I dati che lasciano le cartelle cliniche dei pazienti diventano meno protetti, sono vulnerabili e quindi più soggette ad attacchi hacker. E’ questa l’estremo sintesi di un nuovo rapporto sulle applicazioni per la salute, a terzi.
Le cartelle cliniche elettroniche, ospitate nei centri sanitari e soggette alla legge federale sulla privacy HIPAA, sono ben protette, nonostante di sicuro quando ci sono i cyber criminali in giro non c’è nulla. Il problema, però, nasce nel momento in cui il paziente dà l’ok sul rilascio dei propri dati, acconsentendo così ad applicazioni di terze parti, come ad esempio i programmi che tracciano i farmaci delle persone. E’ lì che si perde la sicurezza, lì il momento in cui gli hacker possono più facilmente attaccare, andando a segno.
Gli ospedali e i sistemi sanitari sono un obiettivo sensibile per i cyber-criminali, come confermato dall’aumento degli attacchi al settore, nell’ultimo periodo. Le informazioni sono molto preziose, ogni record trafugati potrebbe tradursi in centinaia di dollari sul dark web, molto di più dei numeri delle carte di credito, che possono essere facilmente modificabili rispetto a un oggettiva quasi acclamata dei dati di un paziente, non facilmente manomettibili.
Come alzare l’asticella. “Ci deve essere un meccanismo di supervisione separato per la protezione dei dati dei pazienti”
L’allarme, dunque, è lanciato. Direttamente dalla società di sicurezza delle app Approov. L’analista di sicurezza informatica Alissa Knight ha, infatti, verificato e comprovato la presenza di vulnerabilità nelle app create utilizzando lo standard Fast Healthcare Interoperability Resources (FHIR), creato per incoraggiare lo scambio di informazioni nel settore sanitario.
Knight ha iniziato il suo lavoro dal controllo delle app costruite all’interno delle stesse cartelle cliniche elettroniche: lì nessun punto debole, o gravemente preoccupante. Il problema è sorto nel momento in cui ha testato programmi di terze parti che si collegano alle cartelle cliniche per estrarre i dati: lì i grossi problemi.
La dottoressa Knight, infatti, è stata in grado di accedere a oltre 4 milioni di record di pazienti e medici da oltre 25.000 fornitori, sfruttando proprio quelle vulnerabilità. “Non ha avuto nemmeno bisogno di utilizzare l’hacking avanzato della sicurezza informatica – rivela John Moehrke, esperto di interoperabilità e membro del gruppo di gestione FHIR. “Ha usato alcuni concetti di base – spiega – che anche un principiante al primo anno di sicurezza informatica avrebbe saputo fare”.
LEGGI ANCHE >>> Volete assumere un Hacker? Una ricerca vi dice quanto vi costerebbe
“Ci deve essere più cura e sicurezza in queste app”. Alissa Knight è categorica nel report: una volta che i dati lasciano una cartella clinica ed entrano in un’applicazione di terze parti, non sono coperti da HIPAA, quindi non sono soggetti agli standard HIPAA sulla protezione dei dati o su come le persone dovrebbero essere informate in caso di accesso ai loro dati.
LEGGI ANCHE >>> Instagram, c’è un dato che preoccupa sempre di più la piattaforma
La Federal Trade Commission ha recentemente chiarito che le app di terze parti devono informare gli utenti delle violazioni dei dati, ma la commissione non può aggiungere ulteriori normative sulla privacy o sulla sicurezza per tali app. Ma qualcosa bisogna fare: “Ci deve essere un meccanismo di supervisione separato per la protezione dei dati dei pazienti, e delle app che utilizzano”.