Il mondo della sanità presenta un carico di lavoro davvero pesante, tuttavia questo non giustifica la messa in secondo piano di altre problematiche che affliggono questo ambito e che sono legate principalmente alla protezione e alla sicurezza dei dati informatici.
Numerose statistiche hanno evidenziato come il settore della sanità abbia rispetto ad altri una probabilità doppia di subire perdite di dati o essere bersaglio di attacchi informatici. Difatti, solo nei primi nove mesi del 2019, gli attacchi informatici alle strutture di questo tipo sono aumentati del 60%.
Bisogna considerare che anche l’ambito bancario e finanziario sono esposti a questi rischi, ma nel mondo della sanità la posta in gioco è ben più alta a causa dell’elevato valore dei dati relativi ai pazienti. In questo contesto, i tre parametri fondamentali del campo informatico, cioè riservatezza, integrità e disponibilità, possono avere un impatto diretto sull’attuazione delle cure e, in casi estremi, un attacco informatico può portare perfino alla perdita di vite umane.
L’analisi delle più recenti tecniche di attacco ha portato quindi ad una valutazione semplice e allo stesso tempo preoccupante: le strutture sanitarie non possono ritenere che gli utenti, le apparecchiature elettroniche ed altri soggetti coinvolti nella cura dei pazienti, siano davvero affidabili. È questo il concetto alla base di un’espressione, che oggi diventa sempre più frequente e conosciuta dai responsabili dei sistemi informatici, vale a dire “zero trust”.
I motivi per cui gli organismi sanitari sono più esposti ai rischi informatici sono evidentemente legati all’esistenza di sistemi ormai superati, alla mancanza di personale informatico debitamente preparato, alla presenza di dati anche personali di grande valore ed anche alla disponibilità a pagare riscatti, a fronte dei rischi della salute che potrebbero essere legati alla perdita o alla inaccessibilità dei dati.
Un approccio “zero trust”
A fronte di questa situazione di sfiducia e difficoltà, i professionisti di sicurezza informatica hanno proposto le seguenti linee guida, per guidare i loro omologhi nel campo sanitario all’applicazione di una metodologia zero trust. Vediamo quali sono.- La rete deve sempre essere ritenuta non affidabile.
- Nell’arco delle ventiquattrore sono costantemente presenti minacce interne ed esterne al sistema.
- L’ubicazione dell’apparato informatico non garantisce mai piena affidabilità.
- Ogni apparato, utente e flusso di dati deve essere autenticato ed autorizzato.
- Le politiche di sicurezza devono essere sempre dinamiche e aggiornate, sulla base di un’analisi dettagliata riguardante gli scenari di attacco, rilevati a livello mondiale.
- Gli applicativi, i sistemi operativi, le piattaforme e gli hardware sono obsoleti e non aggiornati.
- Gli apparati medici non vengono progettati per soddisfare le esigenze di sicurezza informatica.
- L’inaffidabilità dei rapporti informatici con organizzazione terze, come ad esempio i laboratori di analisi, le cui caratteristiche di sicurezza dei sistemi informativi sono spesso ignote.
- Un’insufficiente preparazione del personale coinvolto che, durante la gestione quotidiana, viene costantemente aggiornato sugli aspetti sanitari ma quasi mai sugli aspetti di cyber security.