La revisione della direttiva UE per aumentare la sicurezza informatica per le infrastrutture critiche (NIS2) ha portato ancora più al centro dell’attenzione la questione della sicurezza informatica in molte strutture sanitarie. Perché sono considerati particolarmente meritevoli di tutela.
La riservatezza, l'integrità e la disponibilità dei dati sono di fondamentale importanza nel settore sanitario. Qui vengono documentati tutti i processi sanitari e le diagnosi, compresi i piani terapeutici. Poiché ogni lacuna nella sicurezza comporta il rischio che i piani terapeutici vengano manipolati o che le informazioni finiscano nelle mani di terzi, la sicurezza informatica è essenziale. I dati sensibili sono un bersaglio estremamente popolare per i criminali, come ha dimostrato il recente attacco a un ospedale di Soest. La sfida del settore: a causa della crescente digitalizzazione, i dispositivi medici sono oggi sempre più collegati in rete e i dati vengono sempre più archiviati e trasmessi elettronicamente. Ciò aumenta la potenziale superficie di attacco per i criminali informatici. Il legislatore affronta questo sviluppo attraverso NIS2 aumentando i requisiti di sicurezza informatica nelle aziende. Ingoschulenberg, Head of Sales – Special Operations OT & IT Security presso Axians IT-Security, fornisce quattro suggerimenti su come dovrebbero comportarsi le strutture sanitarie interessate dalla direttiva.
Valutazione della sicurezza informatica
Il parco attrezzature negli ospedali è spesso cresciuto nel tempo ed è sempre più interconnesso. Per aumentare in modo efficiente la sicurezza informatica, una valutazione delle misure di sicurezza esistenti è un punto di partenza ottimale. Qui gli esperti controllano la sicurezza dell'ambiente installato, identificano le vulnerabilità sui dispositivi esistenti e quali requisiti di sicurezza ci sono per i nuovi dispositivi. È inoltre fondamentale determinare quali aree dell’azienda devono comunicare tra loro. Soprattutto nelle strutture sanitarie, spesso ci sono macchine e dispositivi importanti che, ad esempio, non dovrebbero essere tutti collegati alla stessa rete. Nella valutazione della sicurezza informatica, le organizzazioni stabiliscono quali risorse sono particolarmente critiche e meritano di essere protette, per dare loro priorità nella loro strategia di sicurezza e proteggerle in modo appropriato. Durante la valutazione della sicurezza, fornitori di servizi ICT esperti come Axians possono aiutarvi a valutare correttamente il livello di sicurezza dell'infrastruttura IT e quindi a elaborare una strategia di sicurezza olistica.
Formazione sulla sicurezza informatica
Il più grande rischio per la sicurezza nel settore sanitario, come in altri settori, sono le persone. Rimane un obiettivo popolare per gli hacker. Con attacchi di phishing ben congegnati, i criminali informatici possono indurre i dipendenti a fornire dati di accesso o a scaricare malware da Internet. Un'errata disponibilità ad aiutare, ad esempio quando i dipendenti collegano una chiavetta USB al proprio PC di lavoro per scoprire il proprietario, spesso porta a gravi danni. Anche la ricarica di telefoni cellulari privati su dispositivi medici dotati di porta USB rappresenta un potenziale rischio per le strutture sanitarie a causa della compromissione dei dispositivi. Le aziende dovrebbero prevenire questo fenomeno formando tutti i dipendenti in modo che possano sviluppare una migliore percezione dei rischi per la sicurezza. Questo è importante perché i dipendenti delle strutture sanitarie spesso lavorano sotto pressione e hanno un carico di lavoro elevato. Per non cadere vittima di attacchi di phishing mirati nella stressante vita quotidiana, sono essenziali regolari corsi di formazione sulla sicurezza e di sensibilizzazione.
Best practice per la sicurezza informatica
Per costruire una sicurezza informatica efficace, le istituzioni dovrebbero prima iniziare implementando le basi tecniche. Nel settore sanitario ciò include la segmentazione della rete con firewall interni. La segmentazione della rete consente di separare i dispositivi medici dalla rete principale. Spesso le macchine e i dispositivi dispongono di sistemi operativi più vecchi, le cui vulnerabilità non possono essere riparate, altrimenti perderebbero la loro approvazione. Se la ricertificazione non è un'opzione, questi dispositivi possono essere bloccati in segmenti di rete sicuri e la comunicazione con questi dispositivi può essere regolata e monitorata tramite IPS. La protezione di base può poi essere ampliata continuamente secondo il principio modulare rispettando il budget. Poiché il panorama delle minacce sta diventando sempre più complesso, le misure preventive devono essere continuamente affinate.
Espandi le nozioni di base con SOC e ISMS
Le minacce devono essere identificate 24 ore su 24 e in tempo reale per poter reagire immediatamente in caso di emergenza. Per questo motivo è consigliabile che le istituzioni sanitarie come gli ospedali istituiscano un Security Operations Center (SOC). Tutti gli aspetti della sicurezza informatica confluiscono nel SOC: qui l'infrastruttura di sicurezza IT dell'ospedale viene monitorata 24 ore su 24 da specialisti che utilizzano la tecnologia più recente, gli attacchi vengono identificati tempestivamente e viene avviata la difesa. L'esperienza acquisita consente di adattare in modo permanente la strategia di difesa. Le strutture sanitarie non devono necessariamente gestire un SOC, ma possono ricevere il supporto di un fornitore di servizi gestiti.
Oltre alle nozioni di base sulla sicurezza, si consiglia di istituire un sistema di gestione della sicurezza delle informazioni (ISMS). Questo non è un sistema fisico, ma piuttosto una procedura definita da linee guida che definiscono, controllano, controllano, mantengono e migliorano continuamente la sicurezza delle informazioni in un'azienda. Un ISMS viene implementato e implementato individualmente per un'azienda.
Aumentare gradualmente la sicurezza
Per proteggere con successo aziende e istituzioni del settore sanitario dagli attacchi informatici non basta investire semplicemente in hardware e software. L’obiettivo dovrebbe essere una strategia globale di sicurezza informatica che possa essere implementata passo dopo passo. Le organizzazioni possono iniziare innanzitutto eseguendo audit di sicurezza e poi, sulla base di questi, introdurre soluzioni tecniche come firewall interni ed esterni, prevenzione delle intrusioni, segmentazione della rete, ISMS e SOC. Allo stesso tempo, la formazione per aumentare la consapevolezza dei dipendenti dà i suoi frutti. Finché le aziende seguono queste migliori pratiche, aumentano continuamente la sicurezza dei loro sistemi e quindi dei dati dei pazienti. La collaborazione con partner esterni e l'utilizzo di servizi gestiti può aiutare a evitare di sottoporre a ulteriore pressione i dipartimenti IT delle strutture sanitarie.
Maggiori informazioni su Axians.com
A proposito degli assiani
Il gruppo aziendale Axians in Germania fa parte della rete globale di marchi di VINCI Energies per soluzioni ICT. Con un portafoglio ICT olistico, il gruppo supporta aziende, comuni e istituzioni pubbliche, operatori di rete e fornitori di servizi nella modernizzazione delle loro infrastrutture e soluzioni digitali.
Articoli relativi all'argomento