Dalla poltrona al cyberspazio: comprendere e rispondere alle minacce informatiche in odontoiatria

Nella prima parte di questa serie di articoli, suddivisi in 4 step, abbiamo analizzato le ragioni per cui la sicurezza informatica è diventata un elemento critico per gli studi dentistici¹. Il risultato è stato chiaro: sebbene la posta in gioco sia alta, con un piano chiaro e alcune misure proattive basate sugli strumenti e sulle conoscenze giuste, questi rischi possono essere gestiti in modo efficace. Questo articolo si concentra sulle minacce informatiche più comuni che gli studi dentistici devono affrontare oggi, comprese le tattiche emergenti di ransomware che colpiscono sia gli studi che i pazienti. Inoltre, illustreremo le misure pratiche che potete adottare per rafforzare le vostre difese. Il nostro obiettivo è fornirvi le conoscenze e la sicurezza necessarie per proteggere il vostro studio e i vostri pazienti nell'attuale panorama digitale.

Le minacce informatiche più comuni per gli studi dentistici

Tra queste, le minacce informatiche più comuni includono attacchi ransomware, truffe di phishing, violazioni di dati e minacce interne. Gli studi dentistici sono presi di mira perché possiedono dati preziosi e sono considerati vulnerabili. Le cartelle cliniche dei pazienti contengono informazioni sensibili che sono molto richieste sul mercato nero di Internet, il cosiddetto dark web. Spesso, gli studi dentistici non dispongono di adeguate misure di sicurezza informatica, il che li rende bersagli appetibili per i criminali informatici. Inoltre, la consapevolezza informatica tende a essere scarsa tra i membri del personale, perché i titolari degli studi dentistici spesso ritengono di non avere il tempo di implementare politiche e programmi di formazione adeguati.

Attacchi ransomware

Il ransomware è un software dannoso progettato per bloccare l'accesso a un sistema informatico o ai dati fino al pagamento di una somma di denaro. Utilizza la crittografia per alterare i dati e renderli illeggibili, a meno che non si disponga di una chiave di crittografia (una parola d'ordine lunga e complessa). La crittografia è stata concepita per proteggere i dati, ma i criminali informatici hanno scoperto che sfruttarla per paralizzare le operazioni delle organizzazioni è un modo semplice per estorcere denaro. Nel settore odontoiatrico, tali attacchi possono avere conseguenze particolarmente devastanti, causando interruzioni operative e perdite finanziarie significative.

Uno studio dentistico ha subito un grave attacco ransomware dopo che un membro del personale ha cliccato su un'email di phishing con un allegato intitolato “risultati di una radiografia” che sembrava provenire da un paziente². Questa azione ha crittografato tutti i file dei pazienti, bloccando lo studio per diversi giorni. Non avendo un sistema di backup affidabile, lo studio è stato costretto a pagare un riscatto consistente per riottenere l'accesso ai dati.

Gli attacchi ransomware si sono evoluti in schemi di doppia estorsione, in cui gli aggressori non solo criptano i dati di uno studio medico, ma rubano anche le informazioni sui pazienti. Gli hacker chiedono quindi due pagamenti: uno per decriptare i file e l'altro per evitare la pubblicazione dei dati sensibili sul dark web. La loro attività criminale si è ora estesa anche all'estorsione diretta dei pazienti. Nel novembre 2023, il Fred Hutchinson Cancer Center di Seattle, negli Stati Uniti, è stato vittima di un attacco informatico da parte del gruppo di ransomware Hunters International, che ha portato all'accesso non autorizzato alla sua rete clinica³. Gli aggressori hanno dichiarato di aver rubato 533,1 GB di dati, tra cui informazioni sensibili sui pazienti come nomi, numeri di previdenza sociale statunitensi, storie mediche, risultati di laboratorio e dettagli assicurativi. Dopo la violazione, i pazienti hanno iniziato a ricevere email di estorsione personalizzate che richiedevano 50 dollari in Bitcoin per impedire la vendita dei loro dati sui mercati del dark web. Queste e-mail includevano dettagli personali per confermare la minaccia.

Questo incidente evidenzia la tendenza crescente dei criminali informatici a prendere di mira direttamente le persone quando le organizzazioni si rifiutano di pagare il riscatto, sottolineando la necessità urgente di rafforzare le misure di sicurezza informatica nelle istituzioni sanitarie. Il fatto di prendere di mira direttamente i pazienti comporta un nuovo livello di rischio per la reputazione e per il settore legale degli studi dentistici. Non è più solo lo studio a essere vulnerabile: ora anche i pazienti sono a rischio di estorsione, e questo può danneggiare gravemente la fiducia.

Truffe di phishing
Il phishing è uno dei metodi più efficaci con cui gli aggressori si infiltrano nelle reti odontoiatriche. Queste truffe spesso consistono in email o altri messaggi che sembrano legittimi, ma contengono link o allegati dannosi. Con l'avvento dell'intelligenza artificiale, le campagne di phishing sono diventate sempre più sofisticate, sfruttando i contenuti generati dall'intelligenza artificiale per creare email quasi indistinguibili dalle comunicazioni autentiche. I criminali informatici utilizzano strumenti di intelligenza artificiale per creare messaggi di phishing che sembrano autentici, imitando il linguaggio ufficiale, il marchio e persino il tono. Questi attacchi basati sull'intelligenza artificiale rendono più difficile per il personale odontoiatrico individuare le frodi. In uno studio sulle prestazioni delle email di phishing, il 60% dei partecipanti ha ricevuto email di phishing generate dall'IA e una ricerca degli stessi autori ha rilevato che l'automazione del phishing da parte dell'IA consente ai criminali informatici di ottenere un aumento del 95% dell'efficienza^{4, 5}. Anche un white paper del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti sulla minaccia del phishing potenziato dall'IA per il settore sanitario ha sottolineato che l'IA ha reso più efficaci i tentativi di phishing e ha riferito che gli attacchi ransomware e le violazioni dei dati spesso iniziano con un attacco di phishing riuscito⁶. È facile capire, quindi, perché la formazione di tutti i membri del team che utilizzano la posta elettronica in uno studio dentistico deve essere migliorata.

I criminali informatici sfruttano l'intelligenza artificiale per automatizzare gli attacchi, ampliare le minacce informatiche e sfruttare più rapidamente le lacune. L'intelligenza artificiale permette ai pirati informatici di lanciare campagne di phishing su larga scala, personalizzando i messaggi in base alle informazioni raccolte dai social media e da altre fonti online. Le minacce informatiche potenziate dall'intelligenza artificiale possono adattarsi in tempo reale, rendendo più difficile la loro rilevazione e neutralizzazione. Gli strumenti di intelligenza artificiale possono scansionare le reti e identificare le vulnerabilità in modo più efficiente rispetto ai metodi tradizionali.

Violazioni dei dati
Le violazioni dei dati possono verificarsi a causa di vulnerabilità nel software, password deboli o anche azioni accidentali di insider, come l'apertura di email di phishing o la consegna accidentale delle credenziali di accesso attraverso vari mezzi. Queste violazioni espongono informazioni sensibili dei pazienti, con potenziali danni finanziari e di reputazione per gli studi dentistici.

Nel dicembre 2023, l'Hapy Bear Surgery Center, un centro di chirurgia dentale pediatrica di Tulare, in California, negli Stati Uniti, ha subito una violazione dei dati⁷. Le informazioni sensibili dei pazienti, tra cui nomi, numeri di previdenza sociale, informazioni sull'assicurazione sanitaria e cartelle cliniche, sono state compromesse. Il centro ha accettato di aderire a un'azione legale collettiva, offrendo alle persone colpite un risarcimento fino a 8.050 dollari e due anni di servizi di monitoraggio del credito. Managed Care of North America Dental, un importante assicuratore dentale, ha subito un attacco informatico tra il 26 febbraio e il 7 marzo 2023⁸.

Il gruppo di ransomware LockBit ha sottratto circa 700 GB di dati, interessando quasi nove milioni di pazienti. Tra le informazioni compromesse vi erano nomi, numeri della previdenza sociale, dati relativi alle assicurazioni sanitarie e registri dentistici. L'azienda si è rifiutata di pagare il riscatto di 10 milioni di dollari e i criminali informatici hanno diffuso i dati rubati online all'inizio di aprile. Oltre ai problemi di conformità, le violazioni dei dati erodono la fiducia dei pazienti e possono avere conseguenze legali e finanziarie rilevanti. Spesso i criminali informatici usano i dati rubati per il furto d'identità o li vendono sul dark web. A differenza delle carte di credito, le informazioni sanitarie non possono essere semplicemente cancellate e sostituite in caso di violazione. Le storie sanitarie, ad esempio, contengono spesso alcune delle informazioni più sensibili e imbarazzanti di un individuo, come farmaci, trattamenti e diagnosi.

Minacce interne
Le minacce interne, siano esse intenzionali o accidentali, rappresentano un rischio significativo. Alcuni esempi sono:

• i dipendenti possono esporre inconsapevolmente la rete a malware cadendo vittime di attacchi di phishing;
• i sistemi e i software possono essere configurati in modo improprio, consentendo ai membri del personale di accedere a informazioni che non dovrebbero avere;
• i membri del team possono navigare sul web o accedere alla posta elettronica personale attraverso i sistemi dello studio, esponendo la rete a rischi;
• la mancanza di formazione sulle truffe telefoniche o di altro tipo più comuni può mettere a rischio lo studio;
• un membro del team può agire in modo nefasto cercando di copiare o rubare dati o manipolare i sistemi per coprire le proprie tracce in caso di frode interna.

Alcuni semplici passaggi per rafforzare la cybersecurity negli studi dentistici

Come spiegato in questa serie di articoli, è fondamentale creare un budget per la gestione della cybersecurity. Spesso i fornitori di assistenza informatica di uno studio non hanno le competenze, le certificazioni e l'esperienza necessarie per monitorare e mantenere i numerosi aspetti della conformità e delle migliori prassi in materia di cybersecurity. È invece necessario collaborare con esperti del settore che conoscano la cybersecurity dentale per implementare difese su misura. La cybersecurity è una specialità che richiede molti anni di formazione, un processo di certificazione professionale e un'esperienza consolidata.

Per scegliere il fornitore più adatto al proprio studio, è importante considerare i seguenti aspetti:

• specializzazione negli studi dentistici: accertatevi che il fornitore comprenda la tecnologia utilizzata in odontoiatria, i requisiti di conformità pertinenti al paese in cui opera e i flussi di lavoro in questo ambito;
• certificazioni e competenze: cercate un fornitore che possieda credenziali come Certified Information Systems Security Professional (CISSP), Certified Information Security Manager (CISM) e Certified Information Privacy Professional (CIPP). Fondamentale è anche l'esperienza nella gestione della sicurezza degli studi dentistici;
• gestione proattiva delle minacce: verificare la capacità del fornitore di fornire un monitoraggio continuo, una risposta agli incidenti e soluzioni come l'end-point detection and response, che monitora dispositivi come computer, server e sistemi di imaging digitale per rilevare minacce;
• protezione dei dati e conformità: verificare che il fornitore offra una solida crittografia, backup sicuri dei dati e strumenti per garantire la privacy dei pazienti e la conformità alle normative legali;
• formazione e assistenza: scegliete un fornitore che offra una formazione continua sulla cybersecurity per il personale e un'assistenza tecnica reattiva per risolvere rapidamente i problemi.

Una volta trovato il professionista della sicurezza informatica certificato più adatto al vostro studio, ecco le principali strategie su cui dovreste lavorare insieme:

1. Sviluppare un programma completo di sicurezza informatica
Un solido programma di sicurezza informatica è essenziale per proteggere i dati dei pazienti e prevenire le minacce informatiche. Per raggiungere questo obiettivo, è necessario:

• formalizzare un programma di sicurezza informatica che includa politiche di sicurezza chiare che definiscano le modalità di accesso, condivisione e archiviazione dei dati, nonché revisioni periodiche della sicurezza;
• affidare a un professionista certificato della cybersecurity una valutazione professionale completa del rischio di sicurezza;
• fornire una formazione continua sulla cybersecurity a tutto il personale, concentrandosi su come riconoscere le truffe di phishing e rispondere alle potenziali minacce.

2. Rafforzare la gestione delle password e l'autenticazione multifattoriale
La sicurezza delle password è un elemento fondamentale per prevenire gli accessi non autorizzati. Per migliorare la sicurezza, è necessario:

• assicurarsi che tutte le password siano univoche, complesse e quindi forti.
• Inoltre, è necessario richiedere due o più fasi di verifica per l'accesso ai sistemi sensibili, ovvero l'autenticazione a più fattori.

3. Implementare le misure di sicurezza della rete
La protezione dell'infrastruttura di rete aiuta a prevenire gli attacchi informatici. Per proteggere i vostri sistemi, dovreste:

• mantenere tutti i software e gli hardware aggiornati con le ultime patch di sicurezza;
• installare robusti strumenti software firewall e antivirus per impedire l'accesso non autorizzato e rilevare le minacce.
• criptare tutti i dispositivi e i dati per garantire la protezione delle informazioni.

4. Eseguire backup regolari dei dati
I backup regolari dei dati sono essenziali per il ripristino d'emergenza e per garantire la continuità operativa dell'azienda. Per salvaguardare i dati critici, è necessario:

• programmare backup automatici di tutti i dati critici;
• archiviare i backup in modo sicuro, preferibilmente in un cloud storage crittografato
• testare i backup per garantire che i dati possano essere ripristinati rapidamente in caso di emergenza.

5. Come abbiamo appreso nella prima parte, un'alta percentuale di violazioni di successo inizia con un errore umano
I dipendenti sono spesso la prima linea di difesa. Formate regolarmente il vostro team su:

• riconoscere le email di phishing, comprese quelle generate dall'intelligenza artificiale;
• verificare le richieste di informazioni sensibili contattando direttamente il mittente;
• segnalare immediatamente le attività sospette.

6. Valutare le pratiche di sicurezza dei fornitori
Gli studi dentistici si affidano molto a fornitori terzi per il software di gestione dello studio, i sistemi di imaging CAD e CAM e altri strumenti integrati:

• verificare la conformità agli standard di sicurezza pertinenti;
• chiedere informazioni sulle loro pratiche di crittografia e sulle misure di protezione dei dati;
• esaminare i loro protocolli di risposta agli incidenti per capire come gestiranno una violazione dei dati.

Costruire una cultura della sicurezza informatica

Una cybersecurity efficace non richiede solo strumenti, ma anche una cultura basata sulla consapevolezza e la vigilanza. Promuovete un ambiente in cui i dipendenti si sentano a proprio agio nel discutere dei potenziali rischi e nel segnalare attività sospette. Rivedete regolarmente le vostre politiche di cybersecurity e adattatele alle minacce emergenti, come gli attacchi potenziati dall'intelligenza artificiale e il ransomware a doppia estorsione. Organizzate una formazione annuale di sensibilizzazione alla sicurezza, preferibilmente studiata appositamente per il settore odontoiatrico. Stampate poster con slogan di sensibilizzazione alla sicurezza da affiggere in luoghi ben visibili per tenere sempre in primo piano le strategie di sicurezza.

Andare avanti: proteggere lo studio e i pazienti

Le minacce alla sicurezza informatica sono sempre più frequenti e sofisticate, ma gli studi dentistici possono proteggersi adottando misure proattive. Iniziate con la comprensione dei rischi, l'implementazione di difese pratiche e la promozione di una cultura della sicurezza informatica all'interno della vostra struttura. Combattere il ransomware e prepararsi a contrastare le campagne di phishing guidate dall'intelligenza artificiale è fondamentale per salvaguardare il vostro studio, i vostri pazienti e la vostra reputazione. La sicurezza informatica è una responsabilità condivisa e ogni sforzo è importante. Agendo oggi, gli studi dentistici possono rafforzare le loro difese e affrontare con fiducia le sfide di domani.

Nella terza parte di questa serie di articoli, parleremo di come garantire la protezione e il recupero dei dati in caso di disastri di ogni tipo. Parleremo anche delle nuove tecnologie che offrono funzionalità di server failover a costi contenuti, garantendo l'accesso ininterrotto alle cartelle cliniche e ai sistemi di gestione dello studio in caso di guasto del server.

Tags: