenti i risultati clinici dei pazienti che condividono una diagnosi o condizione specifica

• Dati sulle richieste di rimborso: dati sui codici di fatturazione inviati dalle strutture sanitarie alle compagnie assicurative 

• Indagini sanitarie: dati raccolti da aziende sanitarie pubbliche per valutare i rischi per la salute pubblica, usati anche per formare le politiche e le pratiche sanitarie 

• PACS (Picture Archiving and Communication System): dati generati da un dispositivo per l'imaging medico (ad esempio quelli per la TAC e la risonanza magnetica) archiviati per l'accesso da parte di medici, ricercatori o altro personale medico autorizzato

• Dati sugli studi clinici: dati relativi ai risultati di studi clinici, privati o pubblici, usati per lo sviluppo di dispositivi medici, prodotti farmaceutici e altre innovazioni

I CSO del settore sanitario stanno cercando di ridurre quell'area di minaccia e accogliere il suggerimento dell'approccio basato sui backup evidenziato nell'avviso federale, ossia salvare tre copie in almeno due formasti diversi, con una copia offline, e stanno guardando sempre più a un approccio ibrido. L'archiviazione dei dati on-premise offre loro un maggior controllo sulla sicurezza, ma può essere costosa e difficile da espandere quando necessario, soprattutto con l'esplosione corrente di dati sanitari e la trasformazione digitale in atto nelle cure, entrambe spinte dalla pandemia. L'archiviazione dei dati nel cloud pubblico è più economica, ma le organizzazioni rischiano interruzioni e mancanza di trasparenza nel modo in cui i dati vengono protetti. 

Un approccio ibrido consente di tenere i dati sensibili on-premise e di archiviare quelli meno sensibili nel cloud. Ma anche questo approccio non è perfetto, in quanto è necessario mettere in atto la sicurezza per proteggere il trasferimento dei dati tra due tipi di archiviazione e garantire che l'accesso sia limitato a coloro che sono autorizzati a trasferire e visualizzare i dati. Passare ai 7 requisiti chiave per implementare un'architettura di accesso alla rete Zero Trust aiuta le istituzioni a proteggere i loro dati, concedendo agli utenti l'accesso solo alle applicazioni di cui necessitano per il loro ruolo, con un'ulteriore sicurezza offerta dall'autenticazione multifattore (MFA). 

Spingere sanità fuori dalla crisi 

Le strutture sanitarie stanno costruendo le loro esperienze digitali del 21° secolo e Akamai è onorata di aiutarli a entrare in questa nuova era online dell'assistenza sanitaria con metodi innovativi per supportare i pazienti e offrire ottimi risultati a livello sanitario ovunque e in qualsiasi momento. 

Leggete ulteriori informazioni su come Akamai può aiutare il settore sanitario.