Anche le piccole aziende come gli studi medici e terapeutici possono essere vittime di un attacco hacker. Nell’intervista, l’esperto di sicurezza informatica Uwe Gempp spiega come i titolari di studi medici possono migliorare la sicurezza dei dati dei pazienti.
Questo articolo è stato pubblicato nel Swiss Dental Journal SSO 6/2022. È stato leggermente rivisto per il HIN Blog.
Uwe Gempp, in primavera i computer di numerosi studi medici del Cantone di Neuchâtel sono stati vittime di un attacco hacker e i dati dei pazienti sono stati rubati. Gli aggressori hanno minacciato i titolari degli studi di pubblicare i loro dati. Come può un piccolo studio individuale trovarsi nel mirino degli hacker?
Anche le piccole aziende sono spesso interessate da questi attacchi. Gli hacker cercano i punti deboli non in modo mirato, bensì in modo automatizzato e 24 ore su 24. Una volta che l’aggressore ha accesso al sistema, verifica quali vittime possano promettere un grosso guadagno. Nel caso del titolare di uno studio, si presume una grande solvibilità, perché la pubblicazione dei dati dei pazienti rovina la reputazione dello studio.
Tutti gli studi medici coinvolti hanno evidentemente utilizzato lo stesso software per la gestione delle cartelle informatizzate dei pazienti. Come posso informarmi per sapere se un software è sicuro?
Per un profano questo è difficile da valutare. Si può però chiedere al produttore del software del proprio studio medico quali misure di sicurezza vengano regolarmente attuate per riconoscere ed eliminare i punti deboli. Esistono specifiche certificazioni, la più conosciuta è la serie di norme ISO/IEC-27000. Richiedete il relativo certificato.
Come si deve reagire a un attacco di questo tipo?
Dipende dal caso concreto. Non appena ci si rende conto che il proprio computer è stato hackerato, occorre arrestare il sistema e scollegarlo dalla rete. In questo modo il flusso di dati viene interrotto. Il titolare dello studio dovrà comunque denunciare l’accaduto al Centro Nazionale per la cibersicurezza (NCSC), dove potrà ricevere informazioni e supporto.
Come si deve reagire alle richieste di denaro?
Consigliamo di non cedere all’estorsione, bensì di denunciare il fatto alla Polizia. Da un lato con i pagamenti si finanziano gli hacker, in quanto in questo modo si aumenta l’attrattività di questi attacchi e si forniscono i mezzi per effettuarne altri. Dall’altro, il pagamento del riscatto non garantisce che i dati saranno ripristinati o non saranno pubblicati dagli hacker. Gli attacchi sono spesso combinati, gli hacker penetrano nel sistema e crittografano i file nel computer dopo che sono stati inviati. In cambio del pagamento del riscatto promettono di dare alla vittima la chiave per decrittografare i dati. Se la vittima non cede, segue una seconda richiesta per scongiurare che i dati rubati vengano pubblicati. Anche se si acconsente a questa richiesta, non si hanno certezze su ciò che succederà ai dati.
Quali misure posso adottare per non cadere vittima di un’estorsione?
La cosa più importante è la protezione informatica di base (vedi sotto), che comprende misure tecniche e organizzative, ma anche domande basilari: Il software è aggiornato? Gli aggiornamenti per la sicurezza vengono effettuati regolarmente? Lo scanner antivirus è aggiornato? Le mie password sono abbastanza sicure? I backup vengono eseguiti regolarmente?
E come ci si protegge dai trojan di crittografia, che crittografano i file sul computer?
La miglior protezione è data dall’effettuazione regolare dei backup, che prevedono la creazione di una copia di sicurezza dei file su un dispositivo esterno. È anche consigliabile configurare un dispositivo di riserva, ad esempio un computer portatile non collegato alla rete dello studio. In questo modo è possibile proseguire l’attività dello studio sul dispositivo di riserva dopo un attacco al computer principale, nel caso debba essere spento. Infine, si consiglia di essere in contatto con un fornitore di servizi informatici, da chiamare in caso di attacco. In questo modo si risparmia ulteriore stress e si riceve assistenza più rapidamente.
Nello studio medico vi sono, oltre al computer, anche altri dispositivi collegati in rete. È possibile che l’attacco al sistema informatico provenga da tali dispositivi collegati a Internet?
Sì, è possibile. Gli apparecchi medici di produttori rinomati sono meno a rischio, in quanto per questi marchi la sicurezza dei dispositivi ha un’elevata priorità. Sono invece problematici i dispositivi più economici reperibili in commercio, tramite i quali ad esempio si ascolta musica in studio o si sorveglia lo studio di notte. Questi dispositivi non dovrebbero essere collegati alla rete dello studio, in quanto i loro produttori spesso non danno una priorità sufficiente all’aspetto della sicurezza e non risolvono i punti deboli noti dei loro prodotti. I dispositivi possono essere collegati in una rete separata, la maggior parte dei router Internet offre questa possibilità. Il NCSC fornisce informazioni al proposito.
È possibile mettere a punto da sé un sistema di protezione informatica negli studi, oppure è assolutamente necessario uno specialista?
La maggior parte dei titolari di studi medici può attuare nella pratica la protezione informatica di base, non è necessario essere un informatico. È sufficiente avere dimestichezza con il sistema operativo e utilizzare le check-list disponibili (ad es. la protezione informatica di base della FMH, vedi box, oppure www.hin.ch/it/blog/proteggersi-dai-cyberattacchi/). Molti professionisti della salute hanno tuttavia poco tempo per occuparsi delle questioni informatiche, e assegnano a questa tematica una priorità minore rispetto a quella relativa alle loro competenze principali, cioè il trattamento ottimale dei pazienti. Ritengo comunque importante essere consapevoli del fatto che il computer è un importante strumento di lavoro di qualunque studio medico, fa parte dell’attrezzatura esattamente come la poltrona di trattamento. Per questo motivo ogni titolare di studio medico deve badare alla qualità e alla sicurezza anche per i computer.
La digitalizzazione del settore sanitario svizzero aumenterà ulteriormente. Quali pericoli si celano in questo sviluppo?
Maggiore è la quantità di dati archiviati in modo digitale, maggiore è il pericolo che gli hacker vogliano trarne denaro. Pertanto, il rischio di attacchi aumenterà indubbiamente. La digitalizzazione offre il grande vantaggio di un migliore collegamento in rete e quindi di un’assistenza sanitaria più efficiente. Non possiamo sottrarci a questo sviluppo. Anzi, dobbiamo imparare a convivere con questo pericolo potenziale, dando una grande importanza alla sicurezza dei dati e attraverso la sensibilizzazione sulle sfide correlate.
Uwe Gempp
Uwe Gempp è dall’inizio del 2022 Security Officer presso Health Info Net AG (HIN).
La protezione informatica di base della FMH
Per assistere i titolari di studi medici, la FMH ha elaborato dei requisiti minimi di protezione IT. I requisiti minimi sono solo delle raccomandazioni con i requisiti per garantire un minimo di sicurezza per i dati, le informazioni e l’infrastruttura IT.