Data breach e sanità: Il caso italiano

21/03/2019

È di pochi giorni fa la notizia dell’avvenuto furto presso l’ASL di Tricase (in provincia di Lecce) di due PC con dati medici di centinai di pazienti. In particolare, uno dei due computer raccoglieva 2.300 referti cardiologici, mentre il secondo raccoglieva i dati di 460 pazienti con scompensi cardiaci, informazioni di indispensabile e fondamentale importanza per le cure dei pazienti.

Prendiamo in esame questo caso concreto e valutiamone le implicazioni.

Il costo di un data breach per l’azienda sanitaria

IBM Security e Ponemon Institute hanno pubblicato il rapporto Cost of Data Breach dal quale emerge che in Italia il furto a un’azienda implica un danno potenziale che può costare mediamente 2,6 milioni di euro, in termini relativi 119 euro per ogni record di dati trafugato. Ma nel campo sanitario questi valori si triplicano.

Gli attacchi alle strutture sanitarie spiccano in vetta tra le preferenze degli hacker, bisogna infatti fare una considerazione: i dati sanitari, al contrario di quelli delle carte di credito che possono essere utilizzati una sola volta prima che queste vengano bloccate, non hanno una scadenza.

Un report dell’Università Sapienza di Roma ci racconta una triste realtà: Asl e ospedali allo stato attuale presentano una situazione di tutela della sicurezza del dato meno evoluta rispetto a Comuni, Regioni e Pubblica amministrazione, sia in termini di precauzioni adottate che di consapevolezza.

Le minacce a cui sono esposte le Aziende Sanitarie

La principale minaccia è ancora rappresentata dai ransomware, software malevoli che criptano i contenuti e consentono (talvolta) il recupero dei dati solo dopo la ricezione di un pagamento. I cybercriminali hanno affinato tali strumenti implementando funzioni che ricercano collegamenti di rete al fine di raggiungere i server e le cartelle condivise e creare un danno molto maggiore.

Sono noti i casi di ransomware che hanno colpito ospedali in America e in Gran Bretagnia costretti a pagare ingenti riscatti per riavere accesso ai dati dei pazienti, la cui salute era stata messa a rischio. Una stima del 2016 calcola, su base mondiale, che il ransomware sia costato alle aziende 210 miliardi di dollari. Tale minaccia in continua evoluzione puó essere mitigata solo attraverso iniziative formative che illustrino con esempi sempre aggiornati le modalitá di attacco.

La successiva minaccia è legata alla sicurezza fisica, ovvero la protezione dei dati dal furto fisico dei supporti che li contengono (PC, notebook, tablet, server…) sará sempre un tema di rilievo. Sia per i dispositivi collocati negli stabili sia per i dispositivi in uso al personale viaggiante o esterno.

La terza minaccia che segnaliamo è legata alle vulnerabilitá informatiche, che permettono agli attaccanti di entrare agevolmente grazie a “difetti” delle diverse centinaia di software e sistemi in uso all’interno di una struttura sanitaria e alle possibili malconfigurazioni o errori umani da parte dei responsabili IT o degli utilizzatori.

Per tale scenario, sia il GDPR che il NIS indicano come ormai imprescindibile lo svolgimento di verifiche periodiche dei sistemi, i c.d. Vulnerability Assessment.

Conseguenze del data breach per le strutture sanitarie

Alle minacce sopra esposte possono essere collegate diverse conseguenze, tra le quali segnaliamo:
- i danni reputazionali per la struttura oggetto di attacco
- il costo per rimediare ed indagare su un data breach che contiene dati sanitari
- il costo per gestire la comunicazione a tutti i soggetti coinvolti
- le sanzioni dell’autoritá
- il danno per i soggetti coinvolti
- la responsabilitá dei soggetti che avrebbero dovuto garantire la sicurezza dei sistemi

La gestione di un data breach che coinvolge dati sanitari di migliaia di persone è indubbiamente un evento critico e complesso da gestire. In assenza di una cultura della corporate security e di procedure di gestione degli incidenti informatici tale evenienza puó risultare bloccante per la struttura sanitaria.

Infine possiamo affermare che il rispetto delle prescrizioni normative circa la tempestiva notifica, completa di elementi di valutazione sufficienti, sará sicuramente tanto piú difficoltoso e dispendioso in termini di tempo e denaro tanto piú si sono trascurate preventivamente attivitá di analisi del rischio effettuate in modo approfondito e tanto piú non si sono implementate sufficienti misure di monitoring e forensic readiness.

Hai degli asset di valore della tua azienda?
Noi possiamo aiutarti a proteggerli.