Cyber: il rischio in ambito sanitario e la threat intelligence strategy

A poco più di un mese dalla piena applicazione del Regolamento Europeo 2016/679 (GDPR), particolarmente dibattuta, si rivela ancora oggi la precisa accezione del rischio cyber e la sua contestualizzazione nell’ambito delle misure adeguate richiamate dalla normativa europea.

E’ capitato di leggere che in ambito sanitario sarebbe sbagliato porre la questione in termini di cyber security in quanto l’ospedale non è un’azienda, ma bisognerebbe ricondurre la questione al cosiddetto “rischio clinico”, ossia “non nuocere al paziente”. Il tema è particolarmente insidioso, specie ove ci si approcci a una valutazione di vulnerabilità propedeutica all’adozione di adeguate misure adeguate di mitigazione del rischio.

Lo sviluppo sempre più rapido delle interconnessioni di reti della Società dell’informazione e delle tecnologie, pone in generale problemi di sicurezza che impongono a ciascun titolare del trattamento l’adozione di misure che contrastino il verificarsi di eventi accidentali o intenzionali (antropici) che possano compromettere il proprio patrimonio informativo, determinando anche le condizioni per una violazione dei diritti e delle libertà degli interessati. 

Il concetto di sicurezza informatica assume un significato permeante nel regolamento europeo n. 2016/679 (GDPR)

Le recenti vicende di cronaca specialistica hanno testimoniato che il fenomeno dei cyber attacchi è in costante e crescente evoluzione e con tecniche sempre più aggressive. Non vi è dubbio, sul punto, che la vera minaccia è cyber e la sua accezione comprende in sé  una serie di settori di rischio che hanno comunque un comune denominatore: l’invisibilità di un avversario che mette in campo tecniche sempre più sofisticate di attacco.

In ottica GDPR la compliance passa anche, e soprattutto, dalla capacità di una rete o di un sistema d’informazione di resistere, ad un dato livello di sicurezza, ad eventi imprevisti o atti illeciti o dolosi che minaccino di compromettere la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati personali trattati. Dunque, il titolare o il responsabile del trattamento è chiamato a valutare anche, e soprattutto, il rischio informatico che, nella macro area della cyber minaccia, certamente include tutte le sottocategorie di rischio, incluso il cosiddetto “rischio clinico”.

A tal proposito, con la diffusione della Internet of Things svariati sono e saranno i rischi alla eHealth, ovvero i rischi cyber correlati ai device che si impiantano nei pazienti quali pacemakers, pompe di insulina o che espongono il paziente a compromissioni carpibili da remoto/tramite networking, sfruttando ad esempio la tecnologia RFID.

Il settore sanitario costituisce pertanto l’esempio per antonomasia delle problematiche connesse alla cyber security intesa come sicurezza nel contesto aumentato/multidimensionale del cyberspace, con l’aggravante che il Value at Stake da tutelare è l’incolumità fisica dell’interessato, piuttosto che la riservatezza in se stessa e/o il patrimonio informativo delle Aziende sanitarie.

Particolarmente diffuso è l’attacco in ambito sanitario attraverso la tecnica del ransomware per colpire i dati vitali degli asset critici delle aziende 

I ransomware sono i codici malevoli, utilizzati per finalità estorsive da cyber criminali. Attraverso questa tecnica offensiva il codice malevolo nella maggior parte dei casi cripta i dati del dispositivo target rendendoli indisponibili (letteralmente in ostaggio). Il pagamento delle somme estorte dai cyber criminali è generalmente effettuato in bitcoin e solo all’esito i dati vengono decifrati e resi disponibili all’utente del dispositivo target.  

Nel dark web si stanno diffondendo le piattaforme del cosiddetto Ransomware-as-a-Service che consentono la rapida creazione di ransomware in un mercato che inevitabilmente favorisce la cultura della minaccia. Ancora una volta, in questi casi, l’errore umano è fatale e, pertanto, l’ottimizzazione delle capacità di prevenzione, rilevamento e risposta alle minacce è cruciale nelle strategie di sicurezza delle Aziende sanitarie.

In questo soccorre la Cyber Threat Intelligence (Cti) che si rivela essenziale nelle strategie di sicurezza cibernetica.

La condivisione di informazioni su siti ed eventuali indicatori associati a ransomware vengono gestite dai team dell’information security che le utilizzano per identificare e valutarne velocemente le vulnerabilità, mitigandone i rischi e gli impatti in uno scenario in cui il panorama delle minacce continua a cambiare ed evolversi pericolosamente.

Davide Maniscalco

Avvocato Cassazionista, con formazione giuridico-aziendale, ha consolidato la propria esperienza professionale prevalentemente nel settore dei carburanti e delle energie. Ha assunto ruoli di alta direzione in Gruppi societari del settore wholesale and retail trading, logistic, transport & management. Ha maturato una significativa esperienza in diritto commerciale e societario, nonché nella contrattualistica di impresa, occupandosi in azienda della gestione del capitale umano e delle relazioni sindacali. E’ Of Counsel dello Studio Viola di Palermo con cui collabora nell’ambito dell’innovativo BID Department per lo sviluppo del commercio internazionale delle imprese, negli uffici di rappresentanza di Milano e New York. Nel corso dell’esperienza professionale ha approfondito il rapporto tra diritto e tecnologie della società dell’informazione ed ha poi rivolto particolare attenzione alle materie della information security, acquisendo competenze trasversali in informatica giuridica, governance digitale, cybersecurity e business resilience. Certified functional continuity professional (CFCP) DRII e crisis manager. Referente territoriale e Docente della Geeks Academy, scuola di alta formazione specialistica e network della formazione in cybersecurity, digital forensics e data analysis. Professionista della Privacy iscritto negli elenchi dei professionisti dell’Associazione Anorc Professioni*, per la quale è Referente Territoriale. Professionista della Digitalizzazione documentale e della Privacy, con master di primo livello conseguito presso l’Università UniTelma Sapienza di Roma. Membro del Team D&L Net dello Studio Legale Lisi**, a cui aderisce come specialista della Privacy. Membro del consiglio direttivo dell’Associazione Confcommercio Professioni Palermo, che aderisce alla Confcommercio di Palermo. Business Coach e Licensed NLP Master Practitioner iscritto nell’elenco tenuto dall’Associazione Assocoaching I° livello Disaster Manager – Assodima ______________________ ____________________________ * ANORC Professioni è un’associazione professionale, indipendente e senza scopo di lucro, iscritta nell'elenco del MISE, che rappresenta i Professionisti della digitalizzazione e i Professionisti della privacy. **Il D&L Net è un Network professionale che in modo multidisciplinare vuole garantire ai Professionisti che aderiscono una crescita sia in termini di competenze, che di attività, nelle materie del diritto dell’informatica e della protezione dei dati personali. Per tali motivi i Professionisti accettano di riconoscersi in questo Network, di mettere a disposizione con spirito collaborativo e proattivo la propria professionalità e di impegnarsi a sviluppare la rete professionale secondo una serie di diritti e doveri condivisi nel Codice che accettano di osservare.

Facebook Comments

Articoli suggeriti