Dalla poltrona al cyberspazio: sopravvivere ai disastri - perché i dentisti hanno bisogno di qualcosa di più del tradizionale backup

Vulnerabilità digitali dello studio dentistico
Nella seconda parte di questa serie, abbiamo parlato delle minacce informatiche più comuni che colpiscono gli studi dentistici. Immaginate di arrivare in ufficio il lunedì mattina e di trovare tutte le cartelle cliniche bloccate, l’agenda inaccessibile e i sistemi di imaging fuori uso. Questo è il ransomware, il tipo di attacco informatico più comunemente utilizzato oggi contro le organizzazioni di tutte le dimensioni. I pazienti non possono essere visitati. Non è possibile effettuare la fatturazione. I pazienti iniziano ad arrivare, ma voi non avete risposte. Tutto si blocca e c’è il rischio di perdere tutti i dati.

Ogni studio dentistico deve affrontare gravi rischi come incendi, furti, inondazioni, guasti ai server o attacchi ransomware. Molti team pensano che i propri dati siano al sicuro perché dispongono di un backup, ma la maggior parte dei backup tradizionali non è sufficiente. Prendiamo il caso reale di un dentista generico che una mattina si è trovato di fronte a un messaggio agghiacciante sul suo schermo: “I suoi file sono stati criptati. Paghi 50.000 dollari in Bitcoin o perderà tutto”.

Pensava di avere un buon backup. Tuttavia, quando il suo team IT ha provato a ripristinare il backup, sono risultati mancanti mesi di dati. Il backup non era mai stato testato. Ha pagato il riscatto, ma non è riuscito a recuperare tutti i dati. I dati critici di imaging, le note di trattamento e le cartelle cliniche dei pazienti sono andati persi per sempre. Il suo studio non disponeva di un sistema di failover, pertanto è rimasto offline per giorni, perdendo migliaia di dollari di fatturato e danneggiando la fiducia dei pazienti.

Questo caso non è isolato. Questo caso evidenzia l’urgente necessità di piani di continuità operativa completi, che includano non solo il backup, ma anche altre misure, per garantire che gli studi dentistici possano riprendersi rapidamente e completamente da qualsiasi tipo di disastro.

Cosa è andato storto?

• Lo studio non disponeva di un piano di ripristino efficace.
• Lo studio non disponeva di una tecnologia di failover.
• Lo studio non aveva mai testato i propri backup.

Lo sapevate? Un backup non è un piano di continuità aziendale. Gli studi odontoiatrici di oggi dipendono molto di più dalla connettività rispetto a 20 anni fa. Oggi molti studi sono altamente digitalizzati e utilizzano la diagnostica digitale, le cartelle cliniche digitali, l’automazione, l’intelligenza artificiale e molto altro. Ciò significa che gli studi dentistici non possono permettersi tempi di inattività, figuriamoci giorni, e non possono certo permettersi di perdere dati.

La maggior parte degli studi dentistici dispone di una qualche forma di backup. Spesso si tratta di un servizio cloud che viene eseguito ogni notte e/o di un’unità esterna che il team ruota una volta alla settimana. Tuttavia, questi metodi non sono in grado di proteggere lo studio dai tempi di inattività, dalla perdita di dati o dallo stress causato da un guasto del sistema.

Come nel caso appena descritto, i rischi di oggi sono molto più complessi. I tipi di disastri più comuni che gli studi dentistici devono affrontare sono:

• attacchi informatici, come ransomware, phishing e hacking;
• guasti hardware, come la morte dei server e la rottura degli hard disk;
• disastri naturali, come incendi, inondazioni, terremoti e interruzioni di corrente;
• furti o atti vandalici, come il furto di computer o danni dolosi;
• errori umani, come la cancellazione accidentale di file o configurazioni errate;
• corruzione del software, come ad esempio aggiornamenti errati che danneggiano il sistema.

Non importa quanto siate attenti, qualcosa accadrà. La domanda è: quanto velocemente si può recuperare? Ogni incidente di questo tipo può bloccare uno studio e, senza un piano adeguato, il recupero potrebbe richiedere giorni o settimane.

La maggior parte dei dentisti non si rende conto che il backup è solo una parte di ciò di cui hanno bisogno. Senza un piano di continuità aziendale completo, i pazienti, i ricavi e la reputazione sono ancora a rischio. Purtroppo, non si tratta di una possibilità remota. Succede agli studi dentistici ogni settimana in tutto il Nord America. Un backup fallito, un attacco ransomware o il crash di un server possono bloccare lo studio per giorni, settimane o addirittura per sempre, se non si è adeguatamente preparati. Secondo la National Cybersecurity Alliance, un’organizzazione no profit statunitense, il 60% delle piccole imprese che subisce un grave attacco informatico chiude entro sei mesi¹.

Ecco perché è importante capirlo: ogni studio dentistico ha bisogno non solo di un backup, ma di una soluzione completa che includa backup, disaster recovery e continuità operativa, progettata appositamente per la velocità e la complessità dell’odontoiatria moderna e per le esigenze uniche di ogni singolo studio (Tabella 1). Il backup salva i dati. Il disaster recovery, invece, ripristina i sistemi. La continuità operativa vi permette di continuare a curare i pazienti. È necessario che tutte e tre le soluzioni lavorino insieme, non solo una.

TERMINE	SIGNIFICATO	ESEMPIO
Backup	Una copia dei dati conservata in un luogo sicuro	Salvataggio delle cartelle cliniche dei pazienti su un server sicuro
Disaster recovery	Un piano e un sistema per ripristinare tutto dopo un incidente grave	Ripristino dei sistemi dopo un attacco ransomware
Business continuity	Mantenere l’attività in funzione durante e dopo un disastro	Continuare a vedere i pazienti anche se il server principale è fuori uso

Domande che ogni dentista deve porsi in merito al backup e al ripristino
Prima che si verifichi un disastro, sedetevi con il vostro provider IT (o con un professionista della sicurezza informatica) per ottenere risposte chiare a queste domande cruciali:

1. È stato eseguito il backup di tutti i miei dati? I dati da sottoporre a backup includono i dati di gestione dello studio, i dati di imaging, i dati contabili, i file del desktop, i dati del laptop e gli archivi di posta elettronica.
2. Con quale frequenza viene eseguito il backup? I backup dovrebbero essere eseguiti ogni ora o con maggiore frequenza, non solo di notte.
3. In quanto tempo il mio studio può riprendersi dallo scenario peggiore? Se ci vogliono giorni, la vostra attività e i vostri pazienti sono a serio rischio.
4. I miei backup vengono testati regolarmente? Backup non testati significano backup inaffidabili.
5. I miei backup sono protetti dal ransomware? In caso contrario, gli aggressori potrebbero trovare e criptare o cancellare anche i backup.
6. I miei backup sono crittografati? I dati devono essere crittografati sia a riposo che in transito per garantire la riservatezza.
7. Lo studio può continuare a ricevere i pazienti anche in caso di guasto del server? Questa è la differenza tra sopravvivere e chiudere i battenti.

Perché i backup tradizionali spesso falliscono negli studi dentistici
Troppi dentisti, infatti, si affidano ancora a metodi di backup obsoleti come le unità esterne o il cloud storage, senza alcun piano di ripristino. Ecco perché i backup tradizionali oggi falliscono:

• Non eseguono il backup di tutto; Spesso non vengono eseguiti i backup dei computer desktop, dei portatili e dei dispositivi di imaging.
• Non vengono eseguiti con la giusta frequenza. Un backup notturno può comportare la perdita di dati per 12 ore o più.
• Non vengono testati. Si presume che funzionino fino a quando non si verifica un problema.
• Possono anche essere attaccati. Spesso il ransomware corrompe prima i backup.
• Ci vogliono giorni per ripristinarli. Aspettare un nuovo server, reinstallare il software e ripristinare i dati non è un processo veloce.
• In conclusione, i backup della vecchia scuola proteggono i vostri file, ma non la vostra azienda.

Soluzione: gli studi dentistici moderni hanno bisogno della virtualizzazione istantanea
La virtualizzazione istantanea consiste nell’avviare una versione live del server da un dispositivo di backup. La virtualizzazione istantanea è oggi lo standard d’oro per la protezione dei dati dello studio dentistico. In parole povere, se il server si guasta o viene danneggiato da un attacco informatico o da qualsiasi altro disastro, è possibile avviare una copia funzionante quasi immediatamente dal dispositivo di backup o dal cloud. Ciò significa niente reinstallazione, niente giorni di attesa per l’IT e tempi di inattività minimi. È come avere una ruota di scorta per l’intero studio dentistico, pronta all’uso quando serve. Le aziende che utilizzano la virtualizzazione istantanea si riprendono fino al 90% più velocemente rispetto a quelle che utilizzano i backup tradizionali².

I vantaggi della virtualizzazione istantanea sono:

• accesso alle cartelle cliniche dei pazienti in pochi minuti e non in giorni;
• protezione ransomware integrata con snapshot sicuri;
• test automatico dei backup per avere la certezza che il ripristino funzioni;
• backup ibrido che combina opzioni locali (veloci) e cloud (sicure).

Comprendere RPO e RTO
L’obiettivo del punto di recupero (RPO) e l’obiettivo del tempo di recupero (RTO) sono i due numeri che potrebbero salvare il vostro studio (Tabella 2). Quando progettano i loro piani di backup, i dentisti devono comprendere due semplici concetti:

• un RPO elevato comporta la perdita di dati importanti, il che è negativo per la cura dei pazienti e il rispetto delle normative; Puntate a un RPO inferiore a un’ora.
• un RTO lungo significa tempi di inattività lunghi e, di conseguenza, perdita di fatturato e pazienti insoddisfatti. Ove possibile, puntate a un RTO inferiore a 2 ore.

Concetto	SIGNIFICATO	ESEMPIO
Obiettivo del punto di recupero	Quanti dati si è disposti a perdere (in ore)	Se si esegue il backup ogni ora, l’RPO è pari a 1 ora di potenziale perdita di dati
Obiettivo del tempo di recupero	Quanto tempo dovrebbe essere necessario per il ripristino completo	Se l’RTO è pari a 2 ore, lo studio deve tornare online in 2 ore dopo un incidente

Riflessioni e suggerimenti finali: la resilienza è una strategia, non un software
È ora di andare oltre il backup. Se la soluzione attuale non protegge l’intero sistema, non consente un ripristino rapido e non permette di continuare le operazioni, non è sufficiente. Smettetela di accettare soluzioni "taglia unica" progettate per il modello di business di qualcun altro. Il vostro studio merita un piano costruito su misura per le vostre esigenze, con il contributo di professionisti che conoscono bene il settore odontoiatrico. Chiedetevi: se domani si verificasse un disastro, riuscireste a ricevere i pazienti lo stesso giorno?

Punti ciechi critici da correggere immediatamente

• Non eseguire il backup di tutti i dati, in particolare dei file di imaging e del desktop;
• assenza di un programma per testare i backup: se non vengono testati, non sono sicuri;
• assenza di backup resistenti al ransomware: i criminali possono colpire anche il backup;
• unità di backup non crittografate, a rischio in caso di furto;
• assenza di un piano per il failover di Internet o dell’alimentazione: un’interruzione di corrente può essere letale quanto un ransomware.

Determinate i vostri RPO e RTO e studiate soluzioni di virtualizzazione istantanea per:

• un rapido ritorno alle operazioni;
• protezione contro il ransomware;
• un impatto finanziario minimo;
• impatto normativo minimo.

Testate i vostri backup come se si trattasse di un’esercitazione antincendio:

• effettuate i test dei backup almeno trimestralmente;
• i test verificano l’RPO e l’RTO;
• obbligate la verifica automatica dei backup, ove possibile.

 

Bibliografia

1. National Cyber Security Alliance. (2022). Small Business Cybersecurity Statistics. https://staysafeonline.org
2. Datto, Inc. (2023). State of Ransomware Report. https://www.datto. com/resources/state-of-ransomware-report-2023.

Tag: