Secondo il Verizon 2015 Protected Health Information Data Breach Report, il furto di informazioni sanitarie è un fenomeno sempre più diffuso che coinvolge 18 dei 20 settori esaminati. Eppure, molte imprese che non operano nel settore sanitario archiviano questa tipologia di dati, pur non essendone consapevoli. Esempi di queste informazioni sanitarie protette sono dati riguardanti i dipendenti (come le richieste di rimborso) o informazioni su programmi di wellness aziendale, generalmente non protetti in modo adeguato.
Questi risultati fanno parte del primo report di questo tipo realizzato dal team Data Breach Investigations Report (DBIR) di Verizon, in grado di fornire analisi dettagliate su effettive violazioni di Informazioni Sanitarie Protette (PHI) che hanno coinvolto oltre 392 milioni di record e 1.931 incidenti in 25 paesi.
“Molte organizzazioni non fanno abbastanza per proteggere questi dati altamente confidenziali e delicati”, ha affermato Suzanne Widup, Senior Security Analyst e autrice principale del report di Verizon Enterprise Solutions. “Questo può avere conseguenze significative in grado di impattare l’individuo e la sua famiglia, oltre ad aumentare i costi sanitari per governi, imprese e singole persone. Le Informazioni Sanitarie Protette sono un bersaglio altamente ambito dai criminali informatici di oggi”.
Secondo recenti studi citati nel report, le persone non comunicano agli operatori sanitari informazioni – a volte anche importanti – nel timore che possa verificarsi una violazione dei dati.
“Nella gestione dei dati, le organizzazioni sanitarie devono essere consapevoli della fiducia riposta in loro da parte dei pazienti. Se questa fiducia venisse meno, le conseguenze potrebbero essere anche gravi”, ha aggiunto Widup.
Per esempio, il report indica come la scelta dei pazienti di non divulgare alcune informazioni personali possa tardare la diagnosi di malattie trasmissibili, specialmente quando a queste ultime è associato uno stigma sociale.
In che modo le violazioni PHI si differenziano dalle altre
Le violazioni PHI si differenziano da altri data set del DBIR per diversi motivi. La prima differenza riguarda il responsabile: nel caso di informazioni sanitarie protette, il numero di attacchi esterni e interni è quasi uguale, con una differenza di soli 5 punti percentuali, il che implica un alto tasso di illecito interno.
Secondo i risultati del report, la sottrazione di questi dati sanitari ha in genere finalità dolose. Inoltre, gli attacker cercano Informazioni Personali Identificabili (PII), come i dati della carta di credito o i social security number, perché utili a perpetrare crimini finanziari o frodi fiscali.
Le differenze sono evidenti anche nel modo in cui si sviluppano queste violazioni. Nella maggior parte dei casi, queste ultime nascono in seguito al furto di dispositivi mobili (computer portatili, tablet, chiavette USB), da semplici errori come l’invio di cartelle mediche a destinatari sbagliati o lo smarrimento del laptop. Da non sottovalutare la possibilità di abuso da parte di impiegati che hanno accesso a questa tipologia di informazioni. Situazioni come queste formano l’86% di tutte le violazioni di dati PHI.
Inoltre, il tempo impiegato per rilevare queste infrazioni può essere molto lungo, a volte mesi se non addirittura anni. Nel caso in cui la scoperta avvenga dopo diversi anni, le probabilità che esse siano state causate da persone interne all’azienda che hanno abusato dell’accesso LAN sono tre volte superiori, mentre sono due volte superiori le probabilità che l’obiettivo sia il server e in particolar modo i database presenti su questo.
Che cosa può essere fatto?
Le informazioni sanitarie dettagliate rendono più semplici i furti di identità e le frodi mediche: per questo motivo, i media e i ricercatori del settore continuano a sottolineare le conseguenze dovute alla perdita di dati altamente personali, per cercare di aumentare l’attenzione verso questa tipologia di fenomeni.
Sfortunatamente, il report indica che, dal 2009, circa la metà della popolazione degli Stati Uniti ha subito violazioni di dati PHI. All’inizio del 2015, inoltre, l’FBI ha emesso un avviso agli operatori sanitari dichiarando che “il settore sanitario” non è in grado di fronteggiare le intrusioni informatiche come avviene invece nel mondo finanziario e retail, con un possibile incremento del livello di rischio.
Per risolvere questo problema, il report di Verizon offre spunti e consigli utili su come proteggere al meglio le informazioni, oltre a evidenziare i diversi luoghi in cui dati PHI potrebbero essere presenti.