Hanno riguardato oltre 392 milioni di record, per un totale di 1.931 incidenti principalmente occorsi tra il 2004 e il 2014 e registrati in Nord America, Europa (Italia esclusa) e nella regione Asia-Pacifico le analisi dettagliate su effettive violazioni di informazioni sanitarie protette fornite dal Verizon 2015 Protected Health Information Data Breach Report basato su casi di studio reali.
Primo nel suo genere, quello realizzato dal team Data Breach Investigations Report di Verizon ha, di fatto, analizzato le violazioni di informazioni sanitarie protette evidenziando la mancanza di protezioni adeguate di dati altamente confidenziali e delicati in 18 dei 20 settori esaminati.
Un quadro desolante, all’interno del quale il 90% delle aziende ha subito violazioni di dati personali sanitari, un fenomeno sempre più diffuso per un bersaglio, quello rappresentato dalle informazioni sanitarie protette, altamente ambito dagli odierni criminali informatici.
Facili da perpetrare, difficili da rilevare
Come se non bastasse, con una differenza di soli 5 punti percentuali, nel caso di informazioni sanitarie protette, il numero di attacchi esterni e interni registrati nel report è quasi uguale, il che implica un alto tasso di illecito interno con finalità dolose, tra cui anche crimini finanziari o frodi fiscali.
Inoltre, stando allo studio, l’86% di tutte le violazioni di dati di questo tipo sarebbe afferibile al furto di dispositivi mobili, ma anche a semplici errori umani, come l’invio di cartelle mediche a destinatari sbagliati, allo smarrimento del laptop o alla possibilità di abuso da parte di impiegati che hanno accesso a questa tipologia di informazioni avvantaggiati, per giunta, da tempi di rilevazione, per questo tipo di infrazioni, (fortunatamente non più) lunghi anni.
A rischio furto di identità e frodi mediche
E a poco servono i richiami da parte di media e ricercatori del settore in merito alle conseguenze dovute alla perdita di dati altamente personali, se è vero che, dal 2009, circa la metà della popolazione degli Stati Uniti ha subito violazioni di informazioni sanitarie personali protette da una legge statale, federale o internazionale sulla divulgazione della violazione dei dati.
Proprio le informazioni sanitarie dettagliate rendono, infatti, più semplici i furti di identità e le frodi mediche tanto che, all’inizio del 2015, l’FBI ha emesso un avviso agli operatori sanitari dichiarando che “il settore sanitario non è in grado di fronteggiare le intrusioni informatiche come avviene, invece, nel mondo finanziario e nel retail”, con un possibile incremento del livello di rischio.
Mitigate gente, mitigate
Letteralmente “frustrante” per i realizzatori del report, constatare, anno dopo anno, come la categoria “asset persi o rubati”, a cui è riferito ben il 45,4% degli incidenti registrati, rappresenti una vera e propria costante arginabile dall’applicazione di poche, ferree, regole.
In particolare, l’encryption dei dispositivi portatili contribuirebbe in maniera esponenziale a mettere al sicuro informazioni e dati sensibili contenute al loro interno, sia in caso di furto che di smarrimento, anche se nel settore sanitario è assidua e legittima la preoccupazione in merito a qualsiasi controllo possa aumentare il tempo per accedere ai dati in caso di emergenza.
L’ulteriore suggerimento è di sensibilizzare il personale, che legittimamente ha accesso a reti e informazioni di tipo sanitario, in merito alle conseguenze, anche di tipo legale, di un uso improprio di questo tipo di privilegi.
Vanno, poi, disposti sistemi per prevenire la perdita di dati, anche accidentale, prima che diventi una violazione effettiva e stabiliti da contratto opportuni livelli di servizio con le società terze a cui, specie gli enti Pubblici, demandano lo smaltimento dei documenti cartacei e non contenenti dati sanitari sensibili.
