Un clic sbagliato su un'email di phishing e migliaia di dati vengono criptati. Gli ospedali sono una clientela redditizia per i criminali, ma anche per le case del sistema. Questi ultimi possono posizionarsi come esperti di sicurezza con una certificazione Eset.
Dati di pazienti criptati, false immagini di risonanza magnetica e comportamenti incauti degli utenti: Ospedali, cliniche e studi medici stanno investendo più soldi che mai in moderne soluzioni IT e di sicurezza a causa dell'attuale situazione di minaccia. Perché per i criminali informatici, l'assistenza sanitaria è un obiettivo interessante con dati particolarmente sensibili, come spiega Maik Wetzel, Strategic Business Development Director DACH di Eset.
Wetzel riferisce di un caso in cui un aggressore è riuscito ad accedere ai dati dei pazienti di un ospedale e ha manipolato diverse immagini MRI in modo che le diagnosi non fossero più corrette. Il criminale ha usato questi file falsi per ricattare l'ospedale.
"Questo e molti altri casi mostrano chiaramente che gli attacchi stanno diventando sempre più sofisticati e mirati. La crittografia dei dati è anche molto più veloce ed efficiente oggi rispetto a qualche anno fa", dice Wetzel. La sua buona notizia è che se si usano gli strumenti giusti, i responsabili sono molto bravi a riconoscere le anomalie. Le istituzioni che non hanno un proprio team di sicurezza devono affidarsi all'aiuto di fornitori di servizi esterni.
Ma come si fa a trovare l'esperto giusto? Il produttore di sicurezza Eset assegna il sigillo di approvazione "Premium Partner Healthcare" alle system house all'interno del proprio programma partner che si sono specializzate nella sicurezza IT nel settore sanitario. Questo fornisce alle cliniche un aiuto decisionale nella scelta di un partner adatto.
Il prerequisito fondamentale per la certificazione è l'esperienza pluriennale del partner con progetti nel settore sanitario e con i prodotti Eset. L'ultimo requisito è soddisfatto dai fornitori di servizi che dimostrano lo status Gold o Platinum. Inoltre, uno scambio regolare tra i partner ed Eset è obbligatorio per coordinare le attività di vendita, gli sviluppi dei progetti e il supporto aggiuntivo per i clienti finali.
Nadine Reinsdorf, Key Account Manager di WBS IT-Service
I partner dimostrano le loro conoscenze specifiche per il settore sanitario completando con successo un corso di formazione online per fornitori di servizi IT dell'Ufficio federale della sicurezza sociale. Inoltre, devono avere i prerequisiti tecnici e la competenza necessaria per essere in grado di implementare progetti in conformità con le linee guida del Fondo per il futuro degli ospedali (KHZF) secondo il §21, paragrafo 2.
Inoltre, i fornitori di servizi IT che lavorano con gli studi medici possono ottenere la certificazione dell'Associazione nazionale dei medici dell'assicurazione sanitaria legale (KBV). In questo modo, il partner dimostra di avere un approccio olistico per stabilire le misure di sicurezza informatica negli studi dei medici e dei dentisti in base alla linea guida sulla sicurezza informatica secondo il §75b del codice sociale 5 (SGB V).
"Il concetto di sicurezza IT deve essere agile e dinamico, in modo da non dover essere adattato di nuovo ogni volta che vengono introdotte o cambiate soluzioni e processi nell'ospedale", dice Nadine Reinsdorf, Key Account Manager at WBS IT-Service. Il fornitore di servizi dice di essere attivo nel settore sanitario da 20 anni. Con la crescente digitalizzazione, tuttavia, il business ha solo guadagnato slancio.
Maik Wetzel, Strategic Business Development Director DACH di Eset
Secondo Reinsdorf, una struttura sanitaria deve essere in grado di implementare tre competenze all'interno di un concetto di sicurezza, che è dove ricevono aiuto dalle system house:
- Prevenzione: prevenire un attacco, utilizzando soluzioni moderne come l'autenticazione, la sicurezza della rete e la gestione delle vulnerabilità
- Rilevamento: Rilevare e analizzare un attacco, il che richiede, tra l'altro, la gestione delle informazioni e degli eventi di sicurezza (SIEM) e un centro operativo di sicurezza (SOC)
- Mitigazione: utilizzare soluzioni di backup e archiviazione per essere in grado di tornare rapidamente operativi dopo un incidente di sicurezza
Perché, secondo Wetzel, la sola protezione classica degli endpoint non è più sufficiente, Eset raccomanda il concetto di un endpoint multisicuro. In questo caso, vengono utilizzate misure supplementari come l'autenticazione a più fattori, la crittografia o il cloud sandboxing.
Ma le minacce informatiche non sono l'unica motivazione per gli investimenti. Requisiti minimi legali e ampi programmi di finanziamento a livello federale e statale sono anche destinati ad accelerare la digitalizzazione del sistema sanitario.
Il compito delle case del sistema è quello di consigliare gli ospedali, le cliniche e gli ambulatori fin dall'inizio: Quali sono i programmi di finanziamento? E come si può richiedere un finanziamento?
È importante descrivere in anticipo la situazione attuale del cliente finale. In questo modo, i responsabili determinano quali misure sono necessarie, se gli acquisti sono ammissibili al finanziamento e quale importo di finanziamento l'ospedale può richiedere.
Ci sono molti programmi di finanziamento che si concentrano sulla digitalizzazione della sanità. Da un lato, ci sono i programmi europei, come il programma d'azione sanitaria dell'UE. Dall'altra parte, i finanziamenti regionali, come eHealthSax della Saxon Development Bank.
Il programma d'investimento con probabilmente la più grande portata è la legge sui futuri ospedali (KHZG). Per questo, il governo federale ha messo a disposizione tre miliardi di euro dal 1° gennaio 2021 "affinché gli ospedali possano investire in moderne capacità di emergenza, nella digitalizzazione e nella loro sicurezza informatica". I Länder devono contribuire con altri 1,3 miliardi di euro.
La cosa speciale della KHZG è che la cooperazione con un fornitore di servizi IT è obbligatoria per gli ospedali per ricevere i finanziamenti. Come spiega Reinsdorf, il governo federale vuole assicurare attraverso la cosiddetta verifica che gli investimenti sono ragionevoli, economici e sostenibili in ogni momento. Lo scambio regolare con il rispettivo stato federale è anche obbligatorio per gli ospedali e i fornitori di servizi. Nel processo, lo stato del progetto deve essere comunicato in modo che lo stato federale possa verificare se il progetto rientra ancora nel programma di finanziamento.
Come riferisce Wetzel, ci sono finora solo pochi partner che hanno raggiunto lo status di Premium Partner Healthcare. Ciò è dovuto principalmente ai numerosi regolamenti e ai complessi requisiti a cui è soggetto il settore sanitario e per i quali i partner devono costruire un know-how.
I requisiti legali includono l'IT Security Act 2.0, il regolamento KRITIS e la direttiva NIS.
Anche se il lavoro nel settore sanitario richiede molto alle system house, il sigillo è ben accolto dai partner Eset, secondo Wetzel. Dopo tutto, permette loro di distinguersi dalla concorrenza.
Eset supporta i partner sanitari con servizi di consulenza sui concetti di sicurezza IT e sulle soluzioni, pre-vendita, supporto con webinar con i clienti finali, marketing e co-branding.
Dal momento del rilascio, il sigillo ha una validità massima di due anni, a condizione che il partner continui a soddisfare i requisiti.