La consapevolezza della sicurezza informatica è un aspetto critico per ogni organizzazione. Tuttavia, è semplicemente essenziale nel settore sanitario, dove i dati sono particolarmente sensibili.

I grandi volumi di dati riservati, uniti a sistemi di sicurezza spesso vulnerabili e a una vasta rete di dispositivi medici connessi, rendono il settore sanitario un obiettivo primario per i criminali informatici.

Il settore sanitario è uno dei più esposti, afflitto da una miriade di problemi legati alla sicurezza informatica, come incidenti di sicurezza, violazioni organizzative e furti di dati provenienti da fonti interne ed esterne.

La sicurezza informatica dell’assistenza sanitaria è in condizioni critiche

L’anno scorso le violazioni di dati e gli attacchi ransomware sono costati ai fornitori di servizi sanitari circa 4 miliardi di dollari. Infatti, il 67% delle organizzazioni sanitarie ha subito un incidente di sicurezza informatica negli ultimi dodici mesi.

Forse l’incidente più famoso si è verificato nel 2017, quando un devastante attacco informatico globale ha paralizzato i computer degli ospedali di tutto il Regno Unito. L’impatto del cyberattacco WannaCry è stato notevole: l’incidente informatico ha interrotto i servizi in un terzo degli ospedali e in circa l’8% degli studi medici. Il costo totale stimato per il ripristino dei sistemi colpiti ha raggiunto i 92 milioni di sterline, secondo il Department of Health & Social Care.

Più di recente, i fornitori di servizi sanitari e le organizzazioni di ricerca medica hanno subito un’impennata di attacchi di phishing legati alla crisi di Covid-19. L’ospedale universitario di Brno, nella Repubblica Ceca, che è uno dei centri di sperimentazione del Covid-19, è stato colpito da un ransomware che ha causato il rinvio di tutti gli interventi chirurgici.

In mezzo a un forte aumento degli attacchi di phishing legati al coronavirus in tutto il mondo, anche il Dipartimento della Salute e dei Servizi Umani degli Stati Uniti (HHS) ha subito un attacco DDoS (Distributed Denial of Service), che aveva l’obiettivo di disturbare la risposta dell’organizzazione alla pandemia Covid-19.

Il National Cyber Security Centre (NCSC) del Regno Unito e la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti hanno segnalato una serie di attacchi a organismi medici, in particolare a quelli che sono stati coinvolti nella risposta alla pandemia.

I problemi di sicurezza informatica nel settore sanitario

È chiaro che gli hacker continueranno a lanciare attacchi informatici contro il settore sanitario finché ci sarà da guadagnare, sia vendendo i dati rubati dei pazienti sia tenendo in ostaggio i sistemi sanitari fino a quando le richieste dei criminali non saranno soddisfatte.

Negli ultimi anni il settore sanitario ha subito un cambiamento significativo con l’adattamento di nuove tecnologie per facilitare l’integrazione dei dati, il coinvolgimento dei pazienti e il supporto clinico.

Questa transizione dai metodi tradizionali basati sulla carta porta con sé una serie di opportunità per i criminali informatici, come il malware che compromette la privacy dei dati dei pazienti e gli attacchi DDoS (Distributed Denial of Service) che interrompono la capacità di fornire assistenza ai pazienti.

Tuttavia, le organizzazioni sono spesso troppo preoccupate di difendersi dalle minacce esterne per affrontare i rischi molto reali e pericolosi che possono trovarsi al loro interno.

La minaccia insider

Con una grande quantità di informazioni sanitarie protette e altamente confidenziali (PHI) a portata di mano, gli operatori sanitari hanno accesso a grandi volumi di dati sui pazienti che devono essere accessibili al personale, sia in sede che in remoto, e su più dispositivi.

È risaputo che i criminali informatici prendono di mira il punto più debole delle difese di un’organizzazione e, troppo spesso, si tratta dei suoi dipendenti. L’anno scorso, l’Information Commissioner’s Office (ICO) del Regno Unito ha rivelato che l’errore umano è la causa del 90% delle violazioni di dati informatici.

In definitiva, gli operatori sanitari sono custodi dei dati e le minacce informatiche rappresentano oggi un grave problema di salute pubblica.

Per mitigare il rischio, la consapevolezza della sicurezza deve diventare parte integrante della strategia di sicurezza generale del settore sanitario per prevenire potenziali attacchi informatici.

Prevenzione più che prescrizione

Mentre gli attacchi informatici diventano più sofisticati e mirati che mai, la consapevolezza della sicurezza informatica nel settore sanitario è l’arma più potente contro queste minacce e tecniche in continua evoluzione. Nonostante la presenza di più livelli di sicurezza, la consapevolezza della sicurezza informatica rimane una sfida fondamentale per molte organizzazioni. Spesso viene adottato un approccio ad hoc, ma è importante riconoscere che la consapevolezza informatica è molto più di una semplice simulazione di phishing.

Per cambiare davvero i comportamenti in materia di sicurezza informatica, le organizzazioni devono impegnarsi in un programma di sensibilizzazione sulla sicurezza informatica che permetta al personale di riconoscere e comprendere il ruolo importante che svolge nella salvaguardia dei dati sensibili dell’organizzazione.

Poiché il settore sanitario è sempre più soggetto ad attacchi informatici dannosi, la chiave per migliorare la consapevolezza della sicurezza informatica in questo settore è l’implementazione di un’efficace campagna di sensibilizzazione informatica e la creazione di una cultura di consapevolezza informatica.

Implementare un’efficace campagna di sensibilizzazione informatica

  • Inizia con la leadership del CEO

La sicurezza informatica è una responsabilità di tutti, ma le organizzazioni più solide hanno una forte leadership da parte del CEO. Se il CEO prende sul serio la sicurezza informatica, questo si diffonderà in tutta l’organizzazione e contribuirà a creare una cultura di maggiore consapevolezza della sicurezza informatica.

  • Conoscere le tolleranze dell’organizzazione

Prendersi il tempo necessario per identificare correttamente i rischi può aiutare a definire il messaggio, la consegna e l’obiettivo efficace del tuo programma di sensibilizzazione sulla sicurezza informatica.

  • Difendi il tuo patrimonio informativo

Devi determinare quali sono le tue risorse informative più preziose, dove si trovano e chi vi ha accesso. Ogni risorsa deve essere classificata (ad esempio, pubblica, privata o riservata) e protetta in base al suo valore. Questa operazione è fondamentale per identificare i rischi e stabilire le priorità delle aree da difendere.

  • Focus sui gruppi ad alto rischio

La chiave di un programma efficace di sensibilizzazione alla sicurezza è garantire che la formazione giusta sia rivolta alle persone giuste. Tutti gli utenti sono suscettibili di minacce informatiche; tuttavia, alcuni dipendenti hanno un profilo di minaccia più elevato di altri. Ad esempio, i reparti Risorse Umane e Finanza saranno spesso bersaglio di minacce di phishing a causa del loro accesso privilegiato a dati preziosi.

  • Rendilo coinvolgente con uno storytelling efficace

Lo storytelling è uno dei modi più efficaci per dare vita alla tua campagna di sensibilizzazione sulla sicurezza informatica. Ammettiamolo, la sicurezza informatica può essere un argomento arido, ma è fondamentale trovare il modo di coinvolgere il tuo personale se vuoi avere un impatto positivo sul comportamento all’interno della tua organizzazione. Il messaggio è troppo importante per perdersi in comunicazioni formali e aziendali.

  • Aggiornare la gestione delle polizze

Le policy sono fondamentali per stabilire i limiti di comportamento di individui, processi, relazioni e transazioni all’interno della tua organizzazione. Forniscono un quadro di governance, identificano i rischi e aiutano a definire la conformità, un aspetto importante nell’attuale panorama normativo sempre più complesso.

  • Inizia subito a prepararti a una violazione dei dati

Non è più una questione di “se” la tua organizzazione verrà attaccata, ma di “quando”. Devi iniziare a prepararti all’inevitabile e mettere in atto un piano che garantisca un’azione appropriata e tempestiva quando la sicurezza viene violata.

  • Arruola i campioni della sicurezza informatica

Nominare dei campioni di sicurezza informatica è un ottimo modo per responsabilizzare il personale e dotarlo delle competenze necessarie per prevenire un attacco informatico.

  • Considera la tua catena di fornitura

Ogni fornitore e terza parte che si connette alla tua azienda rappresenta un rischio potenziale, quindi è fondamentale che tu esegua una valutazione dettagliata dei rischi delle terze parti per affrontare qualsiasi problema che possa rappresentare una minaccia per la tua sicurezza. In questo modo potrai determinare quali misure di sicurezza è necessario adottare per mantenere i tuoi dati al sicuro.

  • Attuare un’adeguata supervisione e revisioni periodiche

Il panorama delle minacce è in continua evoluzione, quindi il tuo programma di sensibilizzazione sulla sicurezza informatica deve evolversi di pari passo. È importante effettuare revisioni regolari della preparazione del personale per identificare le aree di debolezza e stabilire se le politiche e la formazione attuali devono essere aggiornate.

Creare una forza lavoro più attenta alla sicurezza

Cyber Security Awareness for Dummies è una risorsa indispensabile per attuare un cambiamento comportamentale e creare una cultura di consapevolezza informatica.

In questa guida imparerai a conoscere:

  • Cosa significa consapevolezza della sicurezza informatica per la tua organizzazione

  • Come implementare una campagna di sensibilizzazione sui rischi informatici

  • Il ruolo cruciale delle politiche per stabilire dei valori di riferimento sicuri

  • Come mantenere lo slancio e il coinvolgimento del personale

  • 10 buone pratiche di sensibilizzazione alla sicurezza informatica

Clicca qui per richiedere la tua copia gratuita di Cyber Security Awareness for Dummies.