Basking Ridge, N.J. - Il furto di informazioni sanitarie è un fenomeno sempre più diffuso che
coinvolge 18 dei 20 settori esaminati secondo il Verizon 2015 Protected Health
Information Data Breach Report. Eppure, molte imprese che non operano nel
settore sanitario archiviano questa tipologia di dati, pur non essendone
consapevoli. Esempi di queste informazioni sanitarie protette sono dati riguardanti
i dipendenti (come le richieste di rimborso) o informazioni su programmi di
wellness aziendale, generalmente non protetti in modo adeguato.
Questi risultati
fanno parte del primo report di questo tipo realizzato dal team Data Breach
Investigations Report (DBIR) di Verizon, in grado di fornire analisi dettagliate
su effettive violazioni di Informazioni Sanitarie Protette (PHI)* che hanno
coinvolto oltre 392 milioni di record e 1.931 incidenti in 25 paesi.
“Molte organizzazioni
non fanno abbastanza per proteggere questi dati altamente confidenziali e
delicati,” ha affermato Suzanne Widup, Senior Security Analyst e autrice
principale del report di Verizon Enterprise Solutions. “Questo può avere
conseguenze significative in grado di impattare l’individuo e la sua famiglia,
oltre ad aumentare i costi sanitari per governi, imprese e singole persone. Le
Informazioni Sanitarie Protette sono un bersaglio altamente ambito dai criminali
informatici di oggi”.
Secondo recenti studi
citati nel report, le persone non comunicano agli operatori sanitari informazioni
– a volte anche importanti – nel timore che possa verificarsi una violazione
dei dati.
“Nella gestione dei
dati, le organizzazioni sanitarie devono essere consapevoli della fiducia
riposta in loro da parte dei pazienti. Se questa fiducia venisse meno, le
conseguenze potrebbero essere anche gravi”, ha aggiunto Widup.
Per esempio, il
report indica come la scelta dei pazienti di non divulgare alcune informazioni
personali possa tardare la diagnosi di malattie trasmissibili, specialmente
quando a queste ultime è associato uno stigma sociale.
In che modo le violazioni PHI si differenziano dalle
altre
Le violazioni PHI si
differenziano da altri data set del DBIR per diversi motivi. La prima
differenza riguarda il responsabile: nel caso di informazioni sanitarie
protette, il numero di attacchi esterni e interni è quasi uguale, con una
differenza di soli 5 punti percentuali, il che implica un alto tasso di illecito
interno.
Secondo i risultati
del report, la sottrazione di questi dati sanitari ha in genere finalità
dolose. Inoltre, gli attaccanti cercano Informazioni Personali Identificabili
(PII), come i dati della carta di credito o i social security number, perché
utili a perpetrare crimini finanziari o frodi fiscali.
Le differenze sono
evidenti anche nel modo in cui si sviluppano queste violazioni. Nella maggior
parte dei casi, queste ultime nascono in seguito al furto di dispositivi mobili
(computer portatili, tablet, chiavette USB), da semplici errori come l’invio di
cartelle mediche a destinatari sbagliati o lo smarrimento del laptop. Da non
sottovalutare la possibilità di abuso da parte di impiegati che hanno accesso a
questa tipologia di informazioni. Situazioni come queste formano l’86% di tutte
le violazioni di dati PHI.
Inoltre, il tempo
impiegato per rilevare queste infrazioni può essere molto lungo, a volte mesi
se non addirittura anni. Nel caso in cui la scoperta avvenga dopo diversi anni,
le probabilità che esse siano state causate da persone interne all’azienda che
hanno abusato dell’accesso LAN sono tre volte superiori, mentre sono due volte
superiori le probabilità che l’obiettivo sia il server e in particolar modo i database
presenti su questo.
Che cosa può essere fatto?
Le informazioni
sanitarie dettagliate rendono più semplici i furti di identità e le frodi
mediche: per questo motivo, i media e i ricercatori del settore continuano a
sottolineare le conseguenze dovute alla perdita di dati altamente personali,
per cercare di aumentare l’attenzione verso questa tipologia di fenomeni.
Sfortunatamente, il
report indica che, dal 2009, circa la metà della popolazione degli Stati Uniti ha
subito violazioni di dati PHI. All’inizio del 2015, inoltre, l’FBI ha emesso un
avviso agli operatori sanitari dichiarando che “il settore sanitario” non è in
grado di fronteggiare le intrusioni informatiche come avviene invece nel mondo
finanziario e retail, con un possibile incremento del livello di rischio.
Per risolvere
questo problema, il report di Verizon offre spunti e consigli utili su come
proteggere al meglio le informazioni, oltre a evidenziare i diversi luoghi in
cui dati PHI potrebbero essere presenti.
Il report completo
è disponibile al seguente link:
Verizon 2015 Protected
Health Information Data Breach Report
Come tutta la serie
di Data Breach Investigations Report (DBIR) di Verizon, il PHI Data Breach Report si basa su casi di studio reali e rappresenta il report più
completo nel suo settore. Lo studio analizza le violazioni di informazioni
sanitarie protette, con particolare focus sul settore sanitario includendo servizi
di assistenza sanitaria ambulatoriali, ospedalieri, infermieristici e
residenziali, nonché di assistenza sociale in Nord America, Europa e nella
regione Asia-Pacifico.
Lo studio comprende
violazioni raccolte dalle seguenti organizzazioni: ACE Group; CERT Insider
Threat Center; CrowdStrike, Deloitte; Dutch National High Tech Crime Unit, G-C
Partners, LLPm, Kaspersky Lab, Mishcon de Reya, NetDiligence e il Secret
Service statunitense. Il report include anche il U.S.
Health and Human Services incident database (incidenti che
coinvolgono almeno 500 individui) e un numero significativo di casi riguardanti
i veterani di guerra segnalati al Congresso Americano (dal progetto VERIS
Community Database).
I vari report DBIR
di Verizon puntano ad aiutare le organizzazioni di tutti i settori a capire
l’importanza di identificare e proteggere le informazioni prima che si
verifichi una violazione dei dati.
*In questo report, si definiscono
PHI le informazioni sanitarie personali di un individuo protette da una legge
statale, federale o internazionale sulla divulgazione della violazione dei
dati.
Verizon Communications Inc. (NYSE, Nasdaq: VZ)
impiega una forza lavoro diversificata di oltre 177.900 unità e ha generato più
di 127 miliardi di dollari di ricavi nel 2014. Verizon Wireless gestisce la
rete wireless più affidabile d’America con oltre 110.8 milioni di connessioni
retail nazionali. Con sede a New York, Verizon offre, inoltre, servizi di
comunicazione e intrattenimento tramite la rete a fibre ottiche più avanzata
d’America e offre soluzioni aziendali integrate ai clienti in tutto il
mondo. Per ulteriori informazioni: www.verizon.com/news/.
####
NEWS CENTER ONLINE DI VERIZON ENTERPRISE: i comunicati stampa, i blog post,
i contatti media e altre informazioni sono disponibili presso il Verizon
Enterprise Solutions News & Insights (news.verizonenterprise.com).
Le informazioni su Verizon Enterprise Solutions sono
disponibili anche attraverso il feed RSS alla pagina http://www.verizonenterprise.com/rss-options/.
Post
Nessun commento:
Posta un commento