La sicurezza IT nelle aziende sanitarie

di Alessia Valentini

scritto il

Aziende sanitarie pubbliche e private mira di attacchi informatici, allo scopo di acquisire informazioni sensibili da riutilizzare a fini illeciti: report Websense Security Labs e Clusit 2014.

Le aziende sanitarie stanno diventando obiettivo privilegiato degli hacker: i Security Labs di Websense denunciano, soltanto negli USA, un’escalation del 600% negli ultimi 10 mesi. La maggior parte degli attacchi sfrutta la vulnerabilità Heartbleed attraverso librerie OpenSSL senza patch, utilizzate dalla maggioranza dei servizi web e client. Per fare un esempio, la CHS – che gestisce più di 200 cliniche  – ha subito in questo modo il furto di dati di ben 4,5 milioni pazienti. E non sono da meno gli attacchi malware “Zeus gameover” e di comando e controllo del traffico server.Il problema è reso più grave dalla bassa priorità accordata alla sicurezza informatica in molte organizzazioni sanitarie: investendo poco, l’industria della Sanità sta inevitabilmente attirando gli attacchi. Gli ospedali proteggono male reti di comunicazione e informazioni digitali, esponendo cartelle cliniche e fascicoli amministrativi al furto di identità dei pazienti, anche allo scopo di perpetrare truffe assicurative in ambito sanitario,  soprattutto oltreoceano.

=> Speciale Sicurezza Informatica

Quanto accade negli USA è la cresta di un fenomeno in aumento anche in Europa e in Italia, come riportato nell’ultimo rapporto Clusit 2014. Anche da noi i dati sanitari personali possiedono un valore intrinseco prezioso a fini commerciali, sia per le assicurazioni sia per l’industria farmaceuticaIl rischio riguarda dunque tutto il tessuto connettivo di PMI fornitrici e partner delle strutture sanitarie. 

=>Sicurezza informatica per PMI: linee guida

Un caso esemplare: a gennaio è stato manomesso il database informatico dell’Ospedale Gradenigo di Torino mandando in black-out il sistema e rendendo illeggibili i dati dei pazienti: a nulla sono valsi i tentativi di restore dei back-up pregressi perché non era neppure chiaro da quanto i dati fossero in “disordine”. Risultato: l’azienda ha dovuto farsi interamente carico degli ingenti costi degli esami medici, tutti da ripetere. In Italia, l’obbligo di rendere noti episodi di questo genere grava sulle società di TLC ma evidentemente non sembra suscitare l’interesse di attori e stakeholder coinvolti nella gestione dei dati sanitari.

Raccomandazioni

L’emissione dei documenti di Quadro Strategico nazionale e Piano nazionale in materia di Cybersecurity ha permesso di evidenziare le priorità a cui prestare attenzione per tutelare la RID (Riservatezza, Integrità, Disponibilità) dei dati, ma i gap implementativi e operativi delle singole realtà sembrano ancora piuttosto estesi, complici i pochi fondi a disposizione e una non completa consapevolezza del problema, che forse risente della scarsa fruibilità degli strumenti di information-sharing a livello italiano, quali ad esempio il CERT nazionale. 

=> Il Piano di Governo sulla Sicurezza Informatica

Ecco alcune raccomandazioni fornite dalla AHA (American Hospital Association) e mutuabili in Italia:

  • Avviare procedure tramite un team interno per identificare e contenere i rischi, coinvolgendo la direzione.
  • Sviluppare un piano di analisi e azione in caso di incidenti, conformi a framework ufficiali.
  • Analizzare strumenti e attrezzature mediche utilizzati per assicurare che includano funzionalità di prevenzione e detection e non siano “infetti”.
  • Censire, testare, valutare e modificare il piano d’azione su incidenti intrusioni per assicurare che restino aggiornati in relazione allo scenario evolutivo delle minacce.
  • Considerare il coinvolgimento in organizzazioni nazionali e regionali per la condivisione di informazioni per restare aggiornati sui rischi specifici per la sanità.
  • Rivedere la copertura assicurativa per verificare che sia adeguata e appropriata ai rischi.

Per approfondimenti: Websense Security Labs; Clusit 2014