Perché la tua cartella clinica vale 50 volte di più della tua carta di credito sul dark web?

Commento del blog:

Secondo il Dipartimento della Salute e dei Servizi Umani, le violazioni dei dati sanitari hanno interessato oltre 112 milioni di cartelle cliniche dei pazienti solo nel 2023, con un aumento del 35% rispetto all'anno precedente. Le cartelle cliniche elettroniche (EHR), le piattaforme di telemedicina, i dispositivi medici connessi e le app per l'assistenza sanitaria hanno rivoluzionato l'assistenza ai pazienti, ma hanno anche creato sfide di sicurezza senza precedenti. Le implicazioni vanno ben oltre le sanzioni normative: hanno un impatto sulla fiducia dei pazienti, sulle operazioni cliniche e persino sulla loro sicurezza. Questo blog esplora i fattori di rischio critici associati alla sicurezza dei dati sanitari e analizza le strategie per mitigare queste minacce in continua evoluzione.

Perché le cartelle cliniche sono così preziose sul dark web?

Il dark web è una parte di internet non indicizzata dai motori di ricerca come Google. Per accedervi, è necessario un software speciale, come Tor (The Onion Router). Non è intrinsecamente illegale, ma viene spesso utilizzato per comunicazioni e transazioni anonime, il che lo rende un centro di attività illecite.

I dati sanitari rappresentano una tempesta perfetta di informazioni preziose. A differenza dei dati delle carte di credito, che hanno una durata limitata una volta rubati, le cartelle cliniche contengono identificatori permanenti e dati personali completi che possono essere sfruttati per anni. Le organizzazioni sanitarie rappresentano obiettivi interessanti, come illustrato di seguito.

• Ricco di informazioni personali: Le cartelle cliniche contengono nomi completi, date di nascita, numeri di previdenza sociale, indirizzi, dati assicurativi e talvolta dati di pagamento: una miniera d'oro per i ladri di identità.
• Periodo di validità più lungo: A differenza delle carte di credito (che possono essere annullate), la storia clinica e i dati personali sono permanenti, il che li rende più utili per frodi a lungo termine.
• Sistemi precedenti: Molte strutture utilizzano tecnologie vecchie di decenni e spesso utilizzano sistemi operativi obsoleti e non supportati.
• Più lento da rilevare: Il tempo medio per rilevare una violazione nel settore sanitario è significativamente più lungo rispetto ad altri settori. Questo dà agli aggressori più tempo per trarre profitto senza essere scoperti.
• Limiti di spesa: Le strutture sanitarie hanno spesso difficoltà a conciliare i requisiti delle apparecchiature cliniche con l'infrastruttura di sicurezza richiesta.
• Ambienti complessi: Una tipica rete ospedaliera collega migliaia di dispositivi di centinaia di fornitori, creando un'enorme superficie di attacco.
• Operazioni 24 ore su 7, XNUMX giorni su XNUMX: A differenza di altri settori, le strutture sanitarie non possono semplicemente chiudere per effettuare aggiornamenti di sicurezza.

Medicale I dati valgono fino a 50 volte di più delle informazioni delle carte di credito sul mercato nero. Contengono tutto ciò di cui un criminale ha bisogno per furto d'identità, frode assicurativa e campagne di phishing mirate, afferma. ReutersIl settore sanitario è un bersaglio primario per gli attacchi informatici a causa della natura sensibile dei dati dei pazienti e del potenziale rischio di interruzione dei servizi critici. Le organizzazioni devono dare priorità agli investimenti in sicurezza informatica e implementare solide misure di sicurezza per proteggere le informazioni dei pazienti e mantenere la resilienza operativa.

Fattori di rischio associati alla sicurezza dei dati sanitari

Sebbene il valore dei dati sanitari li renda un obiettivo primario, sono le debolezze sistemiche del settore ad aumentarne il rischio. Il vero pericolo risiede nella combinazione di dati di alto valore e debolezze sistemiche in ambito tecnologico, personale e processi. Di seguito sono riportati gli elementi chiave che continuano a esporre il settore a frequenti e costosi incidenti di sicurezza.

• Ransomware e attacchi mirati: Le organizzazioni sanitarie affrontano continue minacce informatiche, tra cui ransomware, phishing e attacchi malware. Il Verizon Data Breach Investigations Report (DBIR) del 2023 ha rilevato che il 45% di tutte le violazioni nel settore sanitario è dovuto a hacking, con il ransomware come causa principale. Questi attacchi sono sempre più sofisticati e gli autori delle minacce conducono ricognizioni approfondite prima di lanciare campagne mirate. Le conseguenze sono disastrose. Una ricerca condotta da University of California, San Diego ha rivelato che gli attacchi ransomware agli ospedali creano un effetto a catena, con un conseguente picco di pazienti nelle strutture vicine. Questo aumento del carico di lavoro è stato collegato a un aumento dell'81% dei casi di arresto cardiaco, insieme a un calo significativo dei tassi di sopravvivenza.
• Minacce interne ed errori umani: Mentre gli hacker esterni conquistano le prime pagine dei giornali, le minacce interne rimangono uno dei rischi più significativi per la sicurezza dei dati sanitari. Queste minacce assumono varie forme, come ad esempio malintenzionati interni che abusano deliberatamente dell'accesso, personale negligente che cade vittima di truffe di phishing e dipendenti privi di un'adeguata formazione sulla sicurezza informatica. Rapporto sulle indagini sulla violazione dei dati Verizon 2023 ha scoperto che il 39% degli incidenti di sicurezza sanitaria ha coinvolto attori interni, una percentuale significativamente più alta rispetto alla media intersettoriale del 25%, evidenziando la necessità di controlli di accesso più rigorosi e di formazione dei dipendenti.
• Vulnerabilità di terze parti e della catena di fornitura: L'erogazione di servizi sanitari moderni coinvolge numerosi fornitori terzi, ognuno dei quali rappresenta un potenziale rischio per la sicurezza. Dalle società di fatturazione ai fornitori di servizi cloud ai produttori di dispositivi medici, questi partner hanno spesso accesso a dati sensibili o sistemi critici. Secondo Rivista HIPAACirca il 55% delle organizzazioni sanitarie ha subito violazioni di terze parti nel 2022. Gli aggressori sfruttano server esterni non sicuri, password deboli e controlli di accesso inadeguati per infiltrarsi nelle reti. Sfruttano inoltre i deboli requisiti di sicurezza nei contratti con i fornitori, una scarsa gestione del rischio da parte dei fornitori, una visibilità limitata sui fornitori a valle e misure di sicurezza inadeguate nei dispositivi medici connessi.
• Mancanza di crittografia e mascheramento dei dati: Nonostante la crittografia e il mascheramento siano controlli di sicurezza fondamentali e requisiti HIPAA, molte organizzazioni sanitarie li implementano in modo incoerente o inadeguato. Il mascheramento non è un "optional": rappresenta l'ultima linea di difesa quando altri controlli di sicurezza falliscono. Sfortunatamente, molte organizzazioni lo implementano come misura di conformità di base piuttosto che come strategia completa di protezione dei dati. Tra i problemi principali rientrano i dati non crittografati a riposo, come le cartelle cliniche dei pazienti e i backup, insieme a standard di crittografia deboli o obsoleti che non sono in grado di resistere alle minacce moderne. Una gestione inadeguata delle chiavi di crittografia, un utilizzo limitato del mascheramento dei dati in ambienti non di produzione e lacune che espongono i dati durante l'elaborazione o la trasmissione aggravano ulteriormente il rischio.
• Infrastruttura IT obsoleta e sistemi legacy: Le organizzazioni sanitarie operano spesso con infrastrutture tecnologiche che sono in ritardo di anni o addirittura decenni rispetto ad altri settori. Queste piattaforme obsolete sono spesso incompatibili con i moderni strumenti di sicurezza, rendendo difficile l'applicazione delle attuali protezioni. Inoltre, le apparecchiature mediche specializzate utilizzano spesso software proprietario che non può essere facilmente aggiornato o aggiornato. Le difficoltà di integrazione complicano ulteriormente la situazione, poiché il collegamento di applicazioni legacy con soluzioni di sicurezza moderne spesso introduce problemi di compatibilità e rischi operativi.
• Sfide per la sicurezza del cloud e accumulo di dati: Con la rapida adozione dell'infrastruttura cloud nel settore sanitario, molte organizzazioni faticano a gestire i rischi per la sicurezza associati. Errori di configurazione, confusione sulla responsabilità condivisa e configurazioni multi-cloud frammentate hanno portato all'esposizione di oltre 30 milioni di dati nel solo 2023. Inoltre, l'accumulo di dati rimane una preoccupazione importante. Gli studi hanno rivelato che il 78% dei dati dei pazienti viene archiviato oltre la durata di vita richiesta, mentre il 42% viene conservato per oltre 30 anni, ampliando la superficie di attacco, aumentando i rischi di conformità e gonfiando i costi di archiviazione.

Conclusione

Le organizzazioni che considerano la sicurezza un elemento fondamentale della propria trasformazione digitale, anziché un fattore secondario, saranno in una posizione migliore per proteggere i dati dei pazienti, sfruttando al contempo la tecnologia per migliorare l'assistenza. Con la continua evoluzione digitale dell'assistenza sanitaria, anche la sicurezza deve evolversi di pari passo, non solo per soddisfare i requisiti di conformità, ma come componente essenziale della mission aziendale in materia di assistenza al paziente.

Per saperne di più:

Blog: Il problema da 10.93 milioni di dollari: come proteggere i dati sanitari

Oltre la superficie dell'HIPAA si nasconde un rischio da 10.93 milioni di dollari. Fornisci alla tua organizzazione sanitaria le conoscenze essenziali per proteggere proattivamente i dati sensibili, comprendere le sfide della sicurezza dei dati sanitari e assicurarti di essere sempre pronto per gli audit. Non rischiare la sanzione: leggi subito il blog!