La consapevolezza della sicurezza informatica è una questione commerciale critica per ogni organizzazione. Tuttavia, è semplicemente essenziale nel settore sanitario, dove i dati sono particolarmente sensibili.
I grandi volumi di dati riservati, combinati con sistemi di sicurezza spesso vulnerabili, e una vasta rete di dispositivi medici collegati rendono il settore sanitario un obiettivo primario per i criminali informatici.
L'industria sanitaria è una delle industrie più esposte, afflitta da una miriade di problemi legati alla sicurezza informatica, come incidenti di sicurezza, violazioni organizzative e furto di dati provenienti da fonti interne ed esterne.
Sicurezza informatica nel settore sanitario in condizioni critiche
Lo scorso anno le violazioni dei dati e gli attacchi ransomware sono costati ai fornitori di servizi sanitari circa 4 miliardi di dollari. Di fatto, il 67% delle organizzazioni sanitarie ha subito un incidente di sicurezza informatica negli ultimi dodici mesi.
Forse l'incidente più famoso si è verificato nel 2017, quando un devastante cyberattacco globale ha paralizzato i computer degli ospedali di tutto il Regno Unito. L'impatto del cyberattacco WannaCry è stato notevole: l'incidente informatico ha interrotto i servizi in un terzo degli ospedali e in circa l'8% degli ambulatori medici. Il costo totale stimato per il ripristino dei sistemi colpiti ha raggiunto i 92 milioni di sterline, secondo il Department of Health & Social Care.
Più di recente, i fornitori di servizi sanitari e le organizzazioni di ricerca medica hanno subito un'impennata di attacchi di phishing legati alla crisi del Covid-19. L'ospedale universitario di Brno, nella Repubblica Ceca, che è uno dei centri di sperimentazione del Covid-19, è stato colpito da un ransomware che ha causato il rinvio di tutti gli interventi chirurgici.
In mezzo a un forte aumento degli attacchi di phishing legati al coronavirus in tutto il mondo, il Dipartimento della salute e dei servizi umani degli Stati Uniti (HHS) ha anche subito un attacco Distributed Denial of Service (DDoS), che aveva lo scopo di interrompere la risposta dell'organizzazione alla pandemia Covid-19.
Il National Cyber Security Centre (NCSC) del Regno Unito e la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti hanno riportato una serie di attacchi a organismi medici, soprattutto quelli che sono stati coinvolti nella risposta alla pandemia.
Preoccupazioni di sicurezza informatica nel settore sanitario
È chiaro che gli hacker continueranno a lanciare attacchi informatici contro il settore sanitario finché ci sarà da guadagnare, sia vendendo i dati rubati dei pazienti sia tenendo in ostaggio i sistemi sanitari fino a quando le richieste dei criminali non saranno soddisfatte.
Il settore sanitario ha vissuto un cambiamento significativo negli ultimi anni con l'adattamento di nuove tecnologie per facilitare l'integrazione dei dati, il coinvolgimento del paziente e il supporto clinico.
Con questa transizione dai tradizionali metodi cartacei arriva una ricchezza di opportunità per i criminali informatici, come il malware che compromette la privacy dei dati dei pazienti, agli attacchi DDoS (distributed denial of service) che interrompono la capacità di fornire assistenza ai pazienti.
Tuttavia, le organizzazioni sono spesso troppo preoccupate di difendersi dalle minacce esterne per affrontare i rischi reali e pericolosi che possono trovarsi al loro interno.
La minaccia interna
Con una grande quantità di informazioni sanitarie protette e altamente confidenziali (PHI) a portata di mano, gli operatori sanitari hanno accesso a grandi volumi di dati sui pazienti che devono essere accessibili al personale, sia in sede che in remoto, e su più dispositivi.
È ampiamente riconosciuto che i criminali informatici prendono di mira il punto più debole delle difese di un'organizzazione e, troppo spesso, questo significa i loro dipendenti. L'anno scorso, l'Information Commissioner's Office (ICO) del Regno Unito ha rivelato che l 'errore umano è la causa del 90% delle violazioni dei dati informatici.
In definitiva, gli operatori sanitari sono custodi dei dati e le minacce informatiche rappresentano ora un importante problema di salute pubblica.
Per mitigare il rischio, la consapevolezza della sicurezza deve diventare parte integrante della strategia generale di sicurezza del settore sanitario per prevenire potenziali attacchi informatici.
Prevenzione oltre la prescrizione
Mentre gli attacchi informatici diventano più sofisticati e mirati che mai, la consapevolezza della sicurezza informatica nel settore sanitario è l'arma più potente contro queste minacce e tecniche in continua evoluzione. Nonostante la presenza di più livelli di sicurezza, la consapevolezza della sicurezza informatica rimane una sfida chiave per molte organizzazioni. Spesso viene adottato un approccio ad hoc, ma è importante riconoscere che la consapevolezza informatica è più di una semplice simulazione di phishing.
Per cambiare veramente i comportamenti di sicurezza informatica, le organizzazioni devono impegnarsi in un programma di consapevolezza della sicurezza informatica che permetta al personale di riconoscere e abbracciare il ruolo importante che giocano nella salvaguardia dei dati sensibili dell'organizzazione.
Con l'industria sanitaria sempre più soggetta ad attacchi informatici dannosi, la chiave per migliorare la consapevolezza della sicurezza informatica in questo settore è di implementare un'efficace campagna di consapevolezza informatica e creare una cultura di consapevolezza informatica.
Attuare un'efficace campagna di sensibilizzazione informatica
- Iniziare con la leadership del CEO
La sicurezza informatica è responsabilità di tutti, ma le organizzazioni resilienti hanno una forte leadership del CEO. Se il CEO prende sul serio la sicurezza informatica, questo si diffonderà in tutta l'organizzazione e contribuirà a creare una cultura di maggiore consapevolezza della sicurezza informatica.
- Conoscere le proprie tolleranze organizzative
Prendersi del tempo per identificare correttamente i rischi può aiutare a modellare la messaggistica, la consegna e il targeting efficace del vostro programma di consapevolezza della sicurezza informatica.
- Difendi il tuo patrimonio informativo
Dovete determinare quali sono le vostre risorse informative più preziose, dove si trovano e chi vi ha accesso. Ogni risorsa dovrebbe essere classificata (per esempio, pubblica, privata o confidenziale) e protetta in base al suo valore. Questo è fondamentale per identificare i rischi e dare priorità alle aree che devono essere difese.
- Focus sui gruppi ad alto rischio
La chiave di un programma efficace di sensibilizzazione alla sicurezza è garantire che la formazione giusta sia rivolta alle persone giuste. Tutti gli utenti sono esposti alle minacce informatiche, ma alcuni dipendenti hanno un profilo di minaccia più elevato di altri. Ad esempio, i reparti Risorse Umane e Finanza saranno spesso bersaglio di minacce di phishing a causa del loro accesso privilegiato a dati preziosi.
- Rendilo coinvolgente con uno storytelling efficace
Lo storytelling è uno dei modi più potenti per infondere vita alla vostra campagna di sensibilizzazione sulla sicurezza informatica. Ammettiamolo, la sicurezza informatica può essere un argomento arido, ma è fondamentale trovare il modo di coinvolgere il personale se si vuole influenzare positivamente il comportamento all'interno dell'organizzazione. Il messaggio è troppo importante per perdersi in comunicazioni aziendali formali
- Aggiornate la vostra gestione delle politiche
Le politiche sono cruciali nello stabilire i limiti di comportamento per gli individui, i processi, le relazioni e le transazioni all'interno della vostra organizzazione. Forniscono una struttura di governance, identificano il rischio e aiutano a definire la conformità, che è importante nel panorama normativo sempre più complesso di oggi.
- Iniziare a prepararsi per una violazione dei dati ora
Non è più una questione di "se" la vostra organizzazione verrà attaccata, ma di "quando". È necessario iniziare a prepararsi all'inevitabile e mettere in atto un piano che assicuri un'azione appropriata e tempestiva quando la sicurezza viene violata.
- Arruolare campioni della sicurezza informatica
Nominare dei campioni di sicurezza informatica è un ottimo modo per responsabilizzare il personale e dotarlo delle competenze necessarie per prevenire un attacco informatico.
- Considera la tua catena di approvvigionamento
Ogni fornitore e terza parte che si connette alla vostra azienda rappresenta un rischio potenziale, quindi è fondamentale effettuare valutazioni dettagliate dei rischi di terze parti per affrontare qualsiasi problema che possa rappresentare una minaccia per la vostra sicurezza. In questo modo è possibile determinare le misure di sicurezza da adottare per mantenere i vostri dati al sicuro.
- Attuare una supervisione adeguata e revisioni regolari
Il panorama delle minacce è in continua evoluzione, quindi il vostro programma di consapevolezza della sicurezza informatica deve evolversi con esso. È importante condurre revisioni regolari della preparazione del personale per identificare le aree di debolezza e stabilire se le politiche e la formazione attuali devono essere aggiornate.
Creare una forza lavoro più consapevole della sicurezza
Cyber Security Awareness for Dummies agisce come una risorsa indispensabile per implementare il cambiamento comportamentale e creare una cultura di consapevolezza informatica.
In questa guida, imparerete:
- Cosa significa la consapevolezza della sicurezza informatica per la tua organizzazione
- Come implementare una campagna di consapevolezza del rischio informatico
- Il ruolo critico delle politiche per stabilire basi sicure
- Come mantenere lo slancio e l'impegno del personale
- 10 buone pratiche di consapevolezza della sicurezza informatica
Clicca qui per richiedere la tua copia gratuita di Cyber Security Awareness for Dummies.
