CompuGroup Medical
Synchronizing Healthcare

Scopri tutto sulla visione, la missione e le persone che danno forma a CompuGroup Medical in tutto il mondo.

Investor Relations
Eine Person tippt mit dem Finger auf ein Tablet-PC mit einer Investor-Relations-Präsentation
Carriera
CGM Global
Mehrere CGM-Flaggen

Sicurezza informatica: come tutelare il dato sanitario e la privacy

25 ottobre 2021 | CompuGroup Medical Italia
Dopo i recenti casi di attacchi avvenuti in Italia e nel mondo, appare chiaro che è sempre più difficile, anche nel settore sanitario, evitare le trappole dei cyber criminali. Proponiamo un vademecum per studi medici, poliambulatori e case di cura.
 

 

Gli attacchi informatici sono un pericolo molto concreto. Sempre più privati cittadini e aziende, ma anche Enti pubblici, sono stati vittima di virus, minacce via email, spamming, furto di dati e altri tipi di malware che hanno provocato gravi danni, blocchi o richieste di riscatto.

Lo spazio virtuale è prezioso e ha certamente cambiato le nostre vite. Ma la mole di dati e di contatti che ci consentono di accedere in pochi istanti ad ogni possibile informazione, per motivi di lavoro o personali, rappresenta anche una grande fonte di rischio, sia per le persone fisiche che per le istituzioni pubbliche e private. Insidie molto spesso sottovalutate.

 

Con la digitalizzazione cresce il rischio nella Sanità

Il settore medico-sanitario non fa eccezione agli attacchi informatici. Per quale motivo? In questo caso, a far gola agli hacker, sono i dati cosiddetti sensibili, quelli che ogni giorno vengono gestiti, aggiornati e archiviati da medici di base, specialisti, centri diagnostici e poliambulatori.

La finalità principale, al netto di chi agisce per puro divertimento spinto dal desiderio di creare panico, è riconducibile alle possibilità di guadagno in modo illegale perché i dati contenenti informazioni personali dei pazienti, quelli che si riferiscono alle condizioni di salute, ai farmaci prescritti e alle terapie seguite, sono molto richiesti dal mercato nero e possono essere quindi oggetto di richiesta di riscatto per la restituzione dei dati, che equivale un po’ a ricucire il buco creato. Nella maggior parte dei casi, per mettere fine al sequestro dei dati, si preferisce il pagamento in cripto-valute. Appena si perfeziona il versamento, le informazioni vengono riconsegnate. Ma naturalmente non c’è garanzia che un criminale mantenga la parola data.

È comunque evidente che l'attacco mette a rischio la sicurezza del sistema e pone problemi anche in termini di protezione della privacy. Di casi nel mondo e in Italia ce ne sono stati diversi.

 

Il down mondiale di Facebook, Instagram e WhatsApp

Nella rete internet gli imprevisti, o peggio azioni studiate nei minimi particolari, sono dietro l'angolo e possono creare problemi anche su scala mondiale, com'è successo agli inizi di ottobre 2021, quando per sei ore è stato impossibile accedere ai social Facebook e Instagram e alla messaggistica WhatsApp a causa di un blocco. Si è trattato di un crollo senza precedenti che ha dimostrato che persino le colossali multinazionali della news economy sono esposti a fragilità di natura tecnica. Punti di debolezza che, peraltro, hanno generato danni economici e d’immagine nell'ordine di miliardi di dollari.

L'attacco al sistema anti-Covid-19 della Regione Lazio

In Italia, il caso probabilmente più eclatante che ha messo in evidenza le insicurezze dei sistemi informatici, è avvenuto ad agosto 2021, quando è stata presa di mira la Regione Lazio. Il bersaglio è stato il Centro di elaborazione dei dati (Ced), con conseguente rischio di perdita dei dati sanitari di quasi 5,8 milioni di persone. A titolo precauzionale, la Regione ha bloccato il sistema di erogazione dei servizi informatici, sul quale poggiava anche l'organizzazione della campagna di vaccinazione contro il Covid-19.

La piattaforma destinata alla prenotazione degli appuntamenti per la somministrazione delle dosi negli hub vaccinali è stata offline per 72 ore. Ed è venuta a galla una richiesta di riscatto con l'invito a mettersi in contatto con il presunto autore dell'attacco leggibile sulla web page del virus. In ogni caso, lo stesso presidente ha precisato che nessun dato sanitario e finanziario è stato rubato. Anche in questo caso, proseguono le indagini per risalire all'identità dei responsabili.

 

Ransomware in Irlanda e tutto il sistema sanitario va offline

A maggio 2021 nella Repubblica d’Irlanda, stando a quanto riferito dalle cronache, l'ente delegato alla gestione del servizio sanitario nazionale, l'Health Service Executive, ha messo offline tutti i sistemi del Paese dopo un attacco Ransomware (virus del riscatto). È stata una decisione di natura precauzionale, dettata dalla necessità di contenere i danni conseguenti all'azione le cui responsabilità sono ancora in fase di accertamento.

È stata annullata la maggior parte delle visite mediche sia negli ambulatori che nelle strutture ospedaliere. È successo, solo per fare alcuni esempi, al "National Maternity Hospital", al "Crumlin Hospital" e al "Rotunda Hospital" di Dublino. Fortunatamente non è stata compromessa la campagna di vaccinazione contro il Covid-19 e le somministrazioni delle dosi sono andate avanti secondo il programma stabilito dalle autorità sanitarie.

 

I pericoli per studi medici e poliambulatori

Se colpisce soggetti così ben protetti, è chiaro che piccole aziende del settore Healthcare sono molto esposte, anche agli attacchi più semplici.

Un virus può viaggiare nella rete nascondendosi nella posta elettronica, nei messaggi pubblicati sui social e sui siti internet. L'utente viene invogliato a cliccare per aprire il contenuto nella convinzione (errata) di essere stato scelto da un mittente autorevole o con un messaggio che può apparire verosimile o per una promozione imperdibile e limitata nel tempo.

Basta un click per aprire la porta al virus e compromettere la sicurezza dei dati, con ulteriori conseguenze nel rapporto tra la struttura medica e i pazienti. Viene messa in dubbio la professionalità e a quel punto c'è il concreto rischio che i pazienti preferiscano interrompere i contatti per affidarsi ad altri studi medici.

 

Vademecum per proteggere i dati sanitari dei pazienti

Cosa possono fare gli studi medici, gli ambulatori e i poliambulatori per non inciampare nelle insidie della rete? È possibile seguire alcune regole di base:

1. Prima di tutto è necessario riuscire a individuare i punti di debolezza della rete informatica, dopo un attento screening dei computer, dei tablet e degli smartphone usati nelle strutture, in modo tale riuscire a formulare in piano strutturato per la sicurezza, installando le adeguate contromisure (antivirus, firewall, ecc.).

2. Si consiglia poi di eseguire periodicamente il back-up per il salvataggio di tutti i dati, lasciando l'archivio anche in versione off-line (su hard-disk) e di procedere con gli aggiornamenti dei software.

3. La formazione del personale è fondamentale, in particolare di chi si occupa della gestione della reception e delle attività amministrative e contabili, perché non sempre si ha contezza dei rischi dei virus e degli attacchi informatici.

4. Dotarsi di un software gestionale sanitario adeguato, altamente performante e che lavori sul Cloud (per una massima protezione dei dati sulla nuvola), è senz’altro un’ottima soluzione. Disporre di un supporto per la gestione e la protezione dei dati sanitari nel pieno rispetto della normativa comunitaria GDPR in materia di tutela della privacy, costituisce una barriera in grado di contenere e respingere possibili attacchi agli archivi e riduce notevolmente il rischio di perdere i dati sensibili.

Tutte iniziative utilissime ma che non eliminano completamente il rischio. Dobbiamo infatti rassegnarci: non esiste al momento una soluzione tecnologica di tutela sicura e garantita al 100%. Accanto al software, è possibile pensare anche a polizze assicurative che garantiscono la massima tutela rispetto ai rischi legati all'esercizio della professione in ambito medico-sanitario. Le polizze sono solitamente strutturate in modo tale da coprire tutti gli eventi dai quali potrebbero scaturire responsabilità in seguito a condotte di natura strettamente sanitarie o riconducibili a virus e cyber-attacchi.

CGM DATA PROTECT
La nostra Soluzione professionale per la gestione del GDPR, specifica per Medici, Farmacisti e Dentisti.