Negli ultimi mesi gli attacchi hacker ad aziende sanitarie si sono moltiplicati, mettendo in serio pericolo i dati (e la salute) dei pazienti, così come la continuità dell’intero sistema. Un documento dell’European Union Agency for Cybersecurity (ENISA) evidenzia che l’Italia è il quarto Paese al mondo per attacchi Ransomware subiti, dopo USA, Germania e Francia, nel periodo maggio 2021-giugno 2022.
A livello globale, il settore sanitario è quello più colpito, con una media di 9,23 milioni di dollari per data breach e un aumento del 60% degli attacchi rispetto al secondo trimestre del 2021.
La Sanità è sempre più sotto pressione e, nonostante la flessione della pandemia, si trova a dover gestire un nemico molto pericoloso. D’altronde, il settore sanitario è appetibile per i cybercriminali, perché lo considerano vulnerabile al pagamento dei riscatti, per evitare la diffusione dei dati e proteggere le infrastrutture critiche. Sul dark web una cartella clinica, per esempio, può valore anche oltre 1000 dollari, se contiene informazioni interessanti.
Al contempo, la diffusione dell’IoT, che ha permesso un improvement notevole delle cure garantite ai pazienti, si rivela un alleato anche per gli hacker, pronti a sfruttare le nuove porte lasciate aperte dalla digitalizzazione.
Ciò che serve alle aziende sanitarie è trovare un equilibrio tra “benefici digitali” e sicurezza, possibile solo con l’implementazione di un framework dedicato alla cybersecurity in ambito Healthcare.
Healthcare Security Framework: l’approccio NIST
In ambito informatico, un framework non è altro che un approccio collaudato per lo sviluppo delle procedure necessarie finalizzate a garantire la riservatezza, l’integrità e la disponibilità dei dati.
Tra i framework più consolidati c’è sicuramente l’approccio NIST, uno dei più diffusi anche a livello sanitario. Il NIST è il National Institute of Standards and Technology, ossia l’agenzia che si occupa della definizione degli standard tecnici e delle linee guida per la sicurezza delle informazioni. Il NIST ha emesso 20 gruppi di controllo di sicurezza e privacy, customizzabili a seconda del contesto e riguardano aspetti come:
- Controllo degli accessi
- Formazione sulla consapevolezza della sicurezza
- Valutazione formale del rischio
- Risposta agli incidenti
- Gestione del rischio organizzativo
L’approccio NIST, perfettamente applicabile al settore sanitario, consente di difendere una superficie d’attacco che si è estesa, come detto, in relazione alla digitalizzazione messa in atto dalla Sanità negli ultimi anni. Non solo, permette al top management di capire effettivamente quali sono le lacune in termini di cybersecurity e cosa deve essere assolutamente implementato.
Il primo passo è una mappatura dettagliata della superficie d’attacco, che avviene identificando e categorizzando gli asset che la costituiscono. Si inizia quindi con il Security Assessment, che individua e classifica i sistemi aziendali in rapporto all’Attack Kill Chain, raccogliendo informazioni utili a identificare le principali aree di rischio. Successivamente, si verifica l’allineamento delle componenti dell’infrastruttura alle best practices in materia cybersecurity. L’obiettivo, in sostanza, è stabilire la probabilità che possa avvenire una violazione e la relativa entità del danno.
Dopo il security assessment, si procede con il vulnerability assessment e un penetration test, entrando proprio nella mente dell’hacker, analizzando quindi la struttura sanitaria con gli stessi strumenti e le stesse tecniche tipicamente impiegate dai cybercriminali. In questo modo si riesce a individuare le vulnerabilità, la “resilienza” dell’infrastruttura, e le contromisure in caso di attacco.
Il framework NIST comprende un percorso di sensibilizzazione alla sicurezza, con una formazione completa e personalizzabile in base al livello di conoscenze e competenze del personale medico e sanitario in termini di cybersecurity.
Una superficie d’attacco sempre monitorata
Abbiamo sottolineato la necessità di un punto di equilibrio tra performance digitali applicate in ambito sanitario e sicurezza informatica. L’estendersi della superficie d’attacco, infatti, avviene in relazione all’evoluzione delle infrastrutture IT implementate. È indispensabile, quindi, monitorare il sistema per rilevare le minacce, soprattutto in seguito agli upgrade tecnologici.
La tecnologia SIEM raccoglie centralmente le informazioni della superficie d’attacco e la trasforma in un database di threat intelligence; i dati vengono quindi analizzati e correlati in tempo reale per individuare minacce interne o esterne, permettendo al team IT di intervenire tempestivamente.
L’hacker rimane latente successivamente alla violazione per un periodo consono ad acquisire tutte le informazioni necessarie, quasi mai si manifesta immediatamente. Ecco che allora si rivela necessario un monitoring continuo H24 sulla base di una piattaforma di Incident Detection & Response, in grado non solo di rilevare e respingere, ma anche di prevedere gli attacchi. Uno strumento che è in grado di suggerire e implementare automaticamente le risposte alle violazioni, ma che, integrate con l’intervento di professionisti SOC, garantirebbe un innalzamento consistente del livello di sicurezza.
Un framework, in conclusione, non si limita agli aspetti tecnici per quanto riguarda la messa in sicurezza dell’infrastruttura, ma va a sollecitare tutte le parti coinvolte, individuando i titolari del dato trattato, e aumentando la consapevolezza delle informazioni gestite e delle criticità delle stesse.
Il fine ultimo è quello di fornire alle aziende sanitarie un insieme di misure di sicurezza per rendere tutti i sistemi più protetti, in termini di riservatezza, integrità e disponibilità dei dati, limitando l’impatto negativo degli attacchi e rendendo i sistemi più capaci di rialzarsi e reagire dopo una violazione. Allontanando finalmente il più possibile gli occhi dell’hacker dalla salute dei pazienti.
Vuoi saperne di più sul framework di cybersecurity applicato al settore sanitario?
