Il settore sanitario è sempre di più sotto assedio da parte degli hacker. Secondo un rapporto pubblicato lo scorso anno dal Ponemon Institute gli attacchi ai sistemi che gestiscono dati sanitari sono raddoppiati tra il 2010 e il 2014 con un costo per le aziende stimato intorno al 5,6 miliardi di dollari all’anno. Nove su dieci imprese coinvolte nel sondaggio hanno dichiarato di aver subito almeno una volta un attacco negli ultimi due anni.
Secondo Christopher Paidhrin, ex ufficiale della sicurezza del Peace Health Medical Group e attualmente responsabile della sicurezza informatica della città di Portland: “c’è una errata percezione che i venditori al dettaglio subiscano molti più attacchi rispetto a chi opera nel settore medicale, ma dipende esclusivamente dal grado di maturità delle aziende riguardo al tema della sicurezza”. Le organizzazioni sanitarie hanno controlli di sicurezza meno maturi. Ad affermarlo è stato anche un rapporto del 2014 della BitSight Insights in cui è chiaramente emerso come gli enti sanitari impieghino in media 5,3 giorni per denunciare una violazione della sicurezza mentre chi opera nel settore finanziario agisce con tempi molto più rapidi e riesce nel giro di pochissime ore a chiudere gli account compromessi. “E le realtà piccole, come gli studi associati, i medici privati, i fornitori o gli ospedali minori sono ancora più indietro”, commenta Bruce Forman, direttore della sicurezza delle informazioni dell’UMass Memorial Health Care.
Big Data, grande valore
Come fanno notare sia Forman che Paidhrin, in realtà il valore dei dati contenuti all’interno delle cartelle cliniche è estremamente elevato e anzi anche maggiore dei dati che potrebbero essere sottratti con un attacco alle società di servizi finanziari o ai rivenditori. Le informazioni mediche infatti, oltre alla documentazione sanitaria, comprendono anche codici di diagnosi, dati di fatturazione e informazioni sulle assicurazioni e potrebbero, se usate in modo non corretto, essere impiegate per creare false identità o per ordinare attrezzature mediche o farmaci per il mercato illegale. “Il ciclo di vita di un numero di carta credito rubata è misurato in giorni. Una cartella clinica dura tutta la vita”, ha affermato Paidhrin.
Data l’implementazione delle nuove tecnologie, l’avvento del cloud e il valore dei dati sanitari nel mercato nero, non sorprende leggere le valutazioni raccolte durante l’Experian’s 2015 Data Breach Industry Forecast: “Diversi fattori tra cui la cartella sanitaria elettronica, il numero crescente di punti di accesso alle informazioni sanitarie protette, fanno del settore salute uno dei più vulnerabili e attraenti per gli hacker”.
Il paradosso c’è e Paidhrin lo ha sottolineato chiaramente: “l’industria del settore è in grado di gestire una tecnologia che riguarda la cura del paziente di altissimo livello ma non investe sufficientemente nella tecnologia che invece riguarda la sicurezza dei dati”. Si spendono infatti centinaia di migliaia di dollari per una macchina MRI ma non si riesce a giustificare la spesa assai minore per dotarsi di adeguati software per proteggere i dati.
Prossimi passi
Cosa si può quindi fare? Per prima cosa ogni azienda sanitaria dovrebbe avere del personale preposto a gestire un programma di sicurezza delle informazioni, qualcuno che quindi si batta per garantire che parte delle risorse di bilancio vengano impiegate per questo scopo. Altro step dirimente è la collaborazione tra queste figure professionali, messe in connessione da una rete che permetta loro di condividere in tempo reale le informazioni sulle violazioni in corso. Per ultimo è necessario che vengano chieste informazioni circa la gestione della sicurezza dei dati a tutti coloro che collaborano e entrano in connessione con l’azienda. La filiera deve essere controllata dall’inizio alla fine affinché gli investimenti messi in campo abbiano un senso.