Dal momento che il settore sanitario è considerato dai criminali informatici ricco di possibili bersagli, l'attenzione verso la sua sicurezza informatica è in aumento. Le cartelle dei pazienti, i dati delle ricerche e la proprietà intellettuale possono infatti fruttare ingenti somme di denaro sul dark web.
Mentre in generale la shelf-life dei dati finanziari rubati è minima, quella delle informazioni sanitarie personali (PHI) non ha fine. Dopo una violazione, le vittime possono richiedere una nuova carta di credito, ma non possono modificare gruppo sanguigno o storia clinica. Questo incrementa il valore dei PHI per i ladri informatici, che possono tenere in ostaggio i dati e chiedere un riscatto o venderli a terze parti anche molto tempo dopo il furto. Questo non significa che i criminali informatici ignorino le opportunità di sottrarre somme di denaro alle organizzazioni del settore sanitario. Quasi un quinto dell'economia statunitense dipende da questo settore, in cui ogni giorno vengono effettuate transazioni elettroniche di grandi somme di denaro tra diverse parti e organizzazioni, quali società di pagamento, provider, fornitori e pazienti. Basta un solo anello debole in questa catena per offrire agli attori di minacce un'opportunità di colpire.
Nel settore sanitario è in corso il passaggio a soluzioni cloud per qualsiasi esigenza, da fatturazione a opzioni di trattamento dei pazienti a distanza, a portali online e molto altro. Se da una parte questo offre maggiore efficienza e scalabilità, dall'altra aumenta i rischi associati non solo al crimine informatico, ma anche a divulgazioni accidentali che possono esporre ingenti quantità di dati sensibili.
La crescente interconnessione dei dispositivi medici aumenta la superficie di attacco che i criminali informatici possono sfruttare per accedere a dati sensibili o persino per interrompere trattamenti sanitari in corso. A causa della proliferazione di dispositivi IoT e delle tecniche e degli strumenti sempre più sofisticati che gli attori di minacce utilizzano per attaccarli, il settore sanitario deve proteggere una quantità di attrezzature senza precedenti, tenendo presente che la posta in gioco non è mai stata così alta. Per gestire in modo appropriato la sicurezza informatica nel settore sanitario occorre un partner con esperienza e competenze uniche. Scopri di più su Unit 42.
Considerato il lavoro che svolgono, ospedali, ambulatori e altre strutture sanitarie non possono permettersi interruzioni in reti e sistemi essenziali. Poiché la funzionalità del settore dipende sempre più dallo scambio di dati elettronici, il downtime dei sistemi può causare non solo costi enormi, ma anche ritardi nell'accesso a informazioni sanitarie di importanza fondamentale sui pazienti e problemi di funzionamento di servizi salvavita.
L'HIPAA (Health Insurance Portability and Accountability Act) impone alle organizzazioni del settore sanitario di proteggere le informazioni sanitarie personali in formato elettronico che ricevono, utilizzano o conservano. La Security Rule dell'HIPAA richiede misure di sicurezza amministrative, fisiche e tecniche appropriate per garantire la riservatezza, l'integrità e la sicurezza delle informazioni sanitarie elettroniche protette. Se le organizzazioni sanitarie perdono il controllo sui dati in loro possesso, devono informare le persone interessate, il governo federale e, in determinate circostanze, anche i media.
Impegnate a dedicare tempo, attenzione e risorse alla lotta contro il COVID-19, le organizzazioni del settore sanitario hanno registrato un aumento degli attacchi alla sicurezza informatica da parte di attori di minacce che hanno provato a sfruttare l'emergenza. Dall'inizio della pandemia si è verificato un aumento significativo di distribuzioni di malware e di e-mail di phishing che utilizzavano come esca il COVID-19. Nel frattempo, le agenzie di intelligence hanno scoperto che gli hacker sfruttano il malware e sofisticate e-mail di phishing per cercare di accedere a ricerche e informazioni sui vaccini introducendosi nelle supply chain mediche.
Unit 42 si basa sui requisiti e sulle linee guida HIPAA per valutare il livello di sicurezza complessivo di un'organizzazione, tenendo in considerazione il personale, i processi e le tecnologie in uso per proteggere l'organizzazione stessa e le sue risorse. Questo ci offre un quadro completo della sicurezza informatica, con la mappatura dei punti in cui risiedono i PHI e altri dati sensibili e informazioni su come vengono memorizzati e trasmessi. Esaminiamo inoltre la documentazione esistente e forniamo raccomandazioni basate sugli standard del settore sanitario, oltre a organizzare colloqui con gli stakeholder per ottenere informazioni specifiche su infrastruttura, operazioni, capacità, processi e prassi generali riguardanti la sicurezza informatica all'interno dell'organizzazione. La nostra valutazione HIPAA include raccomandazioni dettagliate per correggere le lacune o i punti deboli identificati nella sicurezza e una roadmap di implementazione strategica che non solo spiega come ovviare alle carenze individuate, ma indica anche il livello di impegno percepito e una stima dei costi.
Unit 42 effettua valutazioni mirate e fornisce servizi tecnici utili non solo per testare e valutare il livello di sicurezza informatica e la resilienza informatica complessiva, ma anche per verificare che i controlli di sicurezza funzionino in modo efficiente e ottimale. Questo include test di penetrazione, durante i quali simuliamo un attacco del mondo reale per valutare i punti di forza delle tue contromisure e identificare le vulnerabilità nascoste, test di applicazioni mobili e per il Web, valutazioni mirate della sicurezza delle configurazioni in uso, simulazioni di phishing e simulazioni di situazioni di emergenza con scenari personalizzati in base alle minacce specifiche per il settore sanitario.
La protezione inizia con l'introduzione di misure di sicurezza e l'implementazione di capacità di monitoraggio continuo per garantire la distribuzione di servizi essenziali per l'infrastruttura. Alcuni esempi includono gestione delle identificazioni e controllo degli accessi, organizzazione di corsi di formazione incentrati sulla sensibilizzazione sui rischi informatici per i dipendenti e implementazione di processi e procedure per la protezione delle informazioni. Questo include il monitoraggio di eventi e sviluppi della sicurezza informatica per verificare l'efficacia delle misure protettive.
Il team addetto alla risposta agli incidenti di Unit 42 è pronto a intervenire con un brevissimo preavviso per aiutare le aziende del settore sanitario a indagare, eliminare ed eseguire il ripristino dopo attacchi ransomware, violazioni dell'e-mail aziendale, divulgazioni accidentali di dati e qualsiasi altro tipo di incidente. La nostra missione è bloccare immediatamente l'attacco, espellere gli intrusi e ripristinare i sistemi nel più breve tempo possibile, utilizzando soluzioni di analisi dei dati per indagare sulla portata dell'esposizione dei dati personali sanitari (PHI) in base agli obblighi previsti dall'HIPAA.
PARLA CON NOI
Uno specialista di Palo Alto Networks ti contatterà a breve. A presto!