Il settore sanitario è da sempre preso di mira dalla criminalità informatica, e l’ultimo anno non ha fatto eccezione: complice la pandemia, quello che si appresta a terminare è un anno in cui si è osservato un ulteriore aumento degli attacchi alle infrastrutture sanitarie e ai dispositivi medici.
Tra i più temuti, i ransomware hanno continuato a essere una delle principali minacce per cliniche e ospedali anche nel 2020, anno in cui, oltretutto, si è tristemente registrato il primo decesso collegato a un attacco informatico verso una struttura sanitaria. L’assistenza sanitaria, poi, non ha rappresentato “solo” il target dei criminali informatici, ma è divenuta anche oggetto e vettore di vari attacchi informatici, attraverso e-mail malevole a tema Coronavirus, false dichiarazioni degli organismi internazionali, e le più disparate comunicazioni contenenti la promessa di cure e vaccini.
Alla luce di tutto ciò, cosa può e cosa dovrebbe aspettarsi il mondo della sanità, sotto il profilo dei rischi informatici, nell’anno che sta per iniziare?
Ecco le principali previsioni 2021 di Kaspersky per la cybersecurity nel settore sanitario.
In primo luogo, le aziende farmaceutiche impegnate nello sviluppo di farmaci e vaccini anti Covid saranno particolarmente prese di mira, e ogni significativo passo in avanti nella ricerca medica da parte di un’azienda, richiamerà nuovi attacchi informatici mirati.
Le PMI della sanità privata continueranno a essere nel mirino degli attacchi, anche per via dei costi e delle difficoltà pratiche e organizzative che spesso ostacolano l’adeguata protezione dei dati dei pazienti. Questo aspetto, noto anche ai criminali informatici, contribuisce a rendere tali soggetti un bersaglio attraente. Nel pianificare i propri investimenti, quindi, non si trascuri il fatto che il settore sanitario risulta in cima alla lista per il Costo medio di un data breach.
Nel nuovo anno, inoltre, rischiamo di assistere a un aumento delle esfiltrazioni di dati di pazienti dai servizi in cloud. L’aumentato ricorso a tali servizi da parte delle aziende del settore sanitario ha infatti già generato nuovi rischi, e sarà sempre più importante dare attenzione alla salvaguardia completa delle infrastrutture, cloud incluso.
Cartelle cliniche e dati sanitari rubati potranno diventare parte integrante di nuove forme di attacchi mirati, in cui le accurate informazioni raccolte vengono sfruttate per diffondere malware attraverso l’invio di messaggi malevoli particolarmente credibili.
Come ulteriore aspetto, in linea generale e almeno fino al termine della pandemia, il tema della medicina continuerà a essere usato come esca per far leva sulle nostre vulnerabilità: prepararsi quindi alla possibilità di assistere a nuove campagne di phishing aventi a oggetto, ad esempio, le varie restrizioni normative connesse alla gestione dell’emergenza, i nuovi vaccini, altri possibili trattamenti sanitari, ecc.
Questa attenzione per le vulnerabilità dovute al fattore umano, infine, ci aiuta a ricordare che l’ultimo anno ha visto la parola smart-working entrare ufficialmente nel nostro vocabolario quotidiano: ormai, in molte realtà, il personale medico e sanitario accede ad archivi contenenti dati sensibili anche da casa, con tutti i vantaggi pratici e i rischi che tale pratica comporta.
Nel 2021, pertanto, la formazione del personale in tema di sicurezza delle informazioni, nonché il controllo, la gestione e la protezione dei dispositivi mobili, delle postazioni di telelavoro, e di ogni punto di accesso alla rete dall’esterno, dovranno ricevere l’adeguata considerazione.
In conclusione, ecco alcune domande da porsi per fare i conti con l’anno passato e prepararsi al successivo, valide per qualsiasi organizzazione e utili affinché non si guardi unicamente alle tendenze generali:
● Cosa è avvenuto nell’ultimo anno, e quali sono stati i più importanti cambiamenti?
● Cosa hanno affrontato il mio DPO e il mio responsabile IT?
● Quali e quanti data breach si sono verificati?
● Come sono stati gestiti?
● Quali misure di sicurezza abbiamo deciso di implementare con l’ultima analisi dei rischi?
● Sono state implementate come previsto?