Sicurezza informatica nel settore sanitario: Risultati, diagnosi, terapia
Il settore sanitario è ancora uno dei settori più frequentemente attaccati dagli hacker. È quindi il momento di recuperare i compiti a lungo rimandati per affrontare le nuove esigenze e i rischi di un sistema sanitario digitalizzato e protetto. Tecnologie di sicurezza informatica complete e partner forti possono avviare la terapia che sembra più necessaria che mai, soprattutto in vista dell'attuale situazione di crisi.
L'informatica e la tecnologia complesse, spesso obsolete ed eterogenee, così come la mancanza di una strategia di sicurezza, rendono gli ospedali, per esempio, un obiettivo redditizio e ricattabile per gli hacker. Perché il fallimento del sistema non è un'opzione qui. Il bottino di dati è altrettanto ambito: a seconda di quanto siano complete le informazioni, le cartelle cliniche possono costare fino a 1.000 dollari USA sulla darknet. Solo i passaporti statunitensi sono più costosi, con un prezzo unitario da 1.000 a 2.000 dollari.
Mancanza di sicurezza informatica: conseguenze della pressione dei costi
Inoltre, la maggior parte delle vittime del settore sanitario è spesso completamente impreparata. Oltre alla mancanza di denaro, la ragione principale qui è la mancanza di personale, quando per esempio in Germania a volte due impiegati sono responsabili dell'intera amministrazione IT di tre diversi ospedali e non hanno quasi nessun budget. È probabile che la pressione sui costi aumenti
Inoltre, le richieste sull'IT stanno aumentando in un sistema sanitario che deve essere digitalizzato. La crisi attuale e la situazione di pericolo in particolare mostrano che gli ospedali devono essere trattati sempre più come un'infrastruttura critica. Nell'amministrazione, i requisiti crescenti in termini di protezione dei dati stanno aumentando gli ostacoli alla sicurezza dei dati. Le regole di conformità devono essere sempre più rispettate - dalle certificazioni DSGVO e ISO alle linee guida radio per i dispositivi tecnici.
Sintomi
La sicurezza informatica nel settore sanitario soffre ancora dei seguenti sintomi:
- Ransomware: Gli ospedali, in particolare, non possono stare a guardare gli attacchi estorsivi che criptano i dati o bloccano i sistemi se vogliono continuare a curare i pazienti. Gli attaccanti saranno ancora più aggressivi in futuro: Da un lato, attraverso attacchi automatizzati all'IT impreparato e, dall'altro, attraverso attacchi più mirati di Ransomware-as-a-Service (RaaS) iniziati con l'ingegneria sociale ai decisori delle risorse umane, dell'amministrazione e della contabilità.
- Rischi dei dispositivi in rete: Nella sanità, il numero di dispositivi medici IoT e OT collegati in rete sta crescendo a passi da gigante. Tuttavia, questo vettore d'attacco è ancora spesso trascurato e i dispositivi in rete sono integrati nelle reti senza la dovuta attenzione. Gli hacker conoscono anche i rischi specifici di questo hardware: sanno come scoprire le password hard-coded della maggior parte dei dispositivi - e possono penetrare la rete attraverso di esse. Spesso non è nemmeno possibile impedire agli utenti non autorizzati di accedere ai dispositivi. Sorprendentemente spesso vengono utilizzati dispositivi che sono solo scarsamente certificati. Anche i sistemi con sistemi operativi obsoleti e non più supportati creano nuovi rischi nel tempo.
- Mancanza di visibilità dell'hardware: Molte organizzazioni non hanno in mente l'IT nella sua totalità. Per esempio, la cifratura dei server dell'ospedale Lukaskrankenhaus di Neuss (questo attacco informatico del 2016, divenuto pubblico in tutta Europa, ha provocato un danno di 900.000 euro; ndr) è stato possibile solo perché un vecchio client invisibile aveva i diritti di amministratore e quindi ha permesso al malware di diffondersi ulteriormente. Con IoT e OT, questo pericolo è ancora più fondamentale perché la maggior parte di questi dispositivi non sono soggetti all'accesso delle organizzazioni IT interne.
- Le vulnerabilità di sicurezza zero-day continuano ad aumentare: Log4j ha dimostrato che le vulnerabilità zero-day possono ancora causare grandi danni e minacciare innumerevoli aziende. L'industria sanitaria è più suscettibile a tali vulnerabilità, e la mancanza di consapevolezza può portare ad un maggiore sfruttamento di queste lacune.
Proposte di terapia per una maggiore sicurezza informatica
Chi vuole garantire la sicurezza dei sistemi e la salute dei pazienti dovrebbe e può girare diverse viti:
- Protezione di tutti i dispositivi: Una soluzione XDR (extended detection and response) protegge non solo gli endpoint abituali, ma anche i dispositivi sui quali - come nel caso dell'IoT - non c'è la possibilità di installare agenti o questi sono fuori dal controllo dei manager IT.
- Gestione e valutazione continua delle vulnerabilità di sicurezza: I controlli di due diligence e la valutazione e gestione delle vulnerabilità sono elementi chiave per scoprire e chiudere le lacune potenziali ed esistenti prima che gli aggressori le sfruttino.
- Isolamento dei segmenti di rete: Questo permette di limitare i danni. Chi separa rapidamente le aree della rete l'una dall'altra può, per esempio, impedire l'ulteriore diffusione del ransomware.
- Gestione dell'identità: Questo può ridurre il rischio di cattiva condotta del personale. Questo è particolarmente importante data la dimensione di molte istituzioni e il numero di personale che spesso non è particolarmente esperto o consapevole della sicurezza informatica.
- Test di penetrazione: Testano la reattività delle vostre difese IT e aiutano a identificare le parti vulnerabili dell'organizzazione o del personale e a identificare le aree in cui la risposta agli incidenti può migliorare. (Maggiori informazioni sui test di penetrazione mostrano questo - addebitabile - articolo; nota dell'editore)
Prescrivere a competenze esterne
Gli amministratori IT nel settore sanitario non solo sono sovraccarichi di lavoro, ma spesso mancano anche delle competenze necessarie o del tempo per costruire tali competenze. Spesso non si occupano nemmeno di sicurezza informatica e reagiscono a incidenti concreti. Un'analisi delle anomalie nel comportamento degli endpoint è di solito ancora più impossibile per loro.
- Selezione dei partner: L'aiuto può quindi provenire solo da partner con l'appropriata conoscenza della sicurezza IT e del settore. Per esempio, quando si cambia fornitore. Molti dipartimenti IT non sanno quanto sia stata completa la disinstallazione del vecchio sistema e quanti client devono ancora essere riconfigurati manualmente. Questo perché i set di regole appena creati possono avere effetti spiacevoli per tutte le parti coinvolte nell'operazione dal vivo, le cui cause devono poi essere analizzate e risolte in un modo che richiede tempo. È qui che i partner possono contribuire con la loro esperienza e accompagnare intensamente i processi di roll-out per ridurre al minimo questo lavoro e poter reagire prontamente. Un rivenditore a valore aggiunto gioca un ruolo importante qui e può essere mostrato separatamente nei conti come voce di servizio nel bilancio.
- Analisti della sicurezza: I servizi di rilevamento e risposta gestiti (MDR) sono altrettanto importanti. Specialmente gli ospedali più grandi con sistemi molto complessi, che avrebbero bisogno di un SIEM o ISMS (Security Information and Event Management o Information Security Management System) per motivi di conformità, possono affittare le tecnologie e le risorse necessarie a basso costo con un Security Operation Centre esterno nel quadro di un servizio MDR. Questo è sempre più conveniente e allo stesso tempo più efficiente che acquistare e gestire questa tecnologia da soli. E oltre a questo, MDR offre l'esperienza, la consulenza e il supporto attivo degli analisti di sicurezza.
Autore:
Jörg von der Heydt è direttore regionale DACH presso Bitdefender