App sanitarie: terreno fertile per gli attacchi informatici

Se gli attacchi informatici sono un settore dove la crisi non c’è le app legate al mondo della salute sono il terreno perfetto per questi attacchi.

Ecco qualche dato: il Rapporto Clusit relativo all’anno 2020[1] ha identificato una quota di attacchi contro organizzazioni del settore Healthcare pari al 11,5% del totale di tali eventi. Ciò si traduce in 215 episodi.

Indubbiamente l’emergenza Covid-19 è stato un fattore favorevole (almeno nell’10,2% dei casi) mentre per una quota del 18% tali attacchi sono stati classificati di “gravità critica”.

E’ stato recentemente pubblicato sulla rivista Hipaa Journal[2] un interessante studio a cura della società di sicurezza informatica Approov che ha verificato quanto siano sicure le app di salute mobile (denominate MHealth) e quanto siano al sicuro i dati degli utilizzatori delle suddette app.

La ricerca ha esaminato un campione composto dalle trenta più famose app dedicate alla salute: tutte si sono dimostrate vulnerabili. In modo particolare il nodo di criticità è stato rappresentato dalle Api[3].

Queste stabiliscono come le app così tanto utilizzate per monitorare il nostro stato di salute possono comunicare con sistemi ed altre app e condividere così le informazioni.

La vulnerabilità scoperta dalla ricerca ha così evidenziato che i dati potrebbero essere così essere accessibili non solo all’utente ma anche ad altri soggetti.

Le informazioni che potrebbero essere così carpite da terzi sarebbero quindi il bagaglio di dati registrati dagli utilizzatori. Tali dati non sarebbero soltanto di tipo identificativo[4] ma anche di tipo sanitario e pertanto ancora di più meritevoli di protezione.

L’utilizzo delle app legate alla salute e al suo monitoraggio è sempre più diffuso e il particolare evento legato al Covid-19 ne ha determinato un ulteriore incremento. Basti pensare che sui principali store le app disponibili raggiungono quota 38 mila.

Questa impennata nell’utilizzo di strumenti che possono fornire utili informazioni in un momento così particolare si accompagna ad un rovescio della medaglia, vale a dire un aumento considerevole degli attacchi informatici volti a carpire le informazioni contenute all’interno dei dispositivi.

A questo si aggiunge un ulteriore dato: anche nel mondo sanitario così come in altri settori si sta diffondendo l’utilizzo dell’IoT[5]. Nel 2019[6] l’82% degli operatori sanitari che hanno introdotto la tecnologia IoT è stato vittima di un attacco informatico che ha colpito almeno un dispositivo nel corso degli ultimi 12 mesi.

Cosa viene trafugato a seguito di questi attacchi? Oggetto di tali furti sono in prima istanza i dati dei soggetti, quindi dei pazienti ma non solo: la platea comprende anche ulteriori conseguenze quali la perdita di credibilità per l’organizzazione coinvolta, tempi di inattività. Non va trascurato che tali attacchi non sono rivolti solo ai singoli soggetti ma possono colpire anche le strutture sanitarie da quelle più piccole fino al grande ospedale.

A fronte di questi dati la naturale reazione che ci si aspetta è un sano sentimento di protezione verso le proprie informazioni specie se di natura sanitaria.

Contrariamente a quanto si potrebbe pensare la situazione non è affatto così.

Questo è quanto emerge da uno studio che ha coinvolto oltre 24 mila cittadini europei appartenenti a 12 Paesi. Lo studio[7] è stato condotto dal Gruppo Stada in collaborazione  con il Kantar Market Research Institute.

Parlando dei dati dell’Italia lo studio rivela che solo un’esigua percentuale dei soggetti (il 6%) manifesta preoccupazione circa la propria privacy nel caso di utilizzo di app afferenti al settore della salute.

E’ invece caldamente consigliabile prestare attenzione in generale all’impiego delle App ma soprattutto a tutti quegli strumenti che possono contenere informazioni  delicate come quelle dell’ambito sanitario sicuramente appetibili.

 

[1] Per maggiori dettagli circa https://clusit.it/pubblicazioni/

[2] https://www.hipaajournal.com/ E’ una testata di informazione specializzata in notizie sulla normativa statunitense sulla privacy denominata Health Insurance Portability and Accountability Act

[3] Application Programming Interfaces

[4] La ricerca identifica le informazioni come PII, (Personally identifiable information) vale a dire i dati personali e come PHI (Phisycal Health Information) vale a dire dati particolari relativi alla salute.

[5] Internet of Things (Internet delle Cose): è l’estensione di Internet al mondo degli oggetti concreti. E’ una tecnologia che permette l’interazione tra oggetti.

[6] “Global Connected Industries Cybersecurity Survey” Irdeto

[7] Health Report 2020