Come ogni grande azienda, un ospedale moderno ha centinaia, persino migliaia, di lavoratori che utilizzano innumerevoli computer, smartphone e altri dispositivi elettronici vulnerabili a violazioni della sicurezza, furti di dati e attacchi ransomware. Ma gli ospedali sono diversi dalle altre società per due importanti aspetti. Mantengono cartelle cliniche, che sono tra i dati più sensibili sulle persone. E molti dispositivi elettronici ospedalieri aiutano a mantenere in vita i pazienti, monitoraggio dei segni vitali, somministrazione di farmaci, e persino respirare e pompare sangue per coloro che si trovano nelle condizioni più terribili.

Una violazione dei dati del 2013 presso il gruppo medico dell'Università di Washington Medicine ha compromesso circa 90, 000 record di pazienti e ha portato a 750 dollari USA, 000 multa dai regolatori federali. Nel 2015, il sistema sanitario dell'UCLA, che comprende numerosi ospedali, ha rivelato che gli aggressori hanno avuto accesso a una parte della sua rete che gestiva informazioni per 4,5 milioni di pazienti. Gli attacchi informatici possono interrompere i dispositivi medici, chiudere i pronto soccorso e annullare gli interventi chirurgici. L'attacco WannaCry, ad esempio, ha interrotto un terzo delle organizzazioni del servizio sanitario nazionale del Regno Unito, con conseguente cancellazione di appuntamenti e operazioni. Questi tipi di problemi sono una minaccia crescente nel settore sanitario.

La protezione delle reti informatiche degli ospedali è fondamentale per preservare la privacy dei pazienti e persino la vita stessa. Tuttavia, ricerche recenti mostrano che il settore sanitario è in ritardo rispetto ad altri settori nella protezione dei propri dati.

Sono uno scienziato di sistema alla MIT Sloan School of Management, interessato a comprendere sistemi socio-tecnici complessi come la sicurezza informatica nell'assistenza sanitaria. Un ex studente, Jessica Kaiser, e ho intervistato funzionari ospedalieri responsabili della sicurezza informatica ed esperti del settore, per identificare come gli ospedali gestiscono i problemi di sicurezza informatica. Abbiamo scoperto che, nonostante la diffusa preoccupazione per la mancanza di fondi per la sicurezza informatica, due fattori sorprendenti determinano più direttamente se un ospedale è ben protetto contro un attacco informatico:il numero e la gamma varia di dispositivi elettronici in uso e il modo in cui i ruoli dei dipendenti si allineano con gli sforzi di sicurezza informatica.

Una vasta gamma di dispositivi

Una delle principali sfide nella sicurezza informatica degli ospedali è l'enorme numero di dispositivi con accesso alla rete di una struttura. Come per molte aziende, questi includono telefoni cellulari, compresse, computer desktop e server. Ma hanno anche un gran numero di pazienti e visitatori che arrivano con i propri dispositivi, anche, compresi i dispositivi medici in rete per monitorare la loro salute e comunicare con il personale medico. Ciascuno di questi elementi è un potenziale punto di partenza per l'iniezione di malware nella rete ospedaliera.

I funzionari ospedalieri potrebbero utilizzare il software per garantire che solo i dispositivi autorizzati possano connettersi. Ma anche allora, i loro sistemi rimarrebbero vulnerabili agli aggiornamenti software e ai nuovi dispositivi. Un'altra debolezza chiave deriva dalle apparecchiature mediche offerte come campioni gratuiti dai produttori di dispositivi che operano in un mercato competitivo. Spesso non vengono testati per la sicurezza adeguata prima di essere collegati alla rete ospedaliera. Uno dei nostri intervistati ha menzionato:"Negli ospedali ... c'è un intero processo di approvvigionamento sotterraneo in cui i fornitori di dispositivi medici si avvicinano ai medici e danno loro un sacco di cose gratuitamente che alla fine si fanno strada nei nostri piani, e poi, un anno dopo, riceviamo un conto".

Quando le nuove tecnologie aggirano i normali processi di acquisto e valutazione del rischio, non sono controllati per le vulnerabilità, quindi introducono ancora più opportunità di attacco. Certo, gli amministratori degli ospedali dovrebbero bilanciare queste preoccupazioni con i miglioramenti nella cura del paziente che i nuovi sistemi possono portare. La nostra ricerca suggerisce che gli ospedali hanno bisogno di processi e procedure più forti per la gestione di tutti questi dispositivi.

Acquisto del personale

Far capire agli amministratori degli ospedali l'importanza della sicurezza informatica è abbastanza semplice:ci hanno detto che sono preoccupati per i costi, reputazione istituzionale e sanzioni regolamentari. Ottenere il personale medico a bordo può essere molto più difficile:hanno detto che sono concentrati sulla cura del paziente e non hanno tempo per preoccuparsi della sicurezza informatica.

Le persone in genere considerano le protezioni di sicurezza informatica come secondarie rispetto a ciò che stanno cercando di fare. Una persona che abbiamo intervistato ha descritto il motivo per cui alcuni membri del personale hanno commesso il peccato capitale per la sicurezza informatica di condividere una password:"Per utilizzare un ecografo [è necessaria una password, che] deve cambiare ogni 90 giorni. [Il personale] vuole solo usare la macchina ad ultrasuoni. Non contiene molti dati dei pazienti... quindi creano un accesso condiviso in modo da poter fornire assistenza ai pazienti".

Le esigenze possono variare ampiamente in un ospedale, in modi che possono essere sorprendenti, come l'accesso a siti che potrebbero contenere software dannoso. Un responsabile delle informazioni in un ospedale di ricerca ci ha detto, "Personalmente credo che la pornografia hardcore non abbia alcuno scopo sui dispositivi supportati dagli ospedali. Cosa ho fatto cinque anni fa? Ho installato filtri per i contenuti Internet che hanno impedito alle persone di accedere alla pornografia. Entro cinque minuti, il direttore di psichiatria mi chiama per dirmi che abbiamo una borsa di studio per studiare la pornografia in un contesto medico [quindi abbiamo dovuto modificare i nostri filtri]."

Queste esperienze sono il motivo per cui abbiamo concluso che i limiti di budget non sono cruciali per la sicurezza informatica degli ospedali quanto il coinvolgimento dei dipendenti. Un ospedale può acquistare tutti i componenti hardware e software che desidera. Se i lavoratori non seguono le procedure organizzative, la tecnologia non manterrà gli ospedali al sicuro. La nostra ricerca suggerisce che la sicurezza informatica riguarda tanto la gestione delle persone quanto la tecnologia.

La conformità non è sicurezza

La minaccia è a livello nazionale, e diventa sempre più difficile difendersi, come ci ha detto un responsabile della sicurezza delle informazioni:"La natura degli attacchi è sempre più sofisticata. Una volta la mia più grande minaccia erano... gli studenti. Oggi, sono attacchi sponsorizzati dallo stato, terrorismo e criminalità organizzata. Sono più minacce che mai di natura più seria".

Sfortunatamente, molti amministratori ospedalieri sembrano ritenere che la protezione dei dati sia semplice quanto il rispetto delle normative statali e federali. Ma quelli sono standard minimi che non affrontano adeguatamente la minaccia. Come ha detto uno dei nostri intervistati, "La conformità è un livello basso. Garantisco che le piccole organizzazioni sanitarie e gli ospedali non farebbero nulla (senza regolamentazione). Avrebbero un pezzo di carta su uno scaffale chiamato la loro politica di sicurezza. È necessaria come sostegno per convincere le aziende almeno a pensare al riguardo. Ma essere conformi non risolve il problema più grande della gestione del rischio."

La nostra ricerca mostra che gli ospedali devono pensare oltre la conformità. Anche, con così pochi ospedali ben difesi dagli attacchi informatici, tutti gli ospedali appaiono più attraenti come potenziali bersagli. A nostro avviso, non è sufficiente che gli ospedali migliorino le proprie difese, né che i regolatori elevino gli standard. dovrebbero gestire, e valutare la sicurezza di, i dispositivi sulle loro reti e assicurarsi che il personale medico capisca come una buona igiene informatica possa supportare una buona cura del paziente. Ulteriore, politici, i leader sanitari e gli ospedali stessi dovrebbero collaborare per rendere il settore nel suo insieme meno suscettibile agli attacchi che minacciano la privacy delle persone e la loro stessa vita.

Questo articolo è stato originariamente pubblicato su The Conversation. Leggi l'articolo originale.