Cosa rubano i criminal hacker dagli ospedali?

Solitamente quando sentiamo parlare di Data Breach o fughe di dati che coinvolgono gli ospedali – o comunque le strutture che con la sanità hanno a che fare – quello che ci viene riportato è principalmente il numero delle vittime coinvolte o magari l’entità del danno, ma non – incredibilmente – ciò che è stato sottratto. Questa lacuna di conoscenza è stata notata da un team di ricercatori dell’università John Hopkins, in collaborazione con le loro controparti della Michigan State University, che hanno realizzato il primo studio dettagliato per portare alla luce il “cosa” viene sottratto solitamente.

Frodi in primis

Raccogliendo le testimonianze, ha raccontato il responsabile generale del coordinamento della ricerca, la storia più frequente emersa dalle vittime è stata di come le informazioni riservate compromesse fossero state utilizzate o per causare danno economico o, in alternativa, danno d’immagine. È facile immagine come un criminal hacker possa trarre vantaggio da date di nascita, nominativi, codici fiscali o simili una volta sottratti dai database: dal semplice commercio di dati sul Dark web fino alla creazione e intestazione di carte di credito a nome terzi. Anche semplicemente l’appropriarsi della cartella medica di un paziente può avere ripercussioni più gravi di quanto si possa immaginare. Pensate solamente alle ripercussioni che potrebbe avere sulla quotazione di un’azienda se si venisse a scoprire che una delle sue figure chiave è stata ricoverata per un grave malore debilitante.

Lo scenario

Fino a oggi nessun ricercatore era stato in grado di classificare in maniera precisa la tipologia o l’esatta quantità di informazioni esfiltrate attraverso Data Breach o Data Leak, rendendo molto difficile comprendere le vere implicazioni e i rischi legati alla cyber security nel settore Healthcare. Lo studio, che ovviamente ha per il momento preso in considerazione solo gli Stati Uniti d’America, ha portato alla luce come quasi 170 milioni di persone (tra il 2009 e il 2019) è stata vittima di furto d’informazioni da parte di criminal hacker.

Per meglio strutturare l’enorme mole di dati recuperata dalle loro indagini sul campo il team ha suddiviso il tutto in tre categorie:

• Demografici: come nomi, indirizzi email e altri dati identificativi;
  
  
• Finanziari: contenente appunto tutti i dati finanziari collegati ai pazienti;
  
  
• Sanitari: che comprendevano le diagnosi e i trattamenti somministrati.

Forse, in maniera ancora più preoccupante, all'interno delle informazioni mediche, sono state sottratte le informazioni relative all'abuso di sostanze, all'Hiv, alle malattie sessualmente trasmissibili, alla salute mentale e al cancro. Sfortunatamente perché – a causa delle loro critiche implicazioni per la privacy – sono dati ambitissimi sul Dark web da utilizzare come strumento di ricatto.

In totale il 70 per cento dei Data Breach era composto da informazioni appartenenti alle prime due categorie (demografiche e finanziarie), le più facili da sfruttare per commettere frodi finanziarie o furto d’identità. Più di 20 Data Breach, invece, erano mirati a sottrarre informazioni sanitarie (in totale si stima siano state coinvolte le cartelle di 2 milioni di persone).

Cosa ci riserva il futuro?

Senza sapere qual è lo scopo del nostro nemico non potremo mai sconfiggerlo, sembra lapalissiano da dire, ma rintracciare e isolare precisamente l’oggetto del desiderio dei criminal hacker è uno step che non può mancare se vogliamo veramente difendere le informazioni del paziente. Lo studio condotto dall’altra parte dell’Atlantico offre una ritrovata comprensione di quali dati espliciti sono trapelati – e quanti nell'ultimo decennio sono stati colpiti. L’occasione che il team di ricercatori ha offerto agli ospedali e ai provider di servizi e strumenti sanitari non è trascurabile, ma quando si parla di cyber security e sanità rimane sicuramente il problema di bilanciare delicatamente la citata necessità di sicurezza con quella di avere accesso rapido e immediato agli operatori sanitari.

Per migliorare la resilienza negli ospedali, l'obiettivo principale dei Responsabili IT dovrebbe essere quello di lavorare per ridurre la complessità e disomogeneità delle apparecchiature e delle infrastrutture, migliorando di conseguenza sia la velocità di trasmissione sia la cyber security. I device medici di ultima generazione sono sicuramente più allineati su questo paradigma, ma persistono ancora troppe macchine legacy (insomma, non proprio all’ultimo grido) a cui è affidata la gestione di dati fin troppo sensibili. 

Non solo, un solo ospedale non allineato allo standard di cyber security corretto potrebbe avere ricadute catastrofiche su tutto il sistema sanitario del Paese. La riduzione delle variabili nella disponibilità di risorse rende, al contrario, l'intero sistema meno vulnerabile. In altre parole, gli ospedali devono progredire insieme per rendere l’intero settore meno attraente per i criminal hacker. Inoltre, anche se il rispetto delle norme è essenziale, non è sinonimo di sicurezza. Gli ospedali dovrebbero fissare il loro livello di sicurezza informatica al di là dei requisiti della normativa e delle politiche attuali. 

Oggi, le politiche riguardano principalmente la riservatezza dei dati e forse, anche con il GDPR, non ancora abbastanza la sicurezza dei dati.