Le previsioni per il 2023 per la cybersecurity nel mondo sanitario
Anche nel 2023 la sanità dovrà affrontare delle sfide cruciali. Le carenze di personale previste da tempo, che sono state accelerate a causa del burnout creato dal COVID-19, stanno avendo un impatto sull’erogazione dei servizi sanitari in tutto il mondo. Inoltre, gli attacchi informatici continuano ad aumentare – anche se, un po’ ironicamente, la tecnologia è spesso considerata come la soluzione ai problemi della sanità, in modo piuttosto generico.
Di seguito ci sono i trend chiave che stanno emergendo come risultato delle discussioni che il team di Armis affronta con i propri clienti e partner per capire le loro sfide e i loro piani.
L’assistenza o il monitoraggio remoto dei pazienti con l’utilizzo di dispositivi intelligenti, non è esattamente una novità. Mercy Virtual, lanciato nel 2015, nel 2019 ha reso noto che per quasi 4.200 pazienti del suo programma vEngagement ha registrato una riduzione del 50% delle visite al pronto soccorso e dei ricoveri!
Con un costo delle riammissioni, solo per Medicare, stimato in 26 miliardi di dollari, si potrebbe pensare che tutti abbiano aderito anni fa… ma sarebbe un’ipotesi sbagliata: le restrizioni sui rimborsi impedivano alle organizzazioni di fatturare i servizi ai pazienti a distanza e quindi di finanziare i programmi.
Come per molte altre cose nel settore sanitario, il COVID-19 ha cambiato le regole di rimborso, con il rilascio da parte dei Centers for Medicare and Medicaid Services di una norma finale provvisoria che ha di fatto abilitato il rimborso della teleassistenza e la RPM.
Nel giro di poco tempo, le visite virtuali e la teleassistenza sono aumentate vertiginosamente, così come il numero di società di monitoraggio remoto dei pazienti. Nel luglio 2022 Beckers Hospital Review ha pubblicato un elenco dei 50 principali fornitori di RPM e nell’ottobre 2021 Best Buy ha acquisito il fornitore di RPM Current Health, dichiarando: “Il futuro della tecnologia di consumo è direttamente collegato al futuro della sanità”. L’RPM utilizza dispositivi connessi a casa del paziente, spesso un tablet o un telefono collegato a un saturimetro, una bilancia e uno strumento per misurare la pressione sanguigna.
L’assistenza remota ha mostrato indicatori del suo valore, contribuendo a tenere le persone lontane dall’ospedale, alleggerendo il carico delle équipe di cura e fornendo risultati positivi ai pazienti. Verranno arruolati altri pazienti, verranno distribuiti altri dispositivi e gli spazi di vulnerabilità all’interno degli HDO continuerà a crescere. Il che porta a…
Una recente ricerca condotta da Ponemon ha individuato che il 12% degli attacchi ha avuto origine dai dispositivi IoT. In un recente focus group CHIME organizzato da Armis, i rischi di sicurezza informatica percepiti come più elevati nel settore sanitario riguardano in gran parte quelli che si potrebbero definire i dispositivi IT tradizionali: i desktop e i laptop Windows che conservano le informazioni sanitarie personali (PHI).
Dato che questi dispositivi sono dotati delle soluzioni di sicurezza più “mature”, è preoccupante che le superfici di attacco emergenti non ricevano l’attenzione che dovrebbero. L’assistenza sanitaria richiede un sistema attentamente orchestrato di servizi sempre più connessi, di cui l’accesso del medico alle informazioni del paziente è solo un aspetto.
I dispositivi IoT, OT e IoMT svolgono tutti un ruolo critico nell’erogazione delle cure. I sistemi di gestione degli edifici controllano i sistemi HVAC, gli ascensori e i sistemi di refrigerazione che, in caso di interruzione, potrebbero bloccare la capacità di fornire assistenza ai pazienti. I dispositivi IoT controllano le barriere dei parcheggi, gli accessi agli edifici e i sistemi di sicurezza. Inoltre, è in rapido aumento la gamma di dispositivi clinici IoMT, tra cui nebulizzatori, pompe, dispositivi da ingerire, dispensatori di farmaci e così via, ognuno dei quali, ancora una volta, potrebbe avere un impatto drammatico sull’assistenza ai pazienti.
Gli aggressori sono ben consapevoli di queste aree vulnerabili; Gartner ha previsto che entro il 2025 gli aggressori informatici avranno trasformato la tecnologia operativa in un’arma e uccideranno o danneggeranno gli esseri umani.
Con l’evoluzione delle tecnologie IoT, OT, IoMT e IT, la responsabilità dei sistemi informatici è rimasta invariata. I sistemi OT, con le loro oscure previsioni di Gartner, restano di competenza della gestione delle strutture, mentre i dispositivi medici rientrano nel reparto di ingegneria biomedica, che può riferire al CMO.
Sebbene questi dispositivi utilizzino spesso un servizio condiviso fornito dal team IT, quando si tratta di esaminare le patch e la sicurezza dei dispositivi, questo compito spetta spesso ai singoli team, con l’IT che ha una visibilità molto limitata sui dispositivi che non possono avere gli agenti di sicurezza installati.
Inoltre, la priorità di aggiungere una patch a una macchina per risonanza magnetica sensibile, o di aggiornare manualmente il firmware tramite una chiavetta USB a 10.000 pompe di infusione (a volte nascoste), o di aggiornare il sistema di tubi pneumatici, è piuttosto bassa, oltre a essere un incubo logistico. La disponibilità e il tempo di attività hanno la precedenza, lasciando che questi noti vettori di attacco siano vulnerabili.
L’assistenza sanitaria deve allineare tutti i sistemi digitali sotto un unico punto di responsabilità. CMIO, CNIO e CHIO devono comprendere la portata delle minacce e che una singola macchina può in ultima analisi minare la sicurezza dell’intero ospedale. Questo tema è cruciale, e per questo dovrebbe essere guidato dal CIO.
Come detto precedentemente, la tecnologia è spesso vista come la soluzione ad alcune delle principali sfide che la sanità deve affrontare. La tecnologia risolverà l’aumento dei costi dell’assistenza utilizzando i big data per promuovere un’assistenza basata sul valore, migliorerà l’efficacia delle diagnosi precoci e la qualità dei trattamenti, aiuterà a identificare i fattori di rischio per le malattie e migliorare la sicurezza dei pazienti attraverso una migliore previsione degli esiti, solo per citarne alcuni. Il monitoraggio remoto dei pazienti ha dimostrato di ridurre i tassi di riammissione, e si tratta solo di una piccola parte dei tipi di condizioni a cui viene applicata oggi.
Ciò che raramente emerge, però, è il modo in cui tutto questo verrà finanziato e dotato di personale. L’assistenza sanitaria è drammaticamente colpita dalla carenza di personale, ma non solo sul versante clinico: anche su quello informatico. Molte organizzazioni sanitarie hanno faticato ad attirare i migliori e più brillanti talenti IT, in particolare quelli situati vicino ai grandi datori di lavoro del settore tecnologico e finanziario. Purtroppo, il mondo post-pandemia in cui ci troviamo ha acuito il problema.
Le organizzazioni high tech con molti fondi sono ora in grado di attrarre candidati situati ovunque e di offrire stipendi più alti. Attirare, formare e trattenere i talenti è difficile. L’esperienza è molto preziosa e costituisce un importante requisito per comprendere il complicato mondo della sicurezza informatica e della gestione delle vulnerabilità in ambito sanitario.
Man mano che un numero sempre maggiore di informazioni si sposta nel cloud, per le organizzazioni sanitarie diventa meno rischioso affidare un maggior numero di servizi ai fornitori di cloud e utilizzare i servizi gestiti per gestire il provisioning, la gestione, il monitoraggio e la sicurezza di tali servizi. I servizi gestiti offrono coerenza, responsabilità e prevedibilità, liberando così risorse preziose per lavorare su alcune delle innovazioni di cui abbiamo parlato sopra, senza dover tenere le luci accese e passare notti insonni con l’idea di essere l’unica barriera per i criminali informatici altamente organizzati.
In linea con il tema di un unico riferimento aziendale per la responsabilità per la sicurezza digitale, ci deve essere una strategia di sicurezza unica. La sfida però, è sapere da dove iniziare. L’assistenza sanitaria non manca di requisiti di sicurezza e di conformità alla privacy, eppure, secondo l’FBI, è ancora il settore che subisce di gran lunga il maggior numero di attacchi ransomware. Con l’annuncio di un numero sempre maggiore di standard negli Stati Uniti, l’ambiente si fa opprimente.
I principi di Zero Trust, se applicati in modo organico a un ambiente, creano il framework, i concetti e l’architettura per affrontare la sicurezza di dati, identità, carichi di lavoro, reti e dispositivi. Nella sua forma più semplice, fornisce un modello che può essere condiviso con l’organizzazione per ottenere il consenso e la consapevolezza di una strategia consolidata di sicurezza delle risorse.
Elementi come i dispositivi medici e i sistemi di gestione degli edifici devono essere allineati e incorporati in un’unica strategia di sicurezza per ridurre il rischio che un dispositivo corrotto provochi l’interruzione delle cure in un’intera organizzazione. Non si tratta di una soluzione priva di sfide e complicazioni, ma per i CISO che cercano di far rientrare ogni asset in un’unica politica che, in ultima analisi, soddisfi tutte le norme e i regolamenti delle organizzazioni sanitarie a livello globale, si tratta di un solido punto di partenza.
Un tema costante di queste previsioni è la crescita dei dispositivi che non rientrano nelle capacità di molti degli strumenti di cybersicurezza sanitaria esistenti. Molte organizzazioni si trovano a dover gestire questi dispositivi che passano inosservati agli strumenti di sicurezza tradizionali. Anche le iniziative Zero Trust falliscono, se non si sa che il dispositivo è lì. I clienti di Armis scoprono regolarmente il 40% o più di dispositivi aggiuntivi sulle loro reti rispetto a quelli che pensavano di avere. Senza una visibilità completa dell’intera superficie di attacco, non c’è modo di proteggerla.