I rischi informatici nel settore sanitario

Condividi:

Noi Sicurezza ha trattato in precedenti articoli i temi della sicurezza informatica negli studi legali, di commercialisti e notai e nel settore immobiliare, affrontiamo ora i rischi informatici nel settore sanitario.

Sanità: i principali rischi informatici

Cos’è la prima cosa da proteggere (nonché la più appetibile per un hacker)?

I dati sanitari. Ma perché?

E’ come il Cavallo di Troia: uno dei moventi principali è la possibilità di disporre di questi dati per organizzare truffe mirate o pubblicità non legali (in quest’ultimo caso sia perché senza consenso marketing sia per la natura delicata del mercato medico). Si sfruttano circuiti pubblicitari presenti su siti e app poco attenti alla qualità delle inserzioni e, soprattutto, si fa breccia sulla sensibilità dei pazienti a determinati argomenti o bisogni. E si sa, quando si parla di salute si è disposti a tutto.

Il dato sensibile può essere sottratto sia da una rete aziendale che da aree web riservate non così sicure.

Altra criticità: i cyber ricatti

Un pc o una rete di uno studio sanitario, di una clinica o di un ospedale può essere vittima di un attacco ransomware, cioè un malware che – tradotto dall’inglese – richiede un riscatto, dal momento che blocca uno o più dispositivi aziendali, fermando di fatto le operazioni.

La ricaduta è devastante in termini di immagine e di danni ai pazienti: non poter fornire gli esiti di esami o addirittura perdere i dati di molti di essi è particolarmente grave vista la delicatezza dell’argomento.

Un vero e proprio incubo per il direttore di una qualsiasi struttura sanitaria. Rischiano potenzialmente tutti, sia le strutture piccole (con pc e sistemi operativi non aggiornati) perché obiettivi “più facili”, che quelle grandi (molto più resilienti a livello di cyber security, ma decisamente un potenziale “colpo grosso” per i malviventi).

Ti sta piacendo l’articolo? Iscriviti alla newsletter di Noi Sicurezza per ricevere altri consigli interessanti sulla sicurezza! (promettiamo di non essere troppo invadenti 😉 Buona continuazione di lettura!

Rischi informatici sanitari: vulnerabilità dei dispositivi medici

I dispositivi medici di oggi (defibrillatori, bypass, pacemaker, …) sono iperconessi e, come tutti i dispositivi IoT, sono nati sotto precisi standard di qualità medici senza però essere security-by-design.

In poche parole, si possono trovare diverse vulnerabilità che permetterebbero a hacker di superare le difese informatiche, falsare e modificare i dati fino a – teoricamente – porre a serio rischio la salute e la vita di una persona.

Fantascienza? Improbabile, un rischio basso, possiamo parlare di improbabilità ma sicuramente non di fantascienza. Un articolo dell’autorevole The Hacker News parla di vulnerabilità che sono state scoperte in apparecchi elettromedicali.

L’healthcare e la scarsa cultura della sicurezza

Capita spesso di interfacciarsi con i responsabili di cliniche private, studi sanitari piccoli e grandi, che non considerano i rischi informatici come reali. La sicurezza non è solo quella fisica per la quale è necessario dotarsi di un efficace sistema di controllo accessi o di videosorveglianza. E’ anche quella informatica, che si attua con la protezione dei dati trattati e la continuità di servizio (al riparo da blocchi di operatività).

Cosa fare: mappare i processi e scegliere le soluzioni giuste

Mappare come vengono trattati i dati, fare un assessment sulle vulnerabilità informatiche e valutare i potenziali danni economici e di immagine a seguito di un attacco informatico o di un furto di dati. Un’attività difficile soprattutto perché richiede tante competenze diverse. Difficile trovare società che hanno un’offerta che soddisfi tutti questi bisogni, ma è ancora più difficile interfacciarsi con diversi fornitori (ognuno specializzato nel suo campo). Chi si occupa di servizi healthcare vuole occuparsi di questo, senza perdere energie e tempo nel tirare le fila con molti, troppi fornitori.

Esistono tuttavia strutture esterne (in Italia ricordiamo Axitea) che vantano una gamma di servizi che spazia dalla sicurezza informatica gestita alla consulenza gdpr e alla sicurezza fisica, in grado di proporsi come unico interlocutore per il cliente e assisterlo nel tempo.

Interessato a una consulenza informatica o di rispetto del gdpr? Chiedi supporto a Noi Sicurezza, un suggerimento non costa nulla:

CHIEDI INFORMAZIONI
Condividi:

Seguici, non perdere nessun articolo!

Articoli recenti

Archivi

Categorie

Piervittorio Allevi Written by:

Be First to Comment

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *