A cura di Philips 26 agosto 2024 Tempo di lettura: 4 minuti
Il settore sanitario rappresenta un bersaglio critico, vulnerabile e di alto valore per i criminali informatici. Alimentati dalla diffusa obsolescenza dei sistemi e attratti dai dati di alto valore, gli attacchi ransomware annuali agli enti sanitari sono quasi raddoppiati dal 2022.1 La complessità dell'infrastruttura e l'integrazione di decine di dispositivi connessi rende particolarmente difficile proteggere i sistemi ospedalieri. Tuttavia, i sistemi ospedalieri sono progettati per resistere alle minacce che il settore sanitario è chiamato ad affrontare. Le best practices per la sicurezza dei dati, sostenute dalla tecnologia e dalle soluzioni Philips specifiche per l'assistenza sanitaria, possono aiutare i clienti a difendersi dagli attacchi ransomware.
Le conseguenze degli attacchi ransomware sulle organizzazioni sanitarie sono significative. Uno studio condotto sugli attacchi ransomware alle strutture sanitarie avvenuti tra il 2016 e il 2021 ha rilevato che il 44,4% degli attacchi ha ostacolato l'erogazione delle cure in termini, ad esempio, di inattività dei sistemi elettronici (41,7%), cancellazione di appuntamenti programmati (10,2%) e deviazioni delle ambulanze (4,3%).2 Citando i primi risultati di uno studio, un economista sanitario presso la University of Minnesota ha affermato che la mortalità ospedaliera aumenta di circa il 20-35% per i pazienti che hanno la sfortuna di trovarsi ricoverati in ospedale durante un attacco ransomware.3 I ransomware possono influire inoltre sulle operazioni amministrative, come fatturazioni e buste paga, con conseguenti gravi danni per la reputazione.
Gli attacchi informatici hanno conseguenze sui sistemi critici, rendendo i dati inaccessibili e compromettendo la capacità dei sistemi sanitari di mantenere la sicurezza dei pazienti e fornire cure tempestive. In ultima analisi, sono i pazienti a soffrire maggiormente in queste situazioni. I medici potrebbero non essere in grado di eseguire procedure o di prescrivere farmaci; i farmacisti potrebbero avere difficoltà ad accedere alle informazioni relative alle prescrizioni. Inoltre, i processi di fatturazione delle organizzazioni diventano meno efficaci, con conseguenze sul numero di pazienti che si possono accogliere.
Il 44,4% degli attacchi ransomware ha ostacolato l'erogazione delle cure.2
Tuttavia, non bisogna rassegnarsi all'idea di essere in balia dei criminali informatici. Esistono misure che possono essere adottate per mitigare il rischio di un attacco ransomware, come ad esempio comprendere i motivi per i quali le organizzazioni sanitarie sono a rischio, individuare le modalità operative dei criminali informatici e collaborare con aziende come Philips, che mettono la sicurezza informatica al primo posto nello sviluppo di un software, e che possono aiutare a proteggere l'organizzazione.
I sistemi sanitari sono obiettivi particolarmente interessanti per gli attacchi ransomware in virtù di una combinazione di elementi: digitalizzazione delle informazioni sanitarie, reti complesse con molteplici punti di accesso, dispositivi con software di sicurezza non aggiornati, fattori umani e mancanza di controllo.
I dispositivi medici e i dispositivi indossabili a bassa sicurezza sono sempre più connessi a Internet, fornendo gateway verso le reti ospedaliere. In particolare, i dispositivi con cicli di patch poco frequenti potrebbero non offrire protezione contro i malware più recenti. Un altro fattore è rappresentato dal fatto che le catene di approvvigionamento nel settore sanitario sono diventate sempre più complesse e anche il sistema sanitario più piccolo implica il coinvolgimento di molte parti. Questa complessità, insieme ai numerosi venditori e fornitori di terze parti connessi ai sistemi ospedalieri, rende quasi impossibile per gli ospedali avere una totale capacità di visione e controllo su ogni aspetto delle proprie reti e amplifica il rischio e l'effetto potenziale di un attacco informatico.
Tra i fattori umani vi è la carenza di personale in ambito sia clinico sia amministrativo. Con la riduzione del numero dei dipendenti e l'allungamento dell'orario di lavoro, la sicurezza informatica può passare in secondo piano, generando errori e aprendo le porte agli attacchi informatici.
Anche la formazione in materia di sicurezza informatica può diventare meno prioritaria, portando così i dipendenti ad aiutare inconsapevolmente i criminali informatici. Il National Institute of Health ha riferito che il 90% delle violazioni inizia con il phishing (e-mail di massa) o lo spear-phishing (e-mail mirate).4 In entrambi i casi, gli hacker utilizzano e-mail o siti Web ingannevoli per raccogliere informazioni, ad esempio le credenziali di accesso al sistema PACS. Il report citava uno studio americano dal quale era emerso che gli operatori sanitari avessero cliccato una volta su sette sulle e-mail per le simulazioni di phishing.
Qual è il costo delle violazioni della sicurezza nel settore sanitario?
Nel 2024, il costo medio di una violazione dei dati sanitari è stato di 9,77 milioni di dollari.5
I fascicoli sanitari elettronici hanno senza dubbio facilitato la possibilità di condividere in modo efficiente i dati aggiornati dei pazienti per fornire loro una migliore assistenza, ma creano anche un ambiente ricco di dati preziosi molto interessanti per i criminali informatici.
Una volta che il ransomware crittografa i file di un'organizzazione, viene richiesto all'utente il pagamento di un riscatto. Per l'organizzazione sanitaria interessata inizia una corsa contro il tempo per ristabilire il controllo dell'accesso al sistema e/o ai dati dei pazienti. Per un sistema sanitario di grandi dimensioni, il backup di milioni di cartelle è un processo lungo, che non può essere eseguito in tempi utili, e gli hacker ne sono ovviamente consapevoli. Se non è disponibile alcun backup dei dati o se eventuali backup sono stati anch'essi crittografati, la vittima si trova a dover pagare il riscatto per poter recuperare i file.6 In molti casi, le organizzazioni sanitarie sono disposte a pagare pur di ripristinare i servizi ed evitare l'imbarazzo pubblico e la perdita di fiducia.
Anche se l'organizzazione sanitaria dovesse rifiutarsi di pagare, gli autori della minaccia potrebbero comunque guadagnare vendendo le informazioni sul dark web. Le informazioni sanitarie protette hanno un valore maggiore rispetto ad altri dati poiché possono essere ampiamente sfruttate, ad esempio, per presentare richieste di rimborso fraudolente alle assicurazioni, sfruttare prescrizioni false e accedere ai trattamenti.7 Le cartelle rubate sono una merce e il prezzo di vendita dipende tanto dalla fonte quanto dalla domanda e dall'offerta. In una trasmissione del marzo 2024, un ricercatore di sicurezza informatica intervistato sulla CNBC ha dichiarato che le cartelle cliniche vengono vendute a circa 60 dollari sul dark web, contro i 15 dollari dei dati di previdenza sociale o i 3 dollari delle informazioni sulle carte di credito.8
Cedric L. Truss, Program Director and Clinical Assistant Professor of Health Informatics presso la Georgia State University, raccomanda alle organizzazioni di adottare alcune misure preventive contro gli attacchi ransomware,6
tra cui:
Philips mette in atto una strategia completa per la sicurezza informatica che include la capacità di anticipare le vulnerabilità emergenti in materia di sicurezza e le potenziali minacce esterne, nonché una collaborazione con enti normativi, partner di settore e fornitori di servizi sanitari, tra gli altri, per colmare lacune nella sicurezza e implementare misure di protezione.
Philips Radiology Informatics implementa le linee guida sulla sicurezza informatica nell'intero ciclo di vita dei propri prodotti e nello sviluppo dei servizi. seguendo standard di sicurezza preziosi quali NIST, ISO, DICOM, IHE e DIACAP (ora RMF). Philips esamina inoltre con grande attenzione le leggi internazionali, dall'HIPAA alla direttiva UE sulla protezione dei dati, per identificare i requisiti dei prodotti e implementare le linee guida più recenti. Il Product Security Framework assicura che i dispositivi medici siano progettati con una strategia "Defense In-Depth", che incorpora controlli di sicurezza su più livelli per applicazioni, computing, dati e sicurezza della rete. Questi controlli, in linea con gli standard di sicurezza globali, sono meticolosamente integrati nelle nostre soluzioni mediche per mitigare efficacemente le minacce informatiche.
In linea con le migliori pratiche standard di settore, le misure di sicurezza informatica che implementiamo in Radiology Informatics includono:
[1] Ransomware Attacks Surge in 2023; Attacks on Healthcare Sector Nearly Double. CTIIC. 28 febbraio 2024. www.dni.gov/files/CTIIC/documents/products/Ransomware_Attacks_Surge_in_2023.pdf [2] Neprash H. McGlave C. Cross D. et al. Trends in Ransomware Attacks on US Hospitals, Clinics and Other Health Care Delivery Organizations, 2016-2021. JAMA Health Forum. 2022;3(12):e224873. doi:10.1001/jamahealthforum.2022.4873. [3] Levi R. Ransomware Attacks Against Hospitals Put Patients’ Lives at Risk, Researchers Say. Morning Edition. 20 ottobre 2023. www.npr.org/2023/10/20/1207367397/ransomware-attacks-against-hospitals-put-patients-lives-at-risk-researchers-say [4] Owens B. How Hospitals Can Protect Themselves from Cyber Attack. CMAJ. 2020 Jan 27; 192(4): E101–E102. doi: 10.1503/cmaj.1095841 www.ncbi.nlm.nih.gov/pmc/articles/PMC6989022/ [5] Southwick, R. Healthcare data breaches remain most expensive of any industry. Chief Healthcare Executve. 30 luglio 2024. www.chiefhealthcareexecutive.com/view/healthcare-data-breaches-remain-most-expensive-of-any-industry [6] Truss C. Taking Steps to Prevent the Rise of Ransomware Attacks in Healthcare. [7] Why is PHI Valuable to Hackers? Blog. 25 gennaio 2022. www.accountablehq.com/post/why-is-phi-valuable-to-hackers/ [8] Diaz N. How Much Money Are Hackers Selling Medical Records For? Becker’s Health IT. 15 marzo 2024. www.beckershospitalreview.com/cybersecurity/how-much-money-are-hackers-selling-medical-records-for.html *Disponibilità limitata ad alcune aree geografiche
www.himss.org/resources/taking-steps-prevent-rise-ransomware-attacks-healthcare. 24 agosto 2021
You are about to visit a Philips global content page
ContinueNote:
I contenuti presenti nella pagina che segue contengono informazioni rivolte esclusivamente agli OPERATORI SANITARI, in quanto si riferiscono a prodotti rientranti nella categoria dei dispositivi medici che richiedono l’impiego o l’intervento da parte di professionisti del settore medico-sanitario.