Sicurezza delle cartelle cliniche elettroniche: i dati dei pazienti, l’HIPAA e le minacce che il settore sanitario non può permettersi di ignorare

Cosa sono le cartelle cliniche elettroniche e perché sono importanti?

Le cartelle cliniche elettroniche (EHR) costituiscono la rappresentazione digitale dell’anamnesi dei pazienti. Queste cartelle digitali, sicure e aggiornate in tempo reale, includono informazioni relative a terapie farmacologiche, diagnosi, risultati di analisi di laboratorio ed esami di diagnostica per immagini.

Le EHR consentono al sistema sanitario moderno di proteggere e condividere le informazioni relative ai pazienti tra gli operatori sanitari autorizzati, quali medici di base, specialisti e laboratori. Queste cartelle mirano a migliorare il coordinamento, la sicurezza e la qualità dell’assistenza sanitaria.

Che cos’è esattamente un EHR e in che cosa differisce da un EMR?

Una cartella clinica elettronica (EMR) rappresenta digitalmente la storia clinica e terapeutica dei pazienti all’interno di un unico studio medico. È utile per i medici che l’hanno creata. Tuttavia, non è progettata per accompagnare il paziente nei suoi spostamenti.

Una cartella clinica elettronica (EHR) è progettata per accompagnare il paziente attraverso diverse strutture sanitarie, dal medico di base al centro di riabilitazione. Le EHR includono dati provenienti da più di una fonte e sono accessibili agli operatori sanitari autorizzati.

Pertanto, un’EHR ha un valore clinico ma può rivelarsi pericolosa in caso di violazioni della sicurezza, poiché espone l’intera anamnesi medica dei pazienti. Un EMR è meno pericoloso sotto questo aspetto poiché include le cartelle cliniche relative a un unico studio medico.

Quali tipi di dati dei pazienti vengono archiviati nelle cartelle cliniche elettroniche (EHR)?

Una cartella clinica elettronica (EHR) contiene in genere dati demografici e identificativi, tra cui:

• Nome completo
• Data di nascita
• Indirizzo
• Numero di previdenza sociale
• Codici identificativi assicurativi

Contiene dati clinici, quali diagnosi, farmaci, allergie, registri delle vaccinazioni, risultati di analisi di laboratorio, esami di diagnostica per immagini, anamnesi chirurgiche e note cliniche dettagliate redatte da ogni operatore sanitario che abbia curato il paziente.

Un EHR include anche informazioni finanziarie, tra cui i dettagli sulla copertura assicurativa, i registri di fatturazione e la cronologia dei pagamenti. Inoltre, in un EHR si possono trovare anche dati comportamentali e sociali, quali note sull’uso di sostanze, lo stato di salute mentale, le circostanze familiari e i determinanti sociali della salute alla base delle decisioni cliniche.

È possibile bloccare una carta di credito smarrita o rubata, ma lo stesso non si può dire, in realtà, per una tessera sanitaria. Ecco perché un EHR è estremamente prezioso per i criminali.

Perché le cartelle cliniche elettroniche (EHR) sono fondamentali per l’erogazione moderna dell’assistenza sanitaria e per gli esiti dei pazienti?

Le cartelle cliniche elettroniche (EHR) sono strumenti amministrativi e svolgono al contempo un ruolo essenziale nel processo decisionale clinico, influenzando la sicurezza e gli esiti dei pazienti.

Ad esempio, le informazioni complete e accurate sui farmaci presenti in una cartella clinica elettronica (EHR) sono alla base della verifica delle interazioni farmacologiche. Inoltre, la disponibilità delle cartelle relative alle allergie facilita gli avvisi in caso di allergie. Inoltre, i risultati delle immagini diagnostiche in tempo reale presenti in una cartella clinica elettronica (EHR) sono fondamentali per gli strumenti di supporto alle decisioni diagnostiche. Infine, il coordinamento dell’assistenza sanitaria si basa su una visione condivisa e aggiornata dello stato clinico dei pazienti.

Quando i sistemi degli operatori sanitari perdono l’accesso ai sistemi EHR a causa di attacchi ransomware o guasti di sistema, le operazioni cliniche cartacee diventano più lente, più soggette a errori e meno sicure.

Di conseguenza, i risultati critici degli esami possono subire ritardi, il coordinamento dell’assistenza sanitaria può peggiorare e gli errori terapeutici possono aumentare. Pertanto, sistemi EHR sicuri garantiscono la sicurezza dei pazienti.

Quali rischi per la sicurezza e la privacy minacciano i sistemi EHR e i dati dei pazienti?

Il settore sanitario deve affrontare minacce quali il phishing, gli attacchi ransomware, la negligenza e le vulnerabilità di terze parti. Queste violazioni possono compromettere i sistemi sanitari, causare danni finanziari e portare a gravi violazioni della privacy dei pazienti.

Quali sono le minacce informatiche più comuni per le cartelle cliniche elettroniche (EHR): attacchi di estorsione nel settore sanitario, phishing, minacce interne?

Il phishing rimane uno dei vettori di attacco iniziali più frequentemente segnalati negli incidenti di sicurezza nel settore sanitario, a causa di una forza lavoro numerosa e diversificata che opera sotto costante pressione temporale. Ad esempio, gli hacker possono inviare un’e-mail di phishing a un responsabile infermieristico clinico durante un turno particolarmente intenso, e il responsabile potrebbe rispondere senza un’adeguata verifica di sicurezza.

Le minacce interne, deliberate o involontarie, quali il furto a scopo di lucro e l’uso di password deboli, differiscono strutturalmente dagli attacchi esterni. Ad esempio, le organizzazioni sanitarie contano migliaia di dipendenti con un accesso legittimo e ampio alle cartelle cliniche dei pazienti.

Questi dipendenti possono effettuare accessi non autorizzati spinti dalla curiosità o motivati da ragioni finanziarie. In questo caso, i controlli di accesso da soli non sono sufficienti a impedire tali accessi. Solo un monitoraggio comportamentale sofisticato è in grado di rilevare le minacce interne.

Gli attacchi da parte di terze parti e lungo la catena di fornitura includono aggiornamenti software dannosi e strumenti di accesso remoto, nonché lo sfruttamento di dispositivi medici e dell’IoT o dell’Internet delle cose nel settore sanitario (HIoT).

Queste minacce sono in aumento poiché le organizzazioni sanitarie dipendono sempre più dalle reti di fornitori di tecnologia, quali Epic e Cerner, e dai fornitori di servizi. Tali organizzazioni non dispongono sempre di controlli rigorosi. Epic e Cerner sono le principali piattaforme di cartelle cliniche elettroniche (EHR).

In che modo si verificano tipicamente le violazioni dei dati in ambito sanitario?

Gli ambienti sanitari gestiscono enormi volumi di cartelle cliniche cartacee e operano in condizioni difficili, spesso prive di misure di sicurezza rigorose. Computer portatili, chiavette USB e cartelle cliniche cartacee rappresentano le principali fonti di violazioni.

Inoltre, anche un fornitore, un appaltatore o un partner che gestisce informazioni sanitarie protette può subire una violazione. Nello specifico, questi soggetti possono attribuire la responsabilità all’ente sanitario interessato ai sensi dell’Health Insurance Portability and Accountability Act (HIPAA), indipendentemente dal fatto che l’ente stesso abbia avuto o meno una colpa diretta.

Quali sono le conseguenze della compromissione dei dati delle cartelle cliniche elettroniche (EHR) per i pazienti e gli operatori sanitari?

Il furto di identità medica si verifica quando gli aggressori utilizzano credenziali rubate per ottenere in modo fraudolento servizi sanitari, farmaci o rimborsi assicurativi. Ciò può comportare cartelle cliniche corrotte contenenti informazioni false relative a trattamenti, farmaci e diagnosi.

Le cartelle cliniche dei pazienti con voci errate relative ai farmaci o con diagnosi attribuite erroneamente comportano rischi clinici per i pazienti ogni volta che ricevono cure, poiché i medici prendono decisioni tenendo conto delle informazioni errate contenute in tali cartelle.

La frode assicurativa comporta un danno finanziario, aumentando in modo significativo le spese a carico dei pazienti e i premi assicurativi. Ne risente l’intero ecosistema sanitario. Le risorse destinate alla cura legittima dei pazienti vengono prosciugate, costringendo così le persone ad affrontare rischi medici non necessari.

La divulgazione di diagnosi sensibili, quali le informazioni relative alla salute mentale e riproduttiva e all’uso di sostanze, causa un danno reputazionale. Il danno reputazionale riduce il numero di pazienti, incide sul reclutamento dei medici e diminuisce la fiducia della comunità.

Per quanto riguarda le conseguenze normative, violazioni gravi possono comportare sanzioni pecuniarie civili ai sensi dell’HIPAA pari a milioni di dollari e un’indagine forense.

Ciò che le organizzazioni sanitarie spesso comprendono solo dopo un incidente di sicurezza

Le analisi condotte nel settore sanitario a seguito di un incidente rivelano che le organizzazioni spesso non hanno un quadro chiaro del proprio stato di sicurezza.

Perché gli ospedali tecnicamente conformi subiscono comunque violazioni

Anche se un ospedale supera un audit HIPAA e soddisfa ogni requisito documentato, può comunque essere vulnerabile agli attacchi alla sicurezza informatica. Questo perché l’HIPAA prevede requisiti minimi senza specificare controlli tecnici per una sicurezza efficace.

Ad esempio, un ospedale può disporre di una politica sulle password conforme ai requisiti di controllo degli accessi previsti dall’HIPAA, che gli hacker moderni sono in grado di aggirare facilmente.

Perché il flusso di lavoro clinico spesso prevale sulle politiche di sicurezza scritte

Se le politiche di sicurezza, quali una solida autenticazione a più fattori (MFA) e i controlli di disconnessione automatica, causano attrito, il flusso di lavoro clinico spesso prevale su di esse. Perché? Perché se è richiesto il blocco automatico della postazione di lavoro dopo 2 minuti di inattività, è difficile per un’infermiera che si sposta da un paziente all’altro sbloccare lo schermo più di una volta in un breve lasso di tempo.

Le politiche di sicurezza non dovrebbero trascurare le realtà del flusso di lavoro clinico. Se scollegate dalla realtà, tali politiche non verranno seguite, indebolendo così la protezione dei dati.

Come le eccezioni temporanee diventano vulnerabilità permanenti

Quando un’organizzazione sanitaria condivide un account creato durante la migrazione di un sistema, tale account può risultare ancora attivo tre anni dopo. Inoltre, quando l’organizzazione abilita una regola del firewall per connettersi con un fornitore durante un’implementazione, questa rimane attiva. Infine, un’autorizzazione di accesso privilegiato concessa durante un’emergenza non viene mai revocata.

È così che le organizzazioni sanitarie gestiscono le vulnerabilità permanenti. Questi punti deboli diventano spesso bersagli di attacchi.

Perché i fallimenti nella sicurezza della protezione delle cartelle cliniche elettroniche sono spesso di natura operativa, non tecnica

L’analisi post-incidente dimostra che la maggior parte delle violazioni nel settore sanitario è dovuta a condizioni operative e non tecniche. Nello specifico, tali condizioni includono accessi mai revocati, eccezioni lasciate senza revisione, politiche non applicate e monitoraggio a cui non è stato dato seguito.

I controlli tecnici rappresentano la capacità che può essere implementata e mantenuta efficacemente attraverso i controlli operativi. Un ospedale dotato di una sofisticata tecnologia di sicurezza subirà una violazione a causa di processi operativi carenti. Ma un ospedale dotato di una tecnologia modesta e di una solida disciplina operativa sarà protetto in modo sicuro.

Cosa sottovalutano i team di sicurezza riguardo agli ambienti sanitari attivi 24 ore su 24, 7 giorni su 7

Prendiamo ad esempio i processi di sicurezza durante l’orario di lavoro, quali le revisioni degli accessi e la risposta agli incidenti. Questi sono completamente diversi in un ospedale che opera su tre turni senza poter programmare tempi di inattività per la manutenzione dei sistemi senza una valutazione dell’impatto clinico.

I team di sicurezza disponibili durante l’orario di lavoro potrebbero non garantire una copertura completa durante la notte e nei fine settimana. E gli hacker più esperti sanno come sfruttare queste fasce orarie a proprio vantaggio. Possono accedere alle informazioni di cui hanno bisogno alle 2 del mattino di sabato, prima che il team di sicurezza venga allertato e intervenga.

Quali problemi di sicurezza riscontrano comunemente le organizzazioni sanitarie dopo l’implementazione delle cartelle cliniche elettroniche (EHR)?

L’implementazione delle cartelle cliniche elettroniche (EHR) richiede risorse, preparazione e attenzione enormi. I problemi di sicurezza che le organizzazioni devono affrontare dopo l’implementazione evidenziano la differenza tra il comportamento del sistema durante i test controllati e il suo effettivo funzionamento nei sistemi sanitari.

Perché i sistemi EHR sicuri continuano a subire incidenti di accesso non autorizzato?

I sistemi EHR vengono sviluppati con controlli di accesso che non corrispondono necessariamente alla realtà clinica. Le autorizzazioni di accesso per i sistemi di controllo basati sui ruoli si fondano in genere sulla funzione lavorativa, che non è necessariamente definita con precisione in un contesto clinico. Ad esempio, un infermiere del pronto soccorso potrebbe aver bisogno di accedere a cartelle cliniche che un ruolo infermieristico standard non richiede.

Tuttavia, se per una decisione pragmatica è necessario un accesso più ampio, molti utenti avranno bisogno di un livello di accesso superiore a quello consentito dalle loro responsabilità cliniche. Ciò può comportare violazioni dei controlli di accesso.

Quali scorciatoie operative indeboliscono comunemente la sicurezza delle cartelle cliniche elettroniche negli ospedali?

Le scorciatoie operative, note anche come soluzioni alternative, indeboliscono la protezione dei dati dei pazienti negli ospedali aggirando le barriere di sicurezza ed esponendo tali dati. Il personale clinico ricorre spesso a queste scorciatoie per risparmiare tempo o evitare le interfacce progettate.

Nello specifico, le credenziali condivise rappresentano le scorciatoie di flusso di lavoro più comuni negli ambienti sanitari che utilizzano le cartelle cliniche elettroniche (EHR).

Quando le procedure di accesso creano difficoltà a causa di passaggi di autenticazione multipli, password complesse o timeout delle sessioni, il personale clinico ricorre a soluzioni alternative, quali le credenziali condivise. Oppure può lasciare le sessioni attive, consentendo a utenti non autenticati di accedere al sistema. Di conseguenza, gli ospedali si trovano ad affrontare falle nella protezione della sicurezza informatica delle cartelle cliniche.

In che modo le postazioni di lavoro condivise e gli ambienti clinici frenetici creano rischi nascosti?

I membri del personale, distribuiti su più turni, condividono le postazioni di lavoro cliniche sotto pressione temporale e concentrandosi principalmente sui pazienti piuttosto che sulle misure di sicurezza.

Le tecnologie di autenticazione basate sulla prossimità, tra cui smart card, badge di prossimità e lettori biometrici, aiutano a superare alcune sfide. Tuttavia, presentano a loro volta delle complessità operative.

In particolare, gli utenti possono smarrire le proprie tessere o lasciarle nei lettori. Inoltre, le tecnologie biometriche non riconoscono le mani se indossano guanti o se sono bagnate. Tali malfunzionamenti causano attriti operativi, che portano all’adozione di soluzioni alternative.

Quali lacune di sicurezza diventano visibili solo durante le reali operazioni sanitarie?

I ritardi che creano pressione per l’adozione di soluzioni alternative, la difficoltà nel mantenere registri completi sotto carico operativo e le limitazioni operative costituiscono delle lacune di sicurezza. Queste diventano visibili quando il sistema opera a pieno carico clinico. Tali lacune di sicurezza non sono evidenti durante i test controllati.

Il motivo è che i sistemi di autenticazione possono funzionare senza intoppi durante i test. I sistemi di registrazione degli audit che rilevano gli accessi possono funzionare senza difficoltà in fase di test. Infine, i controlli di sicurezza possono apparire solidi in condizioni controllate.

Cosa hanno spesso in comune i fallimenti di sicurezza nella protezione delle cartelle cliniche elettroniche nel mondo reale

I privilegi di accesso eccessivi sono un fattore ricorrente in molti incidenti di sicurezza nel settore sanitario. Non vengono mai rivisti e compaiono nei registri di accesso. Nello specifico, l’hacker ottiene l’accesso al sistema e ai dati come titolare legittimo dell’account. Una volta legittimato, l’accesso non è mai stato rivisto in seguito.

Il rilevamento ritardato è un altro errore molto diffuso. Di solito occorrono settimane o mesi per rilevare una violazione dopo l’accesso iniziale. E questo è sufficiente affinché gli aggressori individuino e preparino i dati di destinazione e si organizzino per la crittografia.

Inoltre, i backup non testati sono inaffidabili. I dati di backup la cui completezza non è stata verificata vengono ripristinati in uno stato obsoleto.

Un fornitore che utilizza credenziali di accesso remoto legittime, ma con un account non monitorato, può diventare il punto di ingresso per un attacco. I controlli perimetrali dell’ospedale stesso avrebbero dovuto proteggere i dati.

Inoltre, i piani di risposta agli incidenti redatti su carta sono spesso guide inadeguate per una risposta effettiva nella realtà. Il personale chiave è spesso indisponibile. Le informazioni di contatto non vengono solitamente aggiornate.

In che modo l’HIPAA e le normative sulla portabilità e la responsabilità dell’assicurazione sanitaria influiscono sulla sicurezza dei dati dei pazienti?

In virtù dell’HIPAA e delle normative federali associate, le organizzazioni sanitarie devono implementare misure di sicurezza amministrative, fisiche e tecniche complete, quali la crittografia, i controlli di accesso basati sui ruoli e le tracce di audit. Di conseguenza, tali organizzazioni possono proteggere i dati sanitari e garantire la riservatezza delle informazioni sanitarie protette in formato elettronico (ePHI).

In che modo l’HIPAA e l’Insurance Portability and Accountability Act proteggono i dati dei pazienti?

La norma sulla privacy dell’HIPAA stabilisce standard nazionali per proteggere le cartelle cliniche dei pazienti e altre informazioni sanitarie. Inoltre, tale norma definisce i piani sanitari e i centri di smistamento delle informazioni sanitarie per l’uso e la divulgazione di tali informazioni.

Secondo la norma, le informazioni sanitarie protette (PHI) sono informazioni sanitarie identificabili individualmente che le suddette organizzazioni sanitarie o i loro collaboratori detengono e trasmettono.

Tali entità devono attuare misure di sicurezza amministrative, fisiche e tecniche per garantire che le informazioni siano riservate, integrate e disponibili.

La Norma sulla sicurezza comprende gli elementi principali della Norma sulla sicurezza prevista dall’Health Insurance Portability and Accountability Act del 1996¹ (HIPAA). Essa riguarda i pazienti coperti, le informazioni protette e le misure di sicurezza che garantiscono un’adeguata protezione delle informazioni sanitarie protette in formato elettronico (ePHI).

La Norma sulla sicurezza si concentra sui risultati, quali la conformità del personale e la protezione contro le minacce previste. Non impone approcci tecnici specifici, quali il controllo degli accessi e la crittografia.

La Norma sulla Notifica delle Violazioni stabilisce i termini entro i quali i soggetti interessati devono notificare alle persone coinvolte, al Segretario dell’HHS e, in alcuni casi, ai media, una violazione delle PHI non protette. Il mancato rispetto di tali requisiti costituisce una violazione separata dell’HIPAA.

Quali misure di sicurezza sono necessarie per proteggere le informazioni sanitarie?

La Norma sulla sicurezza dell’HIPAA classifica le misure di protezione richieste in tre tipologie. In primo luogo, le misure di protezione amministrative si riferiscono alle politiche, alle procedure e alla formazione che le organizzazioni devono adottare per gestire la sicurezza delle ePHI.

In secondo luogo, le organizzazioni devono adottare misure di protezione fisiche per controllare l’accesso fisico ai sistemi informativi elettronici e alle strutture utilizzate. Tali misure possono includere controlli di accesso alle strutture, controlli su dispositivi e supporti, nonché politiche relative all’uso e alla sicurezza delle postazioni di lavoro.

Infine, le misure di sicurezza tecniche si riferiscono alla tecnologia e alle relative politiche volte a proteggere le ePHI e a controllarne l’accesso. Tali misure possono includere controlli relativi all’accesso, all’integrità e alla verifica, nonché alla sicurezza delle trasmissioni.

In che modo le organizzazioni sanitarie possono dimostrare la conformità all’HIPAA durante gli audit di sicurezza?

La conformità all’HIPAA richiede alle organizzazioni sanitarie una documentazione completa e aggiornata. I revisori esaminano non solo la documentazione relativa alle politiche e alle procedure, ma anche le prove che attestino l’effettiva attuazione e applicazione di tali politiche.

La Norma sulla Sicurezza impone ai soggetti sopra menzionati di condurre una valutazione dei rischi accurata e approfondita in merito alla riservatezza, all’integrità e alla disponibilità delle ePHI. Tali soggetti devono documentare e dimostrare l’analisi dei rischi sulla base dell’ambiente attuale e elaborare un piano di gestione dei rischi corrispondente.

La conformità all’HIPAA comprende i registri relativi alla formazione del personale, i registri di controllo degli accessi e di audit, nonché gli accordi con i partner commerciali e la documentazione relativa alla risposta agli incidenti. Tale pratica operativa continua aiuta le organizzazioni sanitarie a superare con successo un audit e a garantire un’adeguata sicurezza.

Cosa spesso sfugge agli audit di sicurezza

Gli audit di sicurezza spesso trascurano le vulnerabilità legate al fattore umano, quali l’uso condiviso delle credenziali di accesso e il social engineering. Inoltre, spesso trascurano le configurazioni errate dei sistemi, quali autorizzazioni troppo ampie concesse agli utenti e la mancanza di registri di audit. Infine, spesso trascurano i rischi legati a terze parti, quali integrazioni API non verificate e violazioni della catena di fornitura dei fornitori.

Vediamo cosa offrono gli audit di sicurezza:

Perché il superamento di un audit di sicurezza non garantisce la protezione delle cartelle cliniche elettroniche

Un audit di sicurezza non valuta in modo esaustivo se i controlli di sicurezza funzionino efficacemente contro minacce realistiche. Nello specifico, un audit può confermare che un’organizzazione abbia stabilito e documentato una politica relativa alle password. Tuttavia, non è in grado di stabilire in modo affidabile se tutti i sistemi e gli utenti rispettino costantemente tale politica.

Inoltre, un audit può confermare l’esistenza di un accordo con i partner commerciali adeguato. Ma l’audit non può determinare se i requisiti di sicurezza specificati nell’accordo siano effettivamente implementati.

Lacune di conformità vs. realtà operativa

Il quadro di conformità si concentra sull’esistenza dei controlli, mentre la sicurezza operativa si concentra sul fatto che tali controlli funzionino correttamente.

Le organizzazioni che utilizzano i registri di audit come strumento tecnico potrebbero non esaminarli frequentemente o con la dovuta attenzione per individuare attività anomale.

Per quanto riguarda i controlli di accesso, questi potrebbero essere documentati nella politica ma non applicati in modo coerente. Inoltre, le procedure di risposta agli incidenti potrebbero essere documentate ma prive di test adeguati o aggiornamenti che le rendano corrispondenti alle strutture organizzative e alle informazioni di contatto esistenti.

Perché le valutazioni annuali non tengono conto delle minacce in continua evoluzione

Quando un’organizzazione effettua una valutazione una volta all’anno, questa riflette lo stato di sicurezza dell’organizzazione in quel giorno specifico. Tuttavia, nuove vulnerabilità e minacce possono emergere durante gli altri 364 giorni dell’anno. Pertanto, le valutazioni periodiche dei rischi non sono in grado di riflettere adeguatamente lo stato di sicurezza delle organizzazioni.

Il problema dei programmi di sicurezza basati su liste di controllo

I programmi di sicurezza incentrati sul completamento di liste di controllo di conformità richiedono alle organizzazioni di documentare ogni controllo e processo richiesto, il che è soddisfacente per i revisori. Tuttavia, non garantiscono necessariamente una sicurezza adeguata.

I programmi di sicurezza basati su liste di controllo forniscono una risposta organizzativa prevedibile ai requisiti di conformità senza misurare i risultati in termini di sicurezza.

Un programma di sicurezza adeguato non dovrebbe limitarsi a documentare e raccogliere prove. Dovrebbe individuare le minacce e rispondere di conseguenza senza dedicare la maggior parte del proprio tempo prezioso alle attività di conformità.

In che modo il comportamento reale degli aggressori differisce dalle ipotesi di audit

Quando un’organizzazione sanitaria conduce audit di sicurezza per valutare i controlli rispetto a modelli di minaccia documentati, potrebbe non ottenere un quadro completo di come operano gli aggressori reali. Questi audit aiutano a verificare se i controlli di accesso siano in grado di impedire l’uso improprio da parte di utenti privi di credenziali.

Ma cosa accadrebbe se non vi fosse alcuna ragione clinica per prestare attenzione a un accesso improprio? In che modo l’analisi comportamentale lo rileverebbe? Di fatto, tali audit non esaminano se l’organizzazione sia in grado di ripristinare con successo tali backup entro i tempi richiesti dal recupero a seguito di un attacco di crittografia dei dati.

I veri aggressori prendono di mira specifiche vulnerabilità in un ambiente specifico. Non si concentrano sugli scenari di minaccia previsti dai quadri normativi di conformità.

Quali misure di sicurezza contribuiscono a proteggere le informazioni sanitarie nei sistemi di cartelle cliniche elettroniche (EHR)?

Le organizzazioni sanitarie dovrebbero applicare un modello di difesa a più livelli per proteggere le informazioni sanitarie nei sistemi di cartelle cliniche elettroniche. Il modello dovrebbe basarsi su misure di sicurezza tecniche, amministrative e fisiche.

In che modo la crittografia e i controlli di sicurezza dei dati possono proteggere i dati dei pazienti?

La protezione delle ePHI dall’accesso non autorizzato considera la crittografia come un controllo tecnico. Nello specifico, la crittografia a riposo si riferisce a database, file system e supporti di backup. Essa garantisce che le informazioni archiviate non possano essere trasformate in dati leggibili.

Per quanto riguarda la crittografia in transito, essa protegge i dati in movimento tra sistemi, utenti e organizzazioni. Ciò contribuisce a impedire l’intercettazione e la lettura delle PHI.

Purtroppo, la protezione può risultare limitata a causa di algoritmi obsoleti, lunghezze delle chiavi insufficienti o una gestione inadeguata dell’archiviazione delle chiavi utilizzate nella crittografia. Pertanto, gli operatori sanitari necessitano di standard crittografici robusti e aggiornati e dovrebbero rivedere e aggiornare regolarmente le implementazioni di crittografia.

Inoltre, se gli operatori monitorano l’attività dei database, possono beneficiare di un ulteriore livello di controllo. Di conseguenza, sono in grado di rilevare accessi non autorizzati anche qualora tali accessi avvengano tramite credenziali legittime e diritti di decrittografia.

Quale ruolo svolgono il controllo degli accessi e l’autenticazione forte? L’accesso multifattoriale e basato sui ruoli è sufficiente?

Il controllo degli accessi basato sui ruoli (RBAC) svolge il ruolo più fondamentale nella gestione dell’accesso alle cartelle cliniche elettroniche (EHR). Infatti, il suo quadro sistematico consente agli utenti di accedere solo ai dati richiesti dal proprio ruolo clinico.

L’autenticazione a più fattori (MFA) migliora significativamente la sicurezza dell’autenticazione rispetto all’accesso basato esclusivamente su password, poiché in questo settore sono comuni le credenziali condivise e l’autenticazione minima. Un malintenzionato che utilizzi il phishing o il furto di credenziali per ottenere una password deve compromettere un secondo fattore per autenticarsi.

L’RBAC controlla a quali dati gli utenti possono accedere senza controllare come utilizzano tale accesso dopo l’autenticazione. L’autenticazione a più fattori (MFA) verifica che una persona in possesso dei fattori di autenticazione stia tentando di effettuare l’accesso, senza però verificare che tale persona sia effettivamente il legittimo titolare dell’account.

Entrambi i controlli sono fondamentali per la protezione delle informazioni sanitarie. Tuttavia, dovrebbero essere applicati anche ulteriori livelli di sicurezza, quali il monitoraggio comportamentale e il rilevamento delle anomalie.

Autenticazione a più fattori nel settore sanitario: pro e contro

In che modo la segmentazione della rete, le API sicure e la protezione degli endpoint possono mitigare le minacce?

La segmentazione della rete limita il movimento laterale che segue la compromissione iniziale. In una rete piatta, i sistemi comunicano liberamente. Gli hacker, una volta entrati nel sistema, possono sondare e attaccare i sistemi adiacenti per raggiungere l’obiettivo.

Nel caso di reti segmentate, gli hacker devono superare ulteriori controlli a ogni confine di segmento. Ciò rallenta l’avanzata, genera attività rilevabili e limita l’entità del danno derivante da ogni singola compromissione.

Le reti sanitarie presentano sfide specifiche in materia di segmentazione, poiché gli ambienti clinici utilizzano tecnologie eterogenee, tra cui sistemi IT tradizionali e dispositivi clinici IoT.

Una segmentazione efficace si basa sulla consapevolezza che questi ambienti presentano una natura eterogenea. Inoltre, i confini dei segmenti tra i componenti più vulnerabili delle reti dovrebbero essere progettati in modo tale da non interrompere il flusso di lavoro clinico.

Per quanto riguarda la sicurezza delle API, la sua importanza sta crescendo in tutto il mondo. Le interfacce nei sistemi di cartelle cliniche elettroniche (EHR) devono infatti essere ben protette, poiché gestiscono strumenti e processi critici, tra cui strumenti di supporto al processo decisionale clinico e scambi di informazioni sanitarie con soggetti esterni.

Poiché gli endpoint delle API rappresentano un bersaglio per gli hacker, è possibile proteggerli tramite controlli di autenticazione e autorizzazione, limitando la frequenza degli accessi, convalidando gli input e tenendo sotto controllo i modelli di accesso anomali.

La protezione degli endpoint API è una pratica di sicurezza fondamentale. Essa garantisce la sicurezza degli specifici URL digitali e dei punti di contatto di comunicazione in cui le applicazioni scambiano dati e funzionalità. Una protezione efficace degli endpoint implica la messa in sicurezza sia del livello di accesso che della struttura portante dell’applicazione.

Qual è il valore della registrazione, del monitoraggio e della gestione delle informazioni e degli eventi di sicurezza (SIEM)?

L’HIPAA richiede una registrazione completa degli audit relativi all’accesso alle ePHI, che costituisce anche una funzionalità di sicurezza fondamentale. I registri aiutano a individuare gli abusi di accesso, a indagare sugli incidenti, a dimostrare la conformità e a comprendere il comportamento degli hacker a seguito di una violazione.

Le organizzazioni sanitarie possono trarre vantaggio dai registri se questi vengono sia raccolti che monitorati. È infatti la capacità analitica che consente di ricavare informazioni di sicurezza dai registri in tempo reale.

Nel settore sanitario, la gestione delle informazioni e degli eventi di sicurezza (SIEM) aiuta a distinguere i normali modelli di accesso clinico dagli accessi anomali.

Quali politiche di sicurezza delle informazioni garantiscono la protezione delle cartelle cliniche elettroniche?

Politiche efficaci di protezione dei dati dei pazienti, quali misure di sicurezza amministrative, fisiche e tecniche, garantiscono che le cartelle cliniche siano riservate, integrate e disponibili.

Come dovrebbero essere definite le politiche di governance, classificazione e conservazione dei dati?

La governance dei dati nel settore sanitario si basa sulla chiarezza dei dati delle cartelle cliniche elettroniche (EHR), sulla loro ubicazione, sul soggetto o sull’ente responsabile di tali dati e sulle norme che ne regolano l’uso e la protezione.

I dati delle cartelle cliniche elettroniche (EHR) confluiscono in piattaforme di analisi clinica, banche dati di ricerca, strumenti sanitari relativi ai pazienti e sistemi di rendicontazione. Pertanto, tali dati dovrebbero essere gestiti lungo l’intero ciclo di vita sotto controlli adeguati.

La classificazione dei dati aiuta le organizzazioni sanitarie ad applicare controlli tenendo conto della sensibilità dei dati. Dati sanitari diversi presentano livelli diversi di sensibilità o di rilevanza normativa. Nello specifico, i dati aggregati e anonimizzati utilizzati per le analisi sanitarie differiscono da quelli relativi alle cartelle cliniche identificabili individualmente.

Le categorie di dati altamente sensibili, quali le cartelle cliniche relative alla salute mentale e le informazioni sulla salute riproduttiva, richiedono una protezione rafforzata ai sensi della legislazione statale.

Le politiche di conservazione sono concepite per bilanciare i requisiti clinici, legali e di sicurezza. Le cartelle cliniche devono essere conservate per periodi specifici in base alle linee guida cliniche. Per quanto riguarda i requisiti legali, questi variano da giurisdizione a giurisdizione. Infine, le linee guida di sicurezza impongono alle organizzazioni sanitarie di ridurre al minimo il volume dei dati sensibili.

Per gestire con successo i dati sanitari, le organizzazioni dovrebbero conciliare i requisiti menzionati in un quadro di conservazione coerente, che vada oltre le funzioni cliniche, legali, di conformità e di sicurezza.

Quali programmi di formazione e sensibilizzazione contribuiscono a ridurre l’errore umano e il rischio interno?

Una formazione efficace in materia di sicurezza nel settore sanitario dovrebbe essere progettata specificamente per ciascun ruolo, essere pertinente al contesto dei dati e integrarsi nei flussi di lavoro clinici. Un infermiere consapevole dei rischi legati alla condivisione delle credenziali è in grado di proteggerle efficacemente. Lo stesso non si può dire di un infermiere che abbia completato una formazione generica sulla sicurezza delle password.

Inoltre, i programmi di simulazione di phishing, in cui il personale si trova a gestire e-mail di phishing realistiche ma innocue, consentono di ricevere un feedback immediato e una formazione mirata. Non è quindi necessario attendere il prossimo ciclo di sensibilizzazione in programma.

In che modo è possibile strutturare la gestione dei rischi legati a terze parti e i contratti con i fornitori per proteggere i dati dei pazienti?

L’HIPAA estende i propri requisiti alle terze parti tramite Accordi di collaborazione commerciale (BAA). Un BAA documenta i requisiti, ma non garantisce la conformità. Ecco perché un’efficace gestione dei rischi legati a terze parti va oltre un semplice BAA.

Una gestione efficace dei rischi legati alle terze parti dovrebbe basarsi su una valutazione della sicurezza dei fornitori prima della loro selezione, sul monitoraggio e sulla verifica della conformità. Di conseguenza, le organizzazioni sanitarie possono venire a conoscenza delle violazioni da parte dei fornitori senza perdere tempo.

L’ecosistema dei fornitori del settore sanitario è eterogeneo e ciò rende complessa la gestione dei rischi legati alle terze parti. Le aziende e i fornitori di servizi, quali i fornitori di cartelle cliniche elettroniche (EHR), i produttori di dispositivi medici, i fornitori di servizi cloud e di servizi gestiti, nonché gli integratori di sistemi clinici, gestiscono le informazioni sanitarie protette (PHI) in modo diverso e con capacità di sicurezza diverse.

Una valutazione e un monitoraggio intensivi dei rischi possono aiutare concretamente a gestire con successo questa complessità e diversità.

In che modo le organizzazioni sanitarie conciliano la sicurezza delle informazioni con l’efficienza clinica?

Le organizzazioni sanitarie conciliano la sicurezza delle informazioni con l’efficienza clinica attraverso una gestione ponderata e controlli di sicurezza. Di conseguenza, godono di una protezione significativa e riducono al minimo gli attriti operativi.

I controlli di accesso rigorosi possono rallentare le cure mediche di emergenza?

Nelle emergenze, le organizzazioni dedicano molto tempo all’autenticazione, alla gestione delle richieste di accesso e al recupero delle credenziali. Pertanto, i programmi di sicurezza sanitaria devono essere strutturati intorno a scenari di accesso di emergenza e soddisfare sia i requisiti di sicurezza che quelli clinici.

I meccanismi di accesso di emergenza che consentono alle organizzazioni sanitarie di accedere rapidamente alle cartelle cliniche possono contribuire a risolvere la sfida menzionata. Nello specifico, l’accesso rapido «break-glass» prevede la registrazione, la revisione e la convalida in base al contesto clinico, il che aiuta a individuare e risolvere i problemi di sicurezza dei dati.

Perché gli operatori sanitari talvolta aggirano le procedure di sicurezza?

Gli operatori sanitari talvolta aggirano le procedure di sicurezza a causa di un problema di progettazione. Quando i costi relativi al flusso di lavoro clinico imposti dalle procedure di sicurezza vengono valutati come inaccettabili rispetto al beneficio di sicurezza percepito, gli operatori sanitari cercano di ridurre tali costi.

Quando gli operatori sanitari aggirano regolarmente i controlli di sicurezza, il quadro dei rischi effettivi riflette il comportamento di aggiramento anziché il controllo previsto. Per ottenere migliori risultati in termini di sicurezza, le organizzazioni sanitarie dovrebbero implementare controlli che gli operatori sanitari utilizzino effettivamente, anziché aggirarli.

In che modo le organizzazioni sanitarie possono ridurre l’affaticamento da password senza compromettere la sicurezza?

La gestione di password complesse e soggette a frequenti modifiche su più sistemi clinici comporta un affaticamento da password, che rappresenta un onere cognitivo.

Le soluzioni di Single Sign-On (SSO) contribuiscono a ridurre l’affaticamento da password. In che modo? Richiedono un’unica autenticazione da parte degli operatori sanitari per accedere a più sistemi clinici. L’SSO, combinato con un’autenticazione forte durante il login iniziale, riduce gli attriti e migliora la sicurezza.

L’autenticazione basata sulla prossimità, che si avvale di smart card, badge o lettori biometrici, consente alle organizzazioni sanitarie di alternare rapidamente gli utenti sulle postazioni di lavoro condivise, risolvendo la sfida della gestione delle sessioni responsabile del comportamento legato alla condivisione delle credenziali negli ambienti clinici.

L’autenticazione «tap-on, tap-off» richiede meno di un secondo. Crea un attrito minimo e contribuisce ad attribuire ogni sessione all’utente corretto.

Quali politiche di sicurezza creano più spesso attrito per il personale medico?

Per lo più, sono le politiche di timeout delle sessioni a creare attrito in termini di sicurezza negli ambienti clinici. Infatti, quando brevi periodi di inattività sono seguiti dal blocco automatico, il flusso di lavoro sulle postazioni di lavoro condivise viene interrotto. Di conseguenza, gli utenti devono effettuare nuovamente l’autenticazione, il che comporta un onere aggiuntivo.

I requisiti complessi relativi alla lunghezza e ai caratteri delle password non consentono agli utenti di memorizzarle facilmente. Pertanto, essi condividono le credenziali e le riutilizzano. Di conseguenza, la sicurezza si indebolisce e l’attrito aumenta.

In che modo le organizzazioni sanitarie dovrebbero rispondere alle violazioni dei dati delle cartelle cliniche elettroniche (EHR) e alle sfide di sicurezza?

Le organizzazioni sanitarie dovrebbero disporre di un piano coordinato per rispondere immediatamente alle violazioni delle cartelle cliniche elettroniche (EHR). Di conseguenza, tali organizzazioni possono garantire la conformità legale e normativa, nonché la sicurezza a lungo termine.

Cosa dovrebbe includere un piano di risposta efficace a seguito di una violazione dei dati sanitari?

Un piano efficace di risposta alle violazioni nel settore sanitario deve definire l’autorità responsabile della segnalazione della violazione, delle procedure di emergenza, delle decisioni relative ai pagamenti e della comunicazione con gli organismi di regolamentazione e il pubblico. In caso contrario, decisioni non pianificate e poco chiare causano ritardi costosi e dispendiosi in termini di tempo, oltre a creare confusione per le organizzazioni sanitarie.

Il piano deve includere risorse esterne che possano essere disponibili nel giro di poche ore. In caso contrario, quando si verifica una violazione, le indagini forensi, gli aspetti legali e le relazioni pubbliche subiranno ritardi senza queste risorse. È quindi fondamentale stabilire in anticipo le misure di risposta alle violazioni nel settore sanitario e la comunicazione con i professionisti.

In che modo le organizzazioni dovrebbero indagare, contenere e porre rimedio a una violazione?

Quando si rileva una potenziale violazione, il primo passo consiste nel bloccare i tentativi dell’hacker di accedere ai sistemi e sottrarre dati. Per contenere una violazione, le organizzazioni isolano i sistemi compromessi, anche se ciò può interrompere le operazioni cliniche. Se un aggressore continua ad accedere ai sistemi mentre l’indagine procede, sorgono ulteriori rischi significativi.

Gli investigatori forensi devono preservare le prove mentre i team operativi ripristinano i servizi. Il fascicolo investigativo, comprese le immagini forensi acquisite prima della risoluzione, aiuta i professionisti a comprendere la portata della violazione e a dimostrare la risposta dell’organizzazione agli organismi di regolamentazione.

Una risoluzione efficace contribuisce ad affrontare le configurazioni errate, le vulnerabilità non corrette, i privilegi eccessivi e l’assenza di monitoraggio che hanno permesso all’attacco di avere successo.

Quando e in che modo devono essere informati i pazienti, le autorità di regolamentazione e il pubblico?

I pazienti coinvolti devono ricevere notifiche individuali entro 60 giorni dalla scoperta della violazione. L’HIPAA prevede requisiti specifici per le notifiche di violazione. Le organizzazioni devono soddisfare tali requisiti indipendentemente dalla complessità del caso.

Il Dipartimento della Salute e dei Servizi Umani degli Stati Uniti deve ricevere notifiche relative a violazioni che interessano 500 o più persone entro 60 giorni. Se una violazione ha interessato 500 o più residenti di uno Stato o di una giurisdizione, le notifiche devono essere inviate ai principali organi di informazione di quella zona.

Il contenuto della notifica è importante quanto la tempistica. Una notifica efficace illustra cosa è accaduto, quali informazioni sono state compromesse, quali misure l’organizzazione sta adottando al riguardo, quali misure i pazienti dovrebbero adottare per proteggersi, e offre servizi di monitoraggio del credito e di protezione dal furto d’identità per assistere le persone coinvolte.

Come si svolge tipicamente un moderno attacco ransomware nel settore sanitario

Gli hacker ottengono l’accesso iniziale in genere settimane o mesi prima della violazione. Tra i mezzi più comuni figurano le e-mail di phishing contenenti malware per il furto di credenziali.

Inoltre, gli aggressori prendono di mira da remoto le vulnerabilità dei sistemi legate a Internet e violano le credenziali dei fornitori terzi. È così che gli aggressori cercano di stabilire una presenza nella rete per poi proseguire.

Il passo successivo consiste nell’effettuare l’esplorazione della rete e la raccolta di informazioni. Nello specifico, gli aggressori mappano la topologia di rete, individuano i sistemi di alto valore, localizzano l’infrastruttura di backup e censiscono i controlli di sicurezza.

È in questa fase che gli aggressori sono più facilmente individuabili. Il fatto è che le attività di ricognizione generano traffico di rete e query di sistema che si discostano dai modelli abituali. Inoltre, i team di sicurezza del settore sanitario solitamente trascurano questa fase a causa delle limitate capacità di rilevamento.

Elevazione dei privilegi e individuazione delle cartelle cliniche elettroniche (EHR)

Una volta stabilita la propria presenza nei sistemi, il passo successivo consiste nel concentrarsi sull’elevazione dei privilegi per ottenere credenziali o un accesso con privilegi superiori rispetto alla fase iniziale. Nel settore sanitario, ciò comporta solitamente lo sfruttamento di servizi non correttamente configurati, l’attacco mirato alle vulnerabilità o l’acquisizione di credenziali prive di una protezione adeguata.

Di conseguenza, gli aggressori individuano e accedono a risorse di grande valore, quali i sistemi di cartelle cliniche elettroniche (EHR) e i server di database. Quando gli aggressori crittografano i dati e minacciano di renderli pubblici, preparano e archiviano i dati grezzi provenienti dai sistemi EHR in vista dell’esfiltrazione e solo successivamente applicano la crittografia. Bastano pochi giorni o settimane per trasformare gigabyte o terabyte di dati dei pazienti in un’infrastruttura controllata dagli aggressori.

Attacchi mirati ai backup e interruzione del processo di ripristino

Gli attacchi sofisticati di estorsione nel settore ospedaliero mirano specificatamente a compromettere i sistemi di backup per poi applicare la crittografia. Gli hacker possono utilizzare le reti per accedere alle informazioni di backup tramite sistemi compromessi, e tali informazioni vengono crittografate insieme ai dati primari.

Gli aggressori compromettono le console di gestione dei backup ed eliminano i cataloghi di backup. Il loro obiettivo è eliminare le opzioni di ripristino per sottoporre l’organizzazione sanitaria a una pressione ancora maggiore.

La buona notizia è che l’archiviazione di backup immutabile, in cui è possibile trovare dati che non possono essere modificati né eliminati, è fondamentale per le organizzazioni sanitarie quando si tratta di proteggere le informazioni.

I backup «air-gapped» o immutabili proteggono i dati dalla crittografia utilizzata negli attacchi di estorsione nel settore sanitario e consentono il recupero dei dati. Purtroppo, i backup connessi o accessibili non presentano i vantaggi menzionati.

Quali metriche e strategie di miglioramento continuo misurano l’efficacia della sicurezza delle informazioni sanitarie?

Le organizzazioni sanitarie monitorano determinate metriche per misurare l’efficacia della sicurezza nella protezione delle cartelle cliniche elettroniche. Tali metriche possono includere il completamento delle valutazioni dei rischi e i tassi di superamento delle simulazioni di phishing, nonché i tempi di risposta agli incidenti di sicurezza.

Analisi regolari dei rischi HIPAA e scansioni delle vulnerabilità, nonché una formazione continua volta a sensibilizzare il personale in materia di sicurezza informatica, possono contribuire a migliorare l’efficacia.

Quali KPI e metriche di rischio dovrebbero monitorare le organizzazioni?

Le organizzazioni sanitarie dovrebbero monitorare la metrica Mean Time to Detect (MTTD) per individuare il tempo medio che intercorre tra l’accesso iniziale e il rilevamento della violazione. Di conseguenza, possono individuare la correlazione più elevata con l’impatto della violazione.

Il punto è che individuare gli hacker nel giro di poche ore aiuta a evitare danni ingenti, cosa che non si può dire quando l’individuazione degli aggressori avviene nel giro di mesi. Inoltre, la metrica Mean Time to Respond (MTTR) indica se l’organizzazione gestisce la propria risposta in modo chiaro, dispone di risorse sufficienti e ha un’autorità decisionale inequivocabile.

Prendiamo in esame un’altra metrica: la latenza delle patch. Essa riflette il tempo che intercorre tra la divulgazione di una vulnerabilità e l’implementazione della patch. Questa metrica aiuta a individuare i punti deboli dell’organizzazione in relazione alle vulnerabilità.

Nel settore sanitario, l’applicazione delle patch richiede alle organizzazioni di valutare l’impatto clinico e di disporre di finestre di manutenzione programmate. In questo caso, la latenza delle patch è più lunga rispetto ad ambienti con minori vincoli operativi, come i settori finanziario e legale. Questa metrica richiede un’attenzione costante da parte dell’organizzazione per un monitoraggio e una gestione adeguati.

Un’altra metrica, il tasso di completamento delle revisioni degli accessi, riflette se le organizzazioni sanitarie conducano effettivamente revisioni periodiche dei privilegi di accesso degli utenti e adottino misure sulla base di tali revisioni. Infatti, se queste revisioni rimangono solo sulla carta, non apportano alcun beneficio in termini di sicurezza.

Con quale frequenza dovrebbero essere eseguite le valutazioni di sicurezza, i test di penetrazione e gli audit?

La conformità minima richiede alle organizzazioni sanitarie di condurre valutazioni annuali. Tuttavia, tale valutazione non è sufficiente. Inoltre, le organizzazioni che si affidano esclusivamente a valutazioni annuali condotte da soggetti esterni per la valutazione della sicurezza possono misurare il proprio livello di sicurezza solo in riferimento a quel giorno specifico in cui è stata eseguita la valutazione.

I test di penetrazione che utilizzano i metodi degli aggressori reali forniscono una valutazione più significativa. Tale simulazione aiuta a individuare le vulnerabilità sfruttabili. Inoltre, mette alla prova l’efficacia del rilevamento delle minacce e verifica se l’organizzazione disponga di adeguate capacità di risposta contro attacchi realistici.

Se un’organizzazione desidera applicare una valutazione della sicurezza che rispecchi l’ambiente reale, dovrebbe monitorare costantemente le minacce, conducendo contemporaneamente valutazioni periodiche e test di penetrazione guidati dal rischio anziché dai calendari di conformità.

In che modo le lezioni apprese dagli incidenti possono essere integrate negli aggiornamenti delle politiche e delle tecnologie?

Le analisi condotte dopo gli attacchi aiutano le organizzazioni sanitarie a imparare dall’esperienza. La comprensione dei fattori sistemici amplia l’apprendimento organizzativo.

Quando le organizzazioni esaminano i motivi per cui i controlli di sicurezza non hanno impedito la minaccia, quali vulnerabilità erano presenti e perché il rilevamento della minaccia ha subito ritardi, acquisiscono una migliore comprensione dei miglioramenti significativi che dovrebbero apportare alla sicurezza.

Successivamente, le organizzazioni dovrebbero integrare gli insegnamenti tratti nelle politiche effettive e apportare modifiche tecnologiche sulla base di tali insegnamenti. Inoltre, le organizzazioni dovrebbero tenere traccia delle raccomandazioni emerse dalle analisi post-incidente, assegnarle ai responsabili e verificarne l’attuazione. Se tali raccomandazioni rimangono solo sulla carta, non possono produrre alcun valore in termini di sicurezza.

In che modo Bacula Systems aiuta le organizzazioni sanitarie a proteggere le cartelle cliniche elettroniche e i dati dei pazienti?

Considerate il backup dei dati sanitari come una questione di resilienza IT? In definitiva, si tratta di una questione di sicurezza dei pazienti. Quando gli hacker violano e crittografano i sistemi primari di un ospedale, e l’ospedale non è più in grado di ricorrere al ripristino dal backup, le conseguenze cliniche si manifestano immediatamente.

Nello specifico, gli interventi chirurgici non vengono eseguiti nei tempi previsti, le cartelle cliniche cartacee risultano incomplete e le decisioni prese non tengono conto dell’anamnesi del paziente, il che aumenta il rischio clinico.

Bacula Systems è stato sviluppato tenendo conto della realtà operativa per contribuire a proteggere con successo i dati sanitari.

Bacula offre alle strutture ospedaliere resilienza agli incidenti di ransomware grazie alla separazione tra sistemi di produzione e di backup

Gli autori degli attacchi di estorsione più sofisticati nel settore sanitario crittografano i sistemi primari delle organizzazioni sanitarie e non abbandonano le reti compromesse. Fanno del loro meglio per identificare e distruggere l’infrastruttura di backup. Lo scopo è garantire che gli operatori sanitari non possano recuperare i dati senza pagare l’autore dell’attacco.

Bacula per il settore sanitario garantisce una vera separazione architettonica tra i dati di backup e gli ambienti di produzione.

Bacula supporta copie di backup in modalità «air-gapped» e una crittografia avanzata, in modo che nemmeno le credenziali compromesse possano modificare o cancellare i dati. Ciò impedisce inoltre agli autori degli attacchi di compromettere la capacità di recupero dei dati, consentendo alle organizzazioni sanitarie di evitare conseguenze catastrofiche.

Bacula garantisce conformità alle norme HIPAA e funzionalità di audit

Molte organizzazioni sanitarie ignorano le questioni di conformità associate all’ePHIA. Si tratta della copia di backup di un database EHR, che è soggetta agli stessi obblighi HIPAA in materia di controllo degli accessi, crittografia e audit previsti per i dati primari.

Bacula offre controlli di sicurezza avanzati in grado di aiutare gli operatori sanitari a gestire l’accesso basato sui ruoli, a rendere completa la registrazione degli audit e a garantire la conformità normativa. Questi controlli di sicurezza svolgono un ruolo fondamentale nel settore sanitario, dove gli operatori gestiscono diversi tipi di cartelle cliniche e popolazioni di pazienti.

Bacula offre supporto per ambienti eterogenei

Le soluzioni di backup generiche non sono in grado di affrontare le problematiche presenti nell’infrastruttura sanitaria eterogenea. Tale infrastruttura non è omogenea: comprende sistemi clinici legacy, database specializzati e applicazioni proprietarie.

Bacula supporta tale diversità, inclusi SQL Server, Oracle e MySQL. Le organizzazioni sanitarie che utilizzano Epic, Cerner o MEDITECH possono avvalersi di Bacula per ripristinare i dati, garantendo un sistema clinicamente operativo.

Bacula supporta i test di integrità dei backup e il ripristino verificato

È rischioso dare per scontato che i processi di backup completati siano effettivamente ripristinabili. Bacula offre test di integrità automatizzati per aiutare le organizzazioni a verificare regolarmente la recuperabilità dei dati. Ciò contribuisce inoltre a conservare prove documentate sul recupero dei dati e sul tempo necessario per eseguirlo.

La base open source di Bacula, disponibile come Bacula Community Edition, è una piattaforma che offre funzionalità complete e backup e ripristino di livello produttivo. La Community Edition fornisce un ampio set di funzionalità senza richiedere licenze aziendali.

Le funzionalità aziendali di Bacula estendono e potenziano la stessa architettura, garantendo la conformità agli obblighi di backup previsti dall’HIPAA senza compromettere l’architettura di sicurezza richiesta dalla protezione dei dati dei pazienti.

Perché il fallimento del backup è spesso il vero disastro per la sicurezza nel settore sanitario

Il backup è fondamentale perché il suo fallimento può rappresentare un vero e proprio disastro per la sicurezza nel settore sanitario, poiché le organizzazioni tendono solitamente a considerare il backup come un meccanismo di ripristino di ultima istanza.

I backup falliscono in genere perché le organizzazioni sanitarie attribuiscono maggiore importanza alla sicurezza perimetrale, al rilevamento delle minacce e al controllo degli accessi. Nello specifico, la mancata esecuzione dei test di ripristino, il danneggiamento dell’hardware e gli errori umani, quali avvisi non monitorati o configurazioni errate, portano al fallimento del backup.

Nello specifico, quando i sistemi primari diventano indisponibili, il backup rappresenta l’unica risorsa. La possibilità di recuperare i dati o di andare incontro a una catastrofe organizzativa dipende dalla qualità dell’architettura di backup, dalla completezza della copertura del backup e dalla recuperabilità delle informazioni di backup, verificata tramite test.

Gli autori degli attacchi ransomware prendono di mira i backup prima ancora che venga avviata la crittografia dei dati di produzione. Il loro obiettivo è eliminare le opzioni di ripristino, costringendo l’organizzazione sanitaria a pagare il riscatto. Nello specifico, gli hacker utilizzano accessi privilegiati per mappare le reti, compromettere i server di backup e cancellare i dati.

È necessaria una verifica proattiva per individuare backup danneggiati o incompleti durante un’emergenza dati in corso.

Alcune ipotesi relative ai backup – ritenute ragionevoli nell’era pre-ransomware – risultano inadeguate nell’attuale panorama delle minacce, notevolmente più grave. Solo i backup testati possono essere considerati funzionanti.

Durante i test, le organizzazioni ripristinano i dati dal backup in un ambiente di prova. Successivamente, verificano che i sistemi e i dati ripristinati siano completi e operativi, senza limitarsi ad affermare che il processo si sia concluso senza errori.

Gli autori di attacchi ransomware agli ospedali, che possono utilizzare i sistemi primari per accedere ai dati di backup, crittografano tali dati. Gli aggressori sfruttano le vulnerabilità relative ai sistemi primari. Nello specifico, approfittano degli archivi di dati collegati alle reti, dei sistemi di gestione dei backup e degli strumenti di backup su cloud che richiedono credenziali di accesso.

Se le organizzazioni sanitarie utilizzano un’architettura di backup efficace, gli hacker non saranno in grado di accedere ai dati di backup compromettendo i sistemi primari. Anche se gli aggressori utilizzassero credenziali e segmenti di rete distinti, né l’air-gap fisico, né l’immutabilità logica, né la separazione architettonica li aiuterebbero ad avere successo.

Per quanto riguarda gli obiettivi di ripristino, le organizzazioni sanitarie devono testare il Recovery Time Objective (RTO). Esso indica il tempo necessario per il ripristino, in relazione ai requisiti operativi clinici: le specifiche teoriche non hanno alcuna rilevanza.

Cosa accadrebbe se un sistema di cartelle cliniche elettroniche (EHR) in un ospedale impiegasse 72 ore per il ripristino dal backup a causa di un grave deterioramento delle operazioni cliniche? Uno scenario del genere dovrebbe essere preso in considerazione prima dell’attacco, in modo che non costituisca una sorpresa durante o dopo l’attacco informatico.

In che modo la tecnologia dell’informazione sanitaria cambierà il futuro della sicurezza nella protezione delle cartelle cliniche elettroniche?

Il panorama delle tecnologie di sicurezza per la protezione delle cartelle cliniche elettroniche sta evolvendo con rapidi progressi, trasformando il futuro della sicurezza delle informazioni sanitarie. I cambiamenti fondamentali in questo panorama sono il risultato della rapida crescita dell’intelligenza artificiale, della crescente interoperabilità dei dati sanitari e delle moderne soluzioni crittografiche. Questi cambiamenti influenzano il modo in cui le organizzazioni sanitarie elaborano e condividono i dati sensibili dei pazienti.

In che modo l’intelligenza artificiale e l’apprendimento automatico potrebbero migliorare il rilevamento delle minacce e la tutela della privacy?

I modelli di analisi comportamentale basati sull’intelligenza artificiale e di apprendimento automatico, sviluppati a partire dai normali modelli di accesso dei singoli utenti, sono in grado di rilevare deviazioni correlate ad accessi impropri. Inoltre, possono identificare credenziali compromesse con maggiore precisione rispetto ai sistemi di rilevamento basati su regole. Ciò può aiutare le organizzazioni sanitarie a individuare le minacce e a proteggere con successo la privacy dei pazienti.

Quali sono le sfide nel settore sanitario? Ad esempio, un medico o un infermiere che si occupi di un servizio a lui non familiare potrebbe accedere alle cartelle cliniche senza intenzioni malevole. I modelli che generano un numero elevato di falsi positivi potrebbero non apportare alcun valore in termini di sicurezza, mentre quelli che riducono il numero di falsi positivi potrebbero non rilevare anomalie reali.

Un approccio decentralizzato all’apprendimento automatico aiuta a rilevare le minacce senza utilizzare dati sensibili dei pazienti a fini di addestramento. Grazie a tale addestramento decentralizzato dell’IA, i modelli di IA addestrati sui dati protetti dal firewall dell’organizzazione circolano tra le diverse organizzazioni. Solo gli aggiornamenti matematici anonimi possono circolare a livello globale.

Quali sono le implicazioni per la sicurezza derivanti dalla maggiore interoperabilità e dallo scambio di dati sanitari?

Il programma di interoperabilità sanitaria dà vita a un ecosistema di dati sanitari che consente alle informazioni sui pazienti di circolare liberamente tra operatori sanitari, pazienti e soggetti finanziari. Di conseguenza, le questioni relative alla sicurezza diventano molto più complesse.

Tale programma si basa su determinate normative, tra cui le norme sul blocco delle informazioni dell’Ufficio del Coordinatore Nazionale per l’IT Sanitario e i requisiti di interoperabilità dei Centri per i Servizi Medicare e Medicaid (CMS).

Architetture di sicurezza efficaci proteggono i dati al di là degli ambienti EHR chiusi, puntando a un ecosistema più aperto senza sacrificare i benefici clinici offerti dall’interoperabilità.

Nello specifico, le API Fast Healthcare Interoperability Resources (FHIR) alla base dell’attuale espansione dell’interoperabilità comportano requisiti di sicurezza particolari. Ad esempio, standard quali i framework di autorizzazione OAuth 2.0, i controlli di sicurezza dei gateway API e le pratiche di gestione dei token rappresentano nuovi requisiti nel panorama della sicurezza delle API in ambito sanitario che le organizzazioni devono soddisfare.

La blockchain, la crittografia omomorfica o l’apprendimento federato potrebbero cambiare il modo in cui vengono protette le cartelle cliniche elettroniche (EHR)?

La crittografia omomorfica consente di effettuare calcoli su dati crittografati senza decrittografarli. È teoricamente importante per le applicazioni sanitarie poiché l’analisi dei dati sensibili dei pazienti non dovrebbe esporre le cartelle cliniche sottostanti.

Tale analisi dei dati crittografati delle cartelle cliniche elettroniche (EHR) aiuta a individuare lacune nei dati sanitari o popolazioni a rischio senza accedere a informazioni leggibili sui pazienti.

La tecnologia blockchain rappresenta un potenziale meccanismo per la gestione dei dati sanitari controllata dal paziente, la gestione dei consensi e la registrazione degli audit.

L’uso pratico della tecnologia blockchain nel settore sanitario è prezioso per controllare l’accesso ai dati dei pazienti, contrastare le minacce interne e migliorare la resilienza agli attacchi di crittografia dei dati.

L’apprendimento federato, già menzionato, può rivelarsi prezioso nella pratica per lo sviluppo di modelli di intelligenza artificiale collaborativi volti a preservare la privacy dei dati. Ed è proprio questa la categoria tecnologica che meglio contribuisce all’implementazione pratica delle applicazioni di sicurezza nel settore sanitario.

Quali liste di controllo pratiche e raccomandazioni possono seguire le organizzazioni fin da subito?

Liste di controllo pratiche e raccomandazioni, quali l’autenticazione a più fattori e la convalida dell’architettura di backup, aiutano le organizzazioni a contrastare gli attacchi avvalendosi della conoscenza delle minacce, anziché trovarsi di fronte a un’altra violazione.

Tali raccomandazioni possono essere organizzate in azioni immediate per ridurre i rischi fin da oggi, investimenti nella creazione di una sicurezza robusta e pratiche collaborative che vanno oltre i controlli di sicurezza dell’organizzazione.

Quali misure di sicurezza immediate dovrebbero essere prioritarie per le organizzazioni sanitarie in relazione ai sistemi EHR?

L’autenticazione a più fattori (MFA) su tutti gli accessi alle cartelle cliniche elettroniche (EHR) può aiutare le organizzazioni sanitarie a ridurre significativamente i rischi senza costi di implementazione elevati. L’MFA ha l’impatto più ampio su phishing, furto di credenziali e attacchi di forza bruta. E gli autori degli attacchi nel settore sanitario utilizzano principalmente questi meccanismi di accesso.

La revisione e la riduzione degli accessi privilegiati rappresentano un’altra misura a cui le organizzazioni dovrebbero dare priorità quando si trovano a gestire privilegi eccessivi, riscontrati nella maggior parte delle principali violazioni nel settore sanitario. Le organizzazioni dovrebbero includere in questa revisione i servizi, gli accessi dei fornitori e gli account legacy con privilegi accumulati.

Segue poi la convalida dell’architettura di backup. Questa misura di sicurezza aiuta le organizzazioni a testare la recuperabilità dei backup in condizioni realistiche. Assicura che i dati di backup siano separati dall’accesso alla rete primaria.

Inoltre, conferma che l’obiettivo di tempo di ripristino (RTO) tenga conto del punto di guasto, determinando se i dati compromessi siano recuperabili o possano portare a conseguenze catastrofiche.

Infine, la revisione della segmentazione di rete consente alle organizzazioni sanitarie di valutare se i sistemi di cartelle cliniche elettroniche (EHR), i dispositivi medici e le reti cliniche siano adeguatamente separati tra loro e dalle reti generiche. Ciò contribuisce a migliorare la resilienza contro gli attacchi ransomware negli ospedali.

Lista di controllo in 10 punti per la protezione delle cartelle cliniche elettroniche (EHR) destinata alle organizzazioni sanitarie

Quali investimenti continui in materia di governance, formazione e aspetti tecnici dovrebbero essere pianificati?

Le organizzazioni sanitarie dovrebbero progettare corsi di formazione sulla sicurezza informatica incentrati sugli ostacoli che rallentano l’adeguamento e il cambiamento comportamentale del personale sanitario. Gli indicatori relativi al raggiungimento della conformità rivestono minore importanza.

L’attenzione dovrebbe concentrarsi principalmente su contenuti specifici per ruolo, simulazioni realistiche di attacchi di phishing e insegnamenti tratti da ciascun caso specifico. I moduli annuali di sensibilizzazione generale offrono un valore aggiunto minore.

Le organizzazioni dovrebbero inoltre investire in programmi di gestione dei rischi di terze parti per garantire coerenza nella valutazione della sicurezza dei fornitori, nella gestione degli accordi di collaborazione commerciale (BAA) previsti dall’HIPAA, nel monitoraggio continuo e nella notifica delle violazioni.

Infine, è essenziale investire nelle capacità di rilevamento delle minacce. Ciò significa che le organizzazioni dovrebbero implementare sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM), applicare la gestione dei log, analizzare il comportamento degli utenti e migliorare la capacità di indagine proattiva sulle minacce. Di conseguenza, potranno colmare il divario di rilevamento responsabile delle principali violazioni nel settore sanitario.

In che modo pazienti e operatori sanitari possono collaborare per rafforzare la fiducia e la resilienza negli ecosistemi delle cartelle cliniche elettroniche (EHR)?

I pazienti possono aiutare in modo significativo gli operatori sanitari a rafforzare la fiducia e la resilienza utilizzando attivamente i portali dedicati ai pazienti e verificando le proprie cartelle cliniche. Di conseguenza, contribuiranno a ridurre i rischi e le conseguenze catastrofiche derivanti dalle violazioni dei controlli di accesso e dal furto di identità medica. Le organizzazioni sanitarie dovrebbero inoltre incoraggiare tale comportamento da parte dei pazienti.

Inoltre, le organizzazioni sanitarie dovrebbero promuovere una comunicazione trasparente tra pazienti e operatori sanitari in merito alle pratiche di sicurezza. Nello specifico, gli operatori sanitari dovrebbero informare i pazienti sulle pratiche di protezione dei dati e sulle modalità con cui segnalare attività sospette.

Di conseguenza, il rapporto tra paziente e operatore sanitario diventerà più affidabile. I pazienti saranno meglio informati su come individuare e segnalare eventuali anomalie.

Domande frequenti

In che modo le organizzazioni sanitarie possono rilevare accessi non autorizzati ai dati dei pazienti prima che si verifichi una grave violazione?

Per individuare tempestivamente gli accessi non autorizzati ai dati dei pazienti, le organizzazioni sanitarie dovrebbero concentrarsi sul monitoraggio comportamentale degli accessi all’interno dell’ambiente delle cartelle cliniche elettroniche (EHR).

In particolare, l’analisi del comportamento degli utenti aiuta a individuare accessi alle informazioni dei pazienti in orari insoliti o il download di volumi insolitamente elevati di cartelle cliniche. Si tratta di segnali di allarme visibili prima che si verifichi una grave violazione dei dati.

Inoltre, il monitoraggio di tali modelli di attività degli utenti può essere combinato con i registri di autenticazione, il traffico di rete e i registri di accesso alle cartelle cliniche elettroniche (EHR) per ottenere risultati più efficaci.

Quali sono le principali sfide in materia di sicurezza nella migrazione delle cartelle cliniche elettroniche verso ambienti cloud?

È fondamentale comprendere le responsabilità in materia di sicurezza sia del fornitore di servizi cloud che dell’organizzazione sanitaria. Molti operatori sanitari spesso non conoscono le proprie responsabilità in materia di sicurezza e le scoprono solo dopo la migrazione.

Inoltre, è fondamentale prestare attenzione alla gestione delle identità e degli accessi negli ambienti cloud. Infatti, le violazioni legate al cloud sono comunemente causate da un’archiviazione cloud priva di una configurazione adeguata e di controlli sulle identità.

Infine, gli operatori sanitari dovrebbero investire in funzionalità di sicurezza native del cloud, anziché concentrarsi sulla replica nel cloud dei controlli presenti in loco.

In che modo i dispositivi medici obsoleti e i sistemi ospedalieri superati indeboliscono la protezione della sicurezza informatica delle cartelle cliniche?

Molto spesso, i sistemi operativi dei dispositivi medici obsoleti, tra cui pompe di infusione e monitor paziente, non sono più supportati dai rispettivi produttori. Inoltre, aggiornarli comporta ripercussioni sulla certificazione dei dispositivi. Di conseguenza, tali dispositivi diventano vulnerabili, non sono in grado di supportare i moderni meccanismi di autenticazione e utilizzano protocolli privi di crittografia. Si trasformano così in una potenziale superficie di attacco.

Per gestire i rischi, gli operatori sanitari dovrebbero applicare la segmentazione della rete per isolare i dispositivi dalla rete più ampia. Inoltre, dovrebbero monitorare le comunicazioni di rete dei dispositivi per rilevare attività anomale e imporre ai produttori di fornire aggiornamenti di sicurezza.

Inoltre, gli operatori sanitari dovrebbero attuare politiche di approvvigionamento affinché i nuovi dispositivi medici acquistati garantiscano funzionalità di sicurezza.