Il settore sanitario nel mirino degli hacker: quali le preoccupazioni?

501

Il settore della sanità è uno dei più colpiti dagli attacchi dei cybercriminali. Qui una riflessione di Ryan Orsi di WatchGuard

A cura di Ryan Orsi, Director of Product Management in WatchGuard Technologies

Non si può negare, hacker e cyber criminali hanno messo gli occhi sul settore sanitario. La sanità è un bersaglio particolarmente seducente per i ‘cattivi’. Oggi le organizzazioni del settore sanitario presentano spesso difese insufficienti per affrontare i moderni attacchi alla sicurezza a causa della loro dipendenza da sistemi di protezione legacy. Ma i dispositivi per la sanità sono sempre più connessi online, esponendosi così a molte nuove minacce, e la loro sicurezza resta spesso un passo indietro rispetto alla tecnologia avanzata che li caratterizza.

Diventa quindi importante per il settore sanitario identificare quali sono le aree principali che potrebbero essere soggette ad attacchi, dare priorità alle possibili soluzioni e far crescere la consapevolezza in tutto l’ecosistema IT e il pubblico in generale.

Ecco alcune delle principali preoccupazioni sulla sicurezza che affronta oggi il settore sanitario.

#1 L’Internet of Things (IoT) è esploso

Nell’industria sanitaria, IoT significa aggiungere la connettività Internet ai dispositivi medicali che sono sul mercato da un po’ di tempo oppure introdurre prodotti di nuova generazione abilitati per Internet. Questi dispositivi medicali IoT hanno rivoluzionato l’industria aumentando l’efficienza e riducendo i costi.

Oggi vecchi e nuovi dispositivi medicali devono essere essere in grado di evitare falle di sicurezza: i nuovi dispositivi vengono sviluppati tenendo conto della sicurezza fin dalla loro progettazione (“security by design”) con l’obiettivo di mitigare rischi futuri. Storicamente grandi dispositivi come i raggi X o le macchine per gli ultrasuoni funzionavano con vecchi sistemi operativi desktop/server che avevano vulnerabilità ben note come Windows XP o Unix/Linux. Prima dell’ondata IoT, questi dispositivi non erano certo pensati per essere connessi in rete quindi non erano costruiti con particolare attenzione alla sicurezza informatica. Troppo spesso, le guide per l’utilizzo e l’amministrazione di queste tipologie di dispositivi suggerivano al personale IT di mantenere le password fornite di default per evitare di rompere i contratti di supporto. Il risultato è che risulta facile oggi per i cybercriminali trovare un particolare dispositivo medicale in Internet e ottenere così una backdoor d’accesso alla rete sanitaria.

Ai dispositivi medicali connessi nell’IoT possono essere applicate patch per le vulnerabilità conosciute così come avviene per i PC e i server aziendali. Livelli di sicurezza aggiuntivi e una completa difesa in profondità sono pratiche necessarie per aiutare a proteggere i dispositivi e le reti. Per esempio, servizi di packet inspection dei moderni firewall avanzati, come antimalware e intrusion prevention nei punti d’ingresso della rete edge, dovrebbero essere considerati come misura minima. Non solo questi livelli di sicurezza aiuteranno a prevenire attacchi, ma rallenteranno anche l’azione di un attaccante e produrranno un volume di dati di log di sicurezza che innalzerà l’attenzione degli amministratori della sicurezza IT permettendo loro di avere una finestra di tempo per reagire ad attività sospette.

#2 Dispositivi mobili (BYOD) aumentano la superficie d’attacco

La matematica è semplice. Più punti d’ingresso in una rete sanitaria o affiliata aumenteranno in modo esponenziale le possibilità di una breccia nella sicurezza. Quindi è ovvio che i dispositivi mobili aumentano in modo significativo la superficie d’attacco di un’organizzazione sanitaria.
Secondo uno studio del Ponemon Institute sulla sicurezza dei dati dei pazienti, l’86% delle organizzazioni sanitarie permettono ai dipendenti e allo staff medico di usare dispositivi mobili (BYOD), ma più della metà non è confidente che i dispositivi mobili di proprietà dei dipendenti o che lo stesso BYOD siano sicuri.
Questo si aggiunge al fatto che i telefoni mobili stanno diventando un bersaglio sempre più popolare per gli hacker. Non solo gli hacker possono ottenere accesso a informazioni personali presenti sul telefono, ma possono anche usare il telefono come mezzo per evadere i firewall Internet lanciando backdoor dal telefono sulle reti connesse dell’utente.

#3 – Sicurezza e convenienza sono in contrasto

La nostra società non ha mai sperimentato prima questo livello di accesso alle informazioni e alla comunicazione globale. Dal momento che le tecnologie continuano a progredire, questo processo non farà altro che continuare a crescere. La facilità di accesso ha un impatto significativo sul nostro comportamento.

Nel mondo odierno molte persone accedono alle Informazioni Sanitarie Protette (Protected Health Information – PHI) da telefoni mobili e attraverso vari servizi cloud. Sebbene questo tipo di accesso sia conveniente e le applicazioni sembrino simili ad altri servizi per il video, il gaming e il social networking, le persone devono prestare attenzione alla sicurezza quando accedono alle PHI.

Per esempio, può essere conveniente selezionare l’opzione ‘ricordami le password’ su siti e app che includono PHI. Anche se è conveniente, non si dovrebbe abilitare questa funzione poiché ogni criminale che venga in possesso del tuo telefono (fisicamente o in remoto) sarà in grado di accedere a tutti i tuoi dati senza conoscere le tue password. Potrebbe fare keylog o crackare le tue password anche senza questa funzionalità. E’ quindi importante implementare un’autenticazione a due fattori per rendere i login ancora più sicuri. Questo assicura che se il criminale ha la tua password, non potrà usarla senza un secondo fattore.

I criminali informatici possono fare 10 volte più soldi sul mercato nero vendendo Informazioni di Identificazione Personale (PII) di quanto potrebbero farne con i dettagli delle carte di credito. All’AHMC Healthcare, furono rubati due notebook contenenti dati PHI crittografati di 729.000 pazienti! Questa breccia ci ricorda che usare software di crittografia e protocolli opportuni per la privacy è un passo relativamente piccolo, ma importante per mantenere al sicuro dati PHI e PII.

Conclusioni

Non possiamo permettere che l’adozione di tecnologia nella sanità vada a incidere sulle difese di sicurezza. Sebbene i benefici di dispositivi medicali connessi in rete siano immensi, i rischi per la sicurezza che ne derivano per le informazioni dei pazienti sono molto reali. La tecnologia continuerà a cambiare, e poiché lo fa, i ricercatori di sicurezza, i vendor di sicurezza di rete e i leader della sanità dovranno far fronte comune per trovare un equilibrio tra tecnologia e sicurezza per proteggere in modo efficace l’industria della sanità.