Immagine di un medico che utilizza un tablet. Concetto di tecnologie mediche.

La cruda verità sulla corretta sicurezza per i dati del settore sanitario

Le aziende del settore sanitario necessiteranno sempre di memorizzare e trasferire i dati sanitari personali, spesso denominati anche dati sanitari protetti (PHI). La prioritizzazione della sicurezza dei dati continuerà a rappresentare un fattore cruciale per proteggersi contro attacchi informatici e perdite di dati, al fine di preservare la sicurezza dei dati PHI. Infatti, da un sondaggio condotto dall’ American Medical Association è emerso che il 92% dei pazienti ritiene che la privacy dei dati sanitari sia un diritto da tutelare. La tutela di tale diritto è più semplice da dire che a farsi, con dati che devono essere trasportabili e condivisibili in qualunque momento.

Sebbene la protezione dei dati PHI appaia una questione secondaria, una violazione può avere conseguenze reali e concrete. Per esempio, Scripps Health ha raggiunto un accordo per il risarcimento di danni pari a 3,5 milioni di dollari a seguito di un attacco ransomware avvenuto nel 2021.

Senza voler fare allarmismi, è necessario essere chiari e riconoscere che il volume di violazioni avvenute nel settore sanitario sta crescendo. I criminali informatici sono consapevoli del valore derivante dalle violazioni dei dati sanitari. Gli attacchi ransomware stanno crescendo rapidamente, trasformando il settore sanitario globale in un obiettivo strategico.

Pertanto, cosa è necessario fare per garantire una solida sicurezza dei dati?

Icone raffiguranti sicurezza e sanità. Concettualizzazione dei problemi di sicurezza dati per le organizzazioni del settore sanitario.

Analizziamo queste sfide uniche e la necessità di conformarsi a regolamenti in costante cambiamento mediante una semplificazione, con i semplici requisiti richiesti dalla crittografia dati come parte integrante delle strategie di sicurezza delle organizzazioni del settore sanitario.

Dopotutto, tutto ciò che è visibile può essere attaccato o messo in sicurezza. Questo è importante da sapere quando si prende in considerazione il piano di sicurezza dei dati.

Kingston è consapevole del fatto che una protezione adeguata dei dati sanitari rappresenta una questione della massima importanza. Vi sono numerosi fattori da tenere in considerazione durante l’implementazione delle strategia di sicurezza crittografica per i dati del settore sanitario. Prima di tutto, è importante capire il valore della crittografia dei dati ai fini della conformità normativa. I regolamenti HIPAA e altre norme internazionali simili, come i regolamenti GDPR e CCPA, includono requisiti specifici per la crittografia dei dati personali. Utilizzando la crittografia, le aziende del settore sanitario possono proteggersi dalle conseguenze delle violazioni dei dati e preservare la conformità a tali regolamenti.

Ma anche la crittografia comporta aspetti complessi, in quando in genere si presenta in due tipologie: Crittografia hardware e crittografia software a confronto.

Capire le differenze tra crittografia hardware e software comporta implicazioni per la sicurezza dei dati sanitari dei pazienti. La crittografia software spesso ha costi di implementazione iniziali inferiori, ma la sicurezza dipende dal sistema host. Di conseguenza, tali soluzioni sono notevolmente più esposte a fenomeni di hacking, quando password o chiavi di ripristino possono essere reperite nelle memorie dei sistemi host e nei file di paging e ibernazione. Inoltre, molti formati di file crittografati sono soggetti ad attacchi mediante strumenti software reperibili su internet gratuitamente o a costi ridotti, e in grado di eseguire attacchi password di tipo brute force per violare le procedure di autenticazione. Attualmente, i computer possono effettuare oltre 1 miliardo di tentativi di violazione password al secondo. I file crittografati mediante soluzioni software possono anche essere copiati e attaccati in parallelo, mediante una rete di computer, riducendo ulteriormente i tempi di esecuzione degli attacchi password di tipo brute force.

La crittografia hardware è un ecosistema di sicurezza dedicato e completamente isolato e indipendente che risiede all’interno del dispositivo di storage, indipendentemente dal fatto che si tratti di un drive USB o di un SSD esterno. La crittografia basata su hardware è sempre attiva e offre una protezione dei dati ininterrotta, laddove la crittografia software può essere rimossa da chiunque mediante una semplice formattazione del drive. Per i provider del settore sanitario, ciò significa che un dipendente inaffidabile può disabilitare la protezione e tramutare un drive con crittografia software in un dispositivo di storage violabile.

Di conseguenza, la crittografia hardware in generale offre un livello di sicurezza immensamente superiore, in quanto non espone password e chiavi crittografiche alle debolezze del sistema host. Tuttavia, il maggiore livello di sicurezza ha un costo superiore rispetto ai tradizionali drive di storage non crittografati. Dato che il costo medio di una violazione era pari a oltre 4,35* milioni di dollari negli Stati Uniti nel 2022, i risparmi ottenibili con la crittografia software possono essere illusori quando sono disponibili migliori soluzioni per i dati mobili. Soluzioni come i drive SSD esterni e USB dotati di crittografia hardware basata sullo standard XTS-AES a 256-bit, che integra protezioni contro gli attacchi brute force e BadUSB. Se i drive con crittografia hardware vanno persi, è possibile presumere ragionevolmente che saranno in grado di garantire la sicurezza dei dati PHI, grazie alle solide funzionalità di sicurezza.

La gamma di drive Kingston IronKey con crittografia hardware XTS-AES a 256-bit include una serie di drive di utilizzo intuitivo che garantiscono la massima tranquillità degli utenti grazie alle funzionalità di sicurezza. Il supporto multi-password è disponibile per consentire agli utenti o ai provider di recuperare l’accesso ai drive in caso di smarrimento di una password. Ora, esiste un’alternativa alle password complesse che nessuno è mai in grado di ricordare. Una frase password contenente fino a 64 caratteri, che possono includere il titolo di una canzone, una lista di parole, una riga di una poesia o di una canzone, oppure altre frasi semplici da ricordare per il personale medico e altri professionisti del settore ma pressoché impossibili da indovinare per un aggressore con limitati attacchi password di tipo brute force o con ripetuti tentativi di violare le protezioni crittografiche.

Le frasi password sono disponibili sui drive SSD esterni Vault Privacy 50, 50C, e Vault Privacy 80. I drive dotati di tastierino numerico, come i modelli Vault Privacy 80ES e Keypad 200 sono basati su PIN e simili a quelli utilizzati per i telefoni cellulari, nei casi in cui gli utenti preferiscano un PIN. Il drive VP80ES supporta anche le frasi password, mediante un intuitivo tastierino alfanumerico visualizzato su schermo tattile.

Layout dei vari drive con crittografia hardware della gamma Kingston IronKey. Drive USB e SSD con crittografia hardware.

Tutti i drive IronKey integrano funzioni di protezione contro gli attacchi brute-force integrate nel drive. Quando un aggressore tenta di indovinare la password, il drive conta i tentativi di inserimento errati blocca l’accesso alla password utente; quando anche i tentativi di accesso alla password Admin si esauriscono, il drive effettua la cancellazione crittografica automatica, che causa la perdita permanente dei dati. La crittografia software non possiede la capacità di garantire una solida protezione contro tali attacchi.

I drive indipendenti dal SO, come i modelli Vault Privacy 80ES e Keypad 200, sono la soluzione ideale per il trasferimento dei dati tra macchine utilizzate per impieghi sanitari e computer, normalmente utilizzati su numerosi dispositivi per l’erogazione di servizi sanitari. Per esempio, molte macchine per laboratorio richiedono un trasferimento manuale dei dati da parte dei tecnici, per l’inserimento nei sistemi informatici dei provider.

Cinque infermieri durante un meeting in un ufficio luminoso con laptop. Una lavagna posta sullo sfondo. Il personale attorno a un tavolo. Un partecipante in piedi e gli altri seduti. Un partecipante sorride, guardando la fotocamera.

Oltre ai dispositivi con crittografia hardware, le organizzazioni del settore sanitario devono prendere in considerazione misure di igiene dei dati e sicurezza informatica aggiuntive, come quelle associate alla formazione del personale, alle best practice, all’implementazione dell’autenticazione multifattore e al regolare aggiornamento di software e sistemi. Anche nel caso di provider sanitari di piccole dimensioni, l’esecuzione di backup periodici su SSD esterni con crittografia hardware può fare la differenza tra cadere vittima di un attacco ransomware e la possibilità di recuperare un sistema con la massima rapidità.

Adottando un approccio multilivello alla sicurezza, e integrando la protezione dei dati nelle abitudini quotidiane del personale, le organizzazioni sanitarie possono garantire un’efficace protezione dei dati dei pazienti. Integrando I drive con crittografia hardware Kingston IronKey integrati in una strategia di sicurezza dei dati, possono costituire una misura efficace al fine di garantire la conformità ai regolamenti HIPAA e con altre regole sulla protezione dei dati.

È possibile utilizzare svariati prodotti Kingston IronKey per soddisfare le esigenze di sicurezza dei dati del settore sanitario, oppure è possibile rivolgersi al team “Chiedi a un esperto” per ulteriori informazioni sui prodotti Kingston IronKey. Il personale del team vi aiuterà a garantire la sicurezza dei vostri pazienti.

#KingstonIsWithYou #KingstonIronKey

Icona del servizio "Chiedi a un esperto" di Kingston sul chipset di una scheda a circuiti

Chiedete a un esperto

La definizione della soluzione più adeguata richiede un'approfondita conoscenza degli obiettivi di sicurezza dei progetti. Lasciatevi guidare dagli esperti Kingston.

Chiedete a un esperto

Video correlati

Articoli correlati