BSIP/Getty Images
(in) Sicuro è una rubrica settimanale che approfondisce il tema in rapida espansione della sicurezza informatica.
Quando si tratta di violazioni della sicurezza informatica, tendiamo a pensare a grandi aziende o istituzioni governative che detengono grandi quantità di dati personali. Tuttavia, gli ospedali e i centri medici sono organizzazioni che conservano migliaia di dati personali. Quando vengono colpiti da un’epidemia grave come quella influenzale di quest’anno, rimangono completamente vulnerabili a un attacco informatico che potrebbe toccare le preziose cartelle cliniche dei loro pazienti.
Video consigliati
Abbiamo parlato con Shane Whitlatch, un dirigente della società di sicurezza informatica Giusto avvertimento, i cui clienti sono ospedali che sono stati o potrebbero un giorno essere vittime di attacchi alla sicurezza informatica. Secondo le loro informazioni, qualcosa di così innocuo come il ricovero in ospedale quando hai l'influenza potrebbe avere enormi conseguenze sulla tua sicurezza informatica e tu non ne verresti nemmeno a conoscenza.
Tendenze digitali: l’epidemia di influenza di quest’anno è stata particolarmente grave. Che tipo di cose accadono in un ospedale durante un'epidemia di influenza, che può avere un impatto così negativo sulla sicurezza informatica di un ospedale?
Shane Whitlatch: L’epidemia di influenza è solo un’altra crisi. Possono essercene di molti tipi diversi, ma ciò che è importante in una crisi non è necessariamente ciò che accade proprio nel momento in cui si verifica l’evento reale. Ciò che è importante è se [l’ospedale] abbia pianificato o meno molto prima della crisi. Avevi processi, programmi e azioni in atto che ti preparano in modo che quando si verifica una crisi... che si tratti di un’epidemia di influenza, di un attacco terroristico o di un incidente ferroviario, non sei vulnerabile alla sicurezza informatica attacco.
"Ci sono passaggi che posso saltare per poter elaborare l'assistenza ai pazienti più velocemente e dare meno priorità alla sicurezza?"
È una supervisione. Le persone iniziano a saltare i passaggi. Se normalmente controllo 10 pazienti all’ora, ma ora ne riceverò il doppio, devo muovermi più velocemente se voglio vedere questi pazienti. Posso restare connesso? Devo tesserarmi? Ci sono passaggi che posso saltare in modo da elaborare l'assistenza ai pazienti più velocemente e dare meno priorità alla sicurezza?
I criminali cercano opportunità e, durante l’epidemia di influenza, sanno che l’attenzione si concentrerà su quegli eventi. Quindi forse c'è un'opportunità per loro quando i dipendenti lasciano gli accessi connessi ai computer più a lungo perché sono impegnati a visitare più pazienti del normale. Forse significa che condividono le credenziali più frequentemente perché sono concentrati sulla cura dei pazienti. Presenta solo opportunità. Se non formi il tuo personale e non sei preparato, non sarai colpito solo dalla crisi, ma anche dai criminali che cercano di sfruttare queste opportunità.
Esiste un precedente in cui gli ospedali siano stati hackerati o attaccati da criminali informatici? È qualcosa che accade regolarmente?
Se non è ancora successo, probabilmente semplicemente non lo sanno ancora. Quindi la risposta è sì.
https://twitter.com/Merck/status/879716775021170689
Abbiamo un esempio – e questo è di pubblico dominio – dell’Hurley Medical Center di Flint Michigan. Lassù ci sono stati attacchi di hacktivisti che hanno preso di mira le cartelle cliniche associate alla crisi idrica. Penso che la risposta sia “sì”, ma mi piacerebbe lasciare che le terze parti fossero i punti di riferimento per questo.
Nel caso di qualcosa come un hack, di cosa dovrebbero preoccuparsi le persone come pazienti?
Ci sono alcune cose che sono ovvie, altre meno. La cosa più ovvia sono i dati della tua assicurazione. Questo è ciò che ha valore. Non ruberebbero i dati se non fossero preziosi. Possono prendere le informazioni sulla tua assicurazione, modificare il tuo indirizzo postale e venderle a qualcuno che non può ottenere l'assicurazione. Questa è la prima cosa, quindi presta attenzione alle lettere EOB (spiegazione dei vantaggi) che ricevi per posta. Se dice che hai ricevuto delle cure per qualcosa che era coperto e che non hai mai ricevuto, è un problema. Ciò potrebbe massimizzare i tuoi benefici e colpire la tua franchigia e non ti sarai mai nemmeno preso cura. Questi sono quelli ovvi.
Non ruberebbero i dati se non fossero preziosi.
Quelli che non sono così ovvi che abbiamo sentito dai nostri clienti riguardano i casi in cui le persone hanno modificato le informazioni sulle cartelle cliniche rubate. Se utilizzo un documento d'identità rubato e vado in un ospedale locale da qualche parte e diciamo che non sono stato curato lì prima e ho una carta d'identità falsa - per farmi curare per qualcosa come un braccio rotto, o qualcosa di peggio, che è di solito lo è. Ma se il mio gruppo sanguigno è diverso da quello della persona a cui è stato rubato, l’ospedale potrebbe cambiare il tuo gruppo sanguigno nella tua cartella clinica perché presume che la persona non conosca il suo gruppo sanguigno. Potrebbe non avere importanza per te adesso, ma se rimani coinvolto in un incidente d'auto e hai bisogno di una trasfusione di sangue o qualcosa del genere, potrebbero iniettarti il sangue sbagliato. Questa è una conseguenza meno ovvia – e può essere mortale.
In questo momento, ritieni che gli ospedali siano consapevoli di quanto sia importante la sicurezza informatica?
Certamente, ora più di prima. I nostri clienti, ovviamente, ne sono consapevoli e stanno combattendo la buona battaglia. Ciò che è incoraggiante, da quello che sento da loro e dagli stessi dirigenti, è che il consiglio sta diventando più consapevole.
Jose Luis Pelaez Inc/Getty Images
Ciò è in parte dovuto all’istruzione e a violazioni molto pubbliche. La violazione di Anthem è stata importante. Ci sono violazioni molto ampie che stanno facendo notizia e i membri del consiglio se ne accorgono e iniziano a porre domande. Sta diventando sempre più noto al di fuori della sola sicurezza IT, ma la sicurezza IT ne è assolutamente consapevole.
C’è qualcosa che i pazienti possono fare per proteggere le proprie informazioni mediche quando si ricoverano in ospedale o interagiscono in qualche modo con la propria cartella clinica?
Parlerò personalmente: cerco di non condividere il mio numero di previdenza sociale nel miglior modo possibile. Probabilmente è già stato rubato comunque. L’altra cosa che puoi sempre fare è chiedere un resoconto delle divulgazioni, che ti fornisca un registro di tutti coloro che hanno toccato i tuoi dati – e questo fa parte di una legge federale.
L'altra cosa è semplicemente essere vigili su dove vai per cercare assistenza, cosa fai con le tue informazioni e con chi le condividi. Presta attenzione ai moduli che ti fanno firmare. Quando ti chiedono se possono condividere le tue informazioni, non limitarti a firmarle tutte alla cieca. Fai domande a riguardo. Stai attento. E quando lo fai, è un’altra forma di educare il personale ospedaliero sul fatto che le questioni legate alla privacy sono importanti. Non è solo un poster su un muro.
Raccomandazioni degli editori
- Non posso credere che la mia nuova tastiera preferita provenga da una compagnia telefonica
- Perché i nuovi monitor da gioco OLED non riescono ancora a battere i migliori dello scorso anno
- Il motivo sorprendente per cui il tuo potente PC non è ancora in grado di gestire i giochi più recenti
- Ecco come puoi ottenere The Last of Us gratuitamente da AMD
- La versione di Chrome di Nvidia DLSS è pronta per essere lanciata, ma non puoi ancora utilizzarla
Migliora il tuo stile di vitaDigital Trends aiuta i lettori a tenere d'occhio il frenetico mondo della tecnologia con tutte le ultime notizie, divertenti recensioni di prodotti, editoriali approfonditi e anteprime uniche nel loro genere.
