Gestione del rischio e della continuità nel settore sanitario

Cosa significa per la gestione del rischio e della continuità nel settore sanitario quando esistono lacune di sicurezza nel processo dei dati e i computer e le attrezzature mediche dell'ospedale possono essere attaccati a qualsiasi ora, è stato dimostrato ancora una volta alla quinta conferenza "Information Security in Healthcare".

A differenza degli attacchi Ransomware e WannaCry che hanno tenuto gli utenti finali e le imprese di tutto il mondo sul filo del rasoio nel 2017 (vedi, ad esempio, Gestione e qualità di maggio 2017 e il post su "WannaCry" Attack - No Breathing a Breath Yet"), nel 2018 non ci sono state epidemie così grandi e onnicomprensive di per sé, tranne il malware Emotet.

Nel novembre 2018, per esempio, una clinica di Fürstenfeldbruck, in Baviera, è stata completamente congelata dal virus Emotet.

La clinica ha dovuto arrangiarsi senza computer; indirizzare le ambulanze verso altri ospedali. Come abbiamo appreso all'inizio della conferenza, un'altra forma più perfida di malware domina ora la scena. Questo mina l'intera integrità di una struttura sanitaria in modo piuttosto insidioso, ma a volte può anche bloccare l'intera operazione.

Ospedali al centro di attacchi

Gli autori di malware hanno concentrato la loro attenzione sugli ospedali, soprattutto nella seconda metà del 2018 - soprattutto a causa della massimizzazione del profitto più promettente. Il rilevamento di malware rivolto alle imprese è aumentato in modo significativo - del 79 per cento per essere esatti - rispetto all'anno precedente.

Questo è dovuto principalmente all'aumento di attacchi backdoor, minatori, spyware e furto di informazioni, che include specificamente i dati sanitari.

Nel 2018, c'è stato un cambiamento nelle tecniche di attacco ransomware. Invece del classico approccio degli exploit di malvertising che fornivano punti di ingresso per il ransomware, gli attori delle minacce hanno condotto attacchi mirati e manuali.

È molto complesso non solo dedurre il danno, ma anche regolare chiaramente le responsabilità dei responsabili dell'informazione. Il Dr. Eric Dubuis, professore all'Università di Scienze Applicate di Berna, ha sottolineato che non solo i dirigenti e i medici degli ospedali, ma anche i farmacisti, i fornitori di servizi amministrativi affiliati e persino i dipendenti dei laboratori possono essere infettati da malware e spiati.

C'è la tendenza che sempre più utenti siano intercettati per i dati personali attraverso offerte digitali di ingegneria sociale, ad esempio tramite app di comunicazione come WhatsApp . WhatsApp, per esempio, è stato violato nel maggio 2019. Anche i professionisti medici sono utenti molto attivi di questi strumenti di comunicazione. La situazione di minaccia nel settore sanitario sta quindi aumentando con la crescente digitalizzazione e il networking.

Trasmissione di dati negligente

Nei singoli flussi di conferenze, si è imparato molto sullo status quo dell'industria medica. Per esempio, Chris Berger, UMB AG, ha sottolineato alcune lacune nel settore: "Il sistema sanitario svizzero è solo il 20% digitalizzato, se si crede a un recente studio di digitale.svizzero Voglio prestare attenzione".

Nel suo discorso chiave su "Approcci olistici per sfruttare le persone e le infrastrutture nella sanità", Berger ha ripetutamente sottolineato che non solo i dispositivi medici con dati personali particolarmente sensibili sono protetti in modo inadeguato, ma anche che i singoli fornitori di assistenza sanitaria sono negligenti nella loro gestione dei dati - per esempio, inoltrano e-mail non crittografate.

La digitalizzazione e le innovazioni che ne derivano sostengono il miglioramento e l'aumento dell'efficienza dell'assistenza sanitaria. Tuttavia, la registrazione, la trasmissione, l'elaborazione e l'interpretazione elettronica dei dati sanitari non sarà concessa allo stesso modo ovunque, ha concluso Berger.

D'altra parte, i sistemi autonomi come il dossier elettronico del paziente forniscono una maggiore trasparenza sul quadro clinico o sulle fasi del trattamento per le parti coinvolte come i fornitori di assistenza sanitaria e i pazienti.

Questo promuoverà un più stretto collegamento tra i vari fornitori di servizi e sosterrà una visione olistica della salute dei pazienti. La raccolta e la fornitura di dati sanitari in un dossier protetto del paziente è uno strumento centrale per l'utilizzo di queste possibilità.

A Rotkreuz/ZG, i responsabili dei servizi ospedalieri colpiti individualmente hanno sottolineato la natura esplosiva della sicurezza delle informazioni nel settore sanitario. Secondo Franco Cerminara, Chief Consulting Officer, InfoGuard AG, gli attacchi avvengono ogni giorno. Quando gli hacker ricattano le istituzioni sanitarie pubblicando i dati dei pazienti, minacciano di danneggiare la loro reputazione e di violare i diritti fondamentali dei pazienti.

Worst Case Black Out

Dopo tutto, un attacco alle infrastrutture critiche, comprese le strutture sanitarie, ha gravi implicazioni per il benessere dei pazienti (vedi ad esempio Interruzione di corrente in Venezuela nella dialisi di 15 pazienti).

Per i dirigenti sanitari svizzeri, i "black out" non sembrano esistere, perché ogni apparecchiatura medica è dotata di batterie di ricambio.

Ma i fornitori di servizi ospedalieri sono sempre informati su tutti i loro dispositivi finali collegati alla rete? In caso di guasto dei sistemi più importanti, si rendono necessarie ampie misure organizzative ad hoc con un alto dispiegamento di personale per poter mantenere le operazioni il più possibile.

I dipendenti delle strutture sanitarie hanno accesso a dati personali particolarmente degni di protezione, ma fino ad oggi non sono stati sufficientemente sensibilizzati per quanto riguarda la sicurezza informatica o delle informazioni.

Solo se utenti, fornitori e decisori "lavorano meglio insieme", è stata la conclusione raggiunta alla 5a conferenza "Information Security in Healthcare", è possibile aumentare la sicurezza delle informazioni e la protezione dei dati nel settore sanitario svizzero.

www.infosec-health.ch/conference-2019.html