Un virus completamente diverso
Una breve panoramica della battaglia in corso per arginare l’ondata di incursioni informatiche nel settore sanitario.
Healthcare-Informatics.comOltre all'hacking sovversivo nel mondo degli affari, dove le informazioni private possono essere compromesse e i dati sensibili dell'azienda possono fuggire, le misure di sicurezza informatica vengono ora impiegate per negare gli effetti dell'hacking da parte di entità straniere, utilizzate come arma politica. Si tratta di un problema globale sempre più grave, che ha reso necessaria l’implementazione di metodologie avanzate di sicurezza informatica per contrastare le capacità sempre più sofisticate degli hacker di sovvertire questi stessi sistemi.
“Negli ultimi anni, la sicurezza informatica è stata una preoccupazione crescente nel settore sanitario, con attacchi informatici e vulnerabilità di alto profilo che hanno causato interruzioni per assicuratori, ospedali e produttori di dispositivi medici. Anche la posta in gioco per i pazienti è alta poiché i dati dei pazienti potrebbero essere persi o manomessi, i servizi ospedalieri interrotti o i pazienti potrebbero essere danneggiati attraverso attacchi mirati a dispositivi specifici…” 1
Intervento del governo per combattere la criminalità informatica
La rapida digitalizzazione del settore sanitario rende questo settore particolarmente vulnerabile agli attacchi informatici e questo fatto non è sfuggito al Congresso degli Stati Uniti. Il Comitato per l’energia e il commercio della Camera si è recentemente riunito per affrontare la questione della sicurezza informatica nel settore sanitario. I centri di condivisione e analisi delle informazioni (ISACS) possono essere fondamentali per fornire maggiore sicurezza agli operatori sanitari e contrastare gli sforzi dei potenziali aggressori informatici.
Attraverso gli sforzi interattivi delle 24 organizzazioni che compongono il Consiglio Nazionale degli ISAC (NCI), si stanno compiendo grandi sforzi per “massimizzare il flusso di informazioni attraverso le infrastrutture critiche del settore privato e con il governo. I settori e sottosettori delle infrastrutture critiche che non dispongono di ISAC sono invitati a contattare l’NCI per sapere come possono partecipare alle attività dell’NCI”.2
Rafforzare la partnership tra enti pubblici e privati nel settore sanitario per quanto riguarda la sicurezza informatica è, ovviamente, un’impresa titanica, considerando la miriade di industrie e agenzie governative responsabili della regolamentazione e della fornitura di tale assistenza sanitaria. Il Congresso è stato incoraggiato a fornire agevolazioni fiscali e altri incentivi per spingere le aziende a partecipare agli sforzi continui degli ISAC.
La scarsa partecipazione ostacola l’implementazione della sicurezza informatica
Sfortunatamente, gli scarsi tassi di partecipazione tra le strutture sanitarie sono stati un problema persistente negli sforzi in corso per implementare misure di sicurezza informatica efficaci in tutto il settore. Secondo Terry Rice, vicepresidente della gestione dei rischi IT e responsabile della sicurezza delle informazioni presso Merck, "le aziende potrebbero essere riluttanti a condividere informazioni all'interno di un ISAC se temono che le informazioni non rimarranno riservate ai suoi membri".3
"Penso che la statistica più scioccante sia proprio il fatto che 40% degli individui ai vertici di un'organizzazione (dirigenti come CEO e CIO, e persino membri del consiglio di amministrazione) non si sentivano personalmente responsabili della sicurezza informatica o della protezione dei dati dei clienti." Dave Damato, responsabile della sicurezza presso Tanium, on Squawk Box della CNBC, parlando di cybersecurity nel settore sanitario 13
Gli alti costi della criminalità informatica in sanità
A parte l’ovvia minaccia di compromissione delle informazioni dei pazienti e altri casi di furto di dati, i fallimenti della sicurezza informatica sono incredibilmente costosi, nell’ordine di $6,2 miliardi all’anno, secondo un progetto di ricerca del 2016 condotto dal Poneman Institute. Gli approfondimenti emersi dai loro studi hanno rivelato che “quasi il 90% delle organizzazioni sanitarie… aveva subito una violazione dei dati durante i due anni precedenti. Il 45% ha subito più di cinque violazioni dei dati in quel periodo, con un costo medio di un attacco informatico pari a $2,2 milioni. I dati contenuti nelle cartelle cliniche elettroniche (EHR) sono spesso citati come il motivo per cui l’assistenza sanitaria è un obiettivo così attraente agli occhi di un hacker”.4
Per quanto le persone amino credere che le proprie informazioni sanitarie siano in possesso dello studio medico o dell'ospedale, spesso non è così. La continua digitalizzazione delle cartelle cliniche è stata una proposta costosa per il settore sanitario. Proteggere tutte queste informazioni è un’altra spesa enorme e talvolta questa parte dell’equazione della sicurezza informatica è stata trascurata nell’interesse del risparmio sui costi, o semplicemente per la natura su larga scala dell’impresa complessiva.
La natura lucrativa del furto informatico nel settore sanitario
Naturalmente, le cartelle cliniche sono una merce molto richiesta sul mercato nero e possono fruttare cifre molto elevate a coloro che cercano di ottenere informazioni personali, indirizzi di fatturazione e numeri di carte di credito. L’hacking può essere davvero un’impresa molto redditizia. Considera questo esempio. "Nel marzo del 2016, gli hacker hanno rubato oltre 2,2 milioni di cartelle cliniche della 21st Century Oncology di Fort Myers, in Florida. Un mese dopo, qualcuno ha rubato un laptop con 205.748 cartelle cliniche non protette da Premier Healthcare, LLC." 5
L'avvento del ransomware
Ransomware è un termine nuovo per la maggior parte delle persone, che stanno acquisendo familiarità con i recenti attacchi WannaCry sferrati a livello globale, paralizzando i sistemi infrastrutturali critici e suscitando ingenti riscatti finanziari da parte di coloro che sono caduti preda dell'ansia e della potenziale perdita di dati caratteristici di tali attacchi. Il settore sanitario, in particolare, è vulnerabile alle incursioni dei ransomware.
“Gli ospedali sono il bersaglio perfetto per questo tipo di estorsione perché forniscono cure critiche e fanno affidamento su informazioni aggiornate dalle cartelle cliniche dei pazienti. Senza un rapido accesso alla storia dei farmaci, alle direttive chirurgiche e ad altre informazioni, la cura dei pazienti può essere ritardata o interrotta, il che rende gli ospedali più propensi a pagare un riscatto piuttosto che rischiare ritardi che potrebbero provocare morte e cause legali”. 6
Il malware ransomware, in effetti, blocca un computer e rende i dati inaccessibili a meno che non venga pagato un riscatto all'autore del reato. Di solito questo pagamento viene effettuato sotto forma di bitcoin. Nella maggior parte dei casi viene stabilito un limite temporale per il pagamento del riscatto, altrimenti i dati del computer verranno distrutti. Sebbene la maggior parte dei soggetti colpiti non paghi il riscatto, ne bastano abbastanza per renderla un'impresa criminale particolarmente redditizia.
Il settore sanitario è stato vulnerabile agli attacchi ransomware perché, sorprendentemente, molti ospedali hanno adottato misure inadeguate per prevenire violazioni della sicurezza informatica. Invece, la maggior parte degli ospedali ha concentrato la propria preoccupazione principale sul rispetto della conformità HIPAA e sulle linee guida federali per garantire la sicurezza delle informazioni sui pazienti. In definitiva, la maggior parte dei dipendenti del settore sanitario semplicemente non è sufficientemente addestrata per riconoscere e contrastare gli attacchi informatici prima che si verifichino. Anche quando sono in atto una formazione adeguata e misure di sicurezza informatica, è una sfida continua superare in astuzia gli autori di reati che rimangono costantemente un passo avanti rispetto al gioco.
Anche i dispositivi IoT sono a rischio
Per aggiungere un livello di serietà alla situazione attuale, gli attacchi informatici possono colpire non solo i computer, ma anche i dispositivi ad essi collegati. Strumenti medici, misuratori cardiaci e glicemici sono solo alcuni esempi di dispositivi vulnerabili agli attacchi informatici. Il vicepresidente Dick Cheney ha notoriamente chiesto che il suo pacemaker fosse messo al sicuro dagli attacchi informatici, per evitare che malintenzionati non manipolassero il funzionamento del suo dispositivo da remoto. Francamente, l’interferenza con tali dispositivi può essere mortale per i pazienti che dipendono da essi per vivere.
Come esempio di hacking medico, “In un exploit attualmente utilizzato, noto come MedJack, gli aggressori iniettano malware nei dispositivi medici per poi diffondersi attraverso una rete. I dati medici scoperti in questi tipi di attacchi possono essere utilizzati per frode fiscale o furto di identità e possono anche essere utilizzati per tenere traccia delle prescrizioni di farmaci attivi, consentendo agli hacker di ordinare farmaci online per poi rivenderli sul dark web”. 7
“Per quanto ne so, nessun paziente è stato ucciso a causa di un pacemaker violato, ma i pazienti sono stati uccisi a causa di malfunzionamenti dei loro dispositivi medici, errori di configurazione e bug del software. Ciò significa che la ricerca sulla sicurezza sotto forma di hacking preventivo, seguita dalla divulgazione coordinata delle vulnerabilità e dalle correzioni dei fornitori, può aiutare a salvare vite umane." Marie Moe, ricercatrice sulla sicurezza presso SINTEF, in "Avanti, hacker. Spezzare il mio cuore” (Cablato)13
La FCC ha ora suggerito che i fornitori IoT di dispositivi medici integrino misure di sicurezza nei prodotti che fabbricano; la parola chiave suggerita. In realtà, l’istituzione di pratiche e requisiti di sicurezza obbligatori per questi produttori è uno sforzo che richiede molto tempo. Inoltre, anche le reti incaricate di trasmettere i dati tra dispositivi e database hanno un bisogno fondamentale di implementazione e monitoraggio della sicurezza informatica.
Un nuovo presidente, un nuovo ordine
Ci sono state molte speculazioni su come l’amministrazione Trump avrebbe affrontato le questioni di sicurezza informatica. L’11 maggio 2017, il presidente ha firmato un ordine esecutivo che imponeva una revisione delle capacità complessive della nazione di combattere l’attività criminale informatica. L’ordinanza attribuisce il peso della responsabilità in materia di sicurezza informatica alle agenzie federali che avrebbero dovuto effettuare valutazioni del rischio e presentare i rispettivi rapporti entro 90 giorni. Ulteriori rapporti che esaminavano i rischi delle infrastrutture critiche sarebbero dovuti arrivare sei mesi dopo l'emissione dell'ordine del presidente.
"L'ordinanza richiede una revisione della minaccia rappresentata dalle botnet, che prendono di mira i siti web con traffico spam generato automaticamente. IL La botnet Mirai è stato responsabile di significative interruzioni di Internet lo scorso anno. Ma Access Now afferma che l’ordinanza dovrebbe anche affrontare il processo del governo per la divulgazione delle vulnerabilità e la sua risposta alle violazioni dei dati”.
Valutazioni del rischio
Piani di ripristino di emergenza e di emergenza
Squadre di sicurezza dedicate
Esame del socio in affari/fornitore
Migliore formazione dei dipendenti
Difesa a strati
Miglioramento dell'igiene tecnologica
Partenariati per la sicurezza informatica
Software migliore
Consulenti forensi
Non esiste una misura preventiva globale o una misura in grado di eliminare il rischio di attacchi informatici. Piuttosto, ospedali, cliniche e studi privati possono solo sperare di lavorare insieme e gestire i rischi continui nell’interesse della protezione delle informazioni private e della sicurezza generale dei loro pazienti. Allo stesso tempo, si spera che i continui progressi tecnologici affrontino la vulnerabilità dei dispositivi medici e delle reti informatiche.
Questo sforzo per frenare gli effetti potenzialmente disastrosi della criminalità informatica nel settore sanitario e non solo si estende ben oltre gli Stati Uniti. Attualmente è in corso uno sforzo globale per arginare l’ondata di attacchi informatici in tutto il mondo, o almeno per ridurre al minimo l’impatto di quello che sembra essere uno sforzo infinito da parte dei criminali informatici per infiltrarsi nei sistemi sanitari e provocare caos ed estorcere ovunque possibile. , per qualunque fine nefasto.
Motivazioni politiche per gli attacchi informatici
Con il clima politico ostile che esiste tra la Corea del Nord e praticamente ogni altro paese del mondo civilizzato, non sorprende che la nazione canaglia sia stata citata come probabile colpevole dei recenti attacchi ransomware WannaCry e di altri sforzi malevoli intrapresi per ragioni politiche e a scopo di estorsione finanziaria.
"I ricercatori di sicurezza informatica hanno trovato indizi tecnici che, secondo loro, potrebbero collegare la Corea del Nord all'attacco informatico globale "ransomware" WannaCry che... ha infettato più di 300.000 macchine in 150 paesi. Symantec e Kaspersky Lab hanno affermato che... parte del codice in una versione precedente di il software WannaCry erano apparsi anche nei programmi utilizzati dal Lazarus Group, che i ricercatori di molte aziende hanno identificato come un’operazione di hacking gestita dalla Corea del Nord”. 10
Non tutti gli esperti ritengono che l’attacco del ransomware WannaCry sia stato motivato da ragioni finanziarie. Alcuni, come Matthew Hickey della società di consulenza informatica britannica Hacker House, credono che gli autori sperassero semplicemente di “causare il maggior danno possibile”. Questo è stato certamente il caso dei paesi più colpiti dall’attacco, tra cui India, Taiwan, Ucraina e Russia.
Alcuni, come il leader russo Vladimir Putin, hanno incolpato la NSA per quello che secondo lui era il loro ruolo negli attacchi ransomware WannaCry. Si ritiene che la tecnologia WannaCry sia “basata su uno strumento trapelato che sfrutta una falla di sicurezza in Windows che sembra avere origine dalla NSA. "Siamo pienamente consapevoli che i geni, in particolare quelli creati dai servizi segreti, potrebbero danneggiare i loro stessi autori e creatori, se lasciati uscire dalla bottiglia", ha detto Putin a Pechino, Lo riferisce l'agenzia statale russa Tass.” 11
“Il prossimo presidente erediterà la cultura di spionaggio informatico più sofisticata e persistente che il mondo abbia mai visto. Ha bisogno di circondarsi di esperti che possano accelerare l’allocazione di potenti strati di difese di prossima generazione attorno ai nostri silos di infrastrutture critiche mirate”. James Scott, membro senior, Istituto per la tecnologia delle infrastrutture critiche 14
Tendenze nella lotta alle incursioni informatiche nel settore sanitario
Ovviamente, la minaccia di violazioni della sicurezza informatica in tutti i settori aziendali e industriali non diminuirà. Nel settore sanitario, ci sarà una necessità continua e incessante di migliorare la tecnologia e la vigilanza generale per evitare incidenze disastrose in futuro. Stanno emergendo alcune tendenze protettive che potrebbero essere viste come il futuro della deterrenza contro la criminalità informatica nel settore sanitario.
In cima alla lista c’è una crescente migrazione verso strumenti di sicurezza delle informazioni basati sul cloud. Questa mossa “consentirà agli strumenti di essere aggiornati in modo più dinamico per affrontare il malware di tipo zero day. Questo passaggio al cloud dovrebbe, in definitiva, rendere più economico rendere questi strumenti disponibili a tutti gli operatori sanitari, grandi e piccoli”. 12
Inoltre, il settore sanitario sarà costretto a incoraggiare una maggiore condivisione delle informazioni e la collaborazione tra le reti sanitarie e tra le strutture. Questo sforzo reciproco di sicurezza informatica sarà difficile da promuovere poiché le istituzioni sanitarie sono spesso piuttosto isolate per natura. Si prevede che questa condivisione di informazioni andrà oltre l’assistenza sanitaria per includere molti settori aziendali e istituzionali volti a ridurre al minimo i rischi per tutti i soggetti coinvolti.
In definitiva, lo sforzo per negare i pericoli delle violazioni della sicurezza informatica, dei ransomware e delle minacce nuove ed emergenti in questo ambito si ridurrà all’educazione e alla consapevolezza a tutti i livelli dei dipendenti nel settore sanitario e non solo. Quando tutti saranno ben istruiti e in grado di vedere i segnali di allarme dei rischi informatici e cosa possono fare per essere parte di uno sforzo globale per arginare l’ondata di incursioni informatiche, il settore sanitario e tutti i difensori della condivisione civile delle informazioni in tutto il mondo continuerà a compiere passi significativi verso la limitazione degli effetti dannosi della criminalità informatica in tutti i settori.
Possiamo assistervi nel vostro impegno in materia di sicurezza informatica
SIS International Research ha trascorso decenni interagendo con il settore sanitario a molti livelli, da studi familiari indipendenti, a reti sanitarie multilivello e monolitiche. La nostra comprensione unica delle sfide affrontate dalle aziende e dalle istituzioni nel settore sanitario non ha eguali. Forniamo ricerca e intelligence sulle parti interessate[/fusion_text][fusion_text]
Le nostre soluzioni includono:
Oggi, con l’ulteriore complessità della minaccia imposta dalla crescente criminalità informatica rivolta alle nostre istituzioni sanitarie più venerate e ai pazienti che servono, consideriamo il nostro ruolo con il massimo grado di serietà. In qualità di azienda orgogliosa di comprendere l'importanza e la natura sfaccettata del settore sanitario, continueremo a servire pratiche, strutture e organizzazioni legate alla salute con le stesse capacità di ricerca complete e di alta qualità a cui i nostri clienti sono arrivati aspettarsi e pretendere. In questo modo, speriamo di fare la nostra parte per aiutare la comunità medica a comprendere e combattere la minaccia reale e grave degli attacchi informatici nel settore sanitario.
Per la compilazione di questa ricerca sono state utilizzate le seguenti risorse:
-
http://www.raps.org/Regulatory-Focus/News/2017/04/04/27267/Cybersecurity-House-Committee-Looks-to-Build-on-Public-Private-Partnerships/#sthash.x4Xvdf6q.dpuf
-
https://www.nationalisacs.org/
-
http://www.raps.org/Regulatory-Focus/News/2017/04/04/27267/Cybersecurity-House-Committee-Looks-to-Build-on-Public-Private-Partnerships/#sthash.x4Xvdf6q.dpuf
-
https://learningnetwork.cisco.com/blogs/talking-tech-with-cisco/2017/03/21/cybersecurity-and-healthcare-a-forecast-for-2017
-
https://learningnetwork.cisco.com/blogs/talking-tech-with-cisco/2017/03/21/cybersecurity-and-healthcare-a-forecast-for-2017
-
https://www.wired.com/2016/03/ransomware-why-hospitals-are-the-perfect-targets/
-
https://www.wired.com/2017/03/medical-devices-next-security-nightmare/
-
https://techcrunch.com/2017/05/11/trump-signs-long-delayed-executive-order-on-cybersecurity/
-
http://www.healthcareitnews.com/news/top-10-cybersecurity-must-haves-2017
-
http://www.dingit.tv/highlight/1441974?utm_source=Embedded&utm_medium=Embedded&utm_campaign=Embedded
-
www.healthcareitnews.com/blog/3-trends-shaping-future-cybersecurity
-
https://www.forbes.com/sites/danmunro/2016/12/18/top-ten-healthcare-quotes-for-2016/#5f47fb6b127f
-
http://www.goodreads.com/quotes/tag/cyber-security