[Infografica] Rischi IT per l'industria sanitaria: Aspettative vs. Realtà

Netwrix ha condotto il suo 2018 IT Risks Survey per scoprire di più su come le organizzazioni affrontano sei comuni rischi IT: danni fisici, furto di proprietà intellettuale, perdita di dati, violazioni dei dati, interruzioni di sistema e sanzioni per non conformità. Abbiamo estratto alcuni dati interessanti condivisi da 140 organizzazioni sanitarie per capire meglio come il settore percepisce le sue minacce. Principalmente, eravamo ansiosi di scoprire se le aspettative riguardo a questi rischi corrispondessero alla realtà — cioè, se gli incidenti che le organizzazioni temono di più sono gli stessi che hanno sperimentato durante l'anno, e se gli attori delle minacce di cui hanno paura sono effettivamente responsabili degli incidenti reali.

Per illustrare quanto possano essere pericolosi questi rischi IT per le aziende in tutto il mondo, abbiamo deciso di supportare i risultati del sondaggio con esempi reali di come hanno influenzato le organizzazioni sanitarie.

Danni fisici

Il danno fisico è qualsiasi danno agli asset hardware di un'organizzazione, come i suoi server, laptop e network devices. Le minacce che portano a danni fisici includono disastri naturali, ambiente di stoccaggio inadeguato, manutenzione hardware inadeguata o maneggiamento negligente, errori dei dipendenti e attacchi intenzionali da parte di hacker. Per le organizzazioni sanitarie, il danno fisico può portare alla perdita di informazioni sanitarie personali protette (PHI), interruzioni di sistema e incapacità di fornire servizi medici. In alcuni casi, il danno fisico è una minaccia diretta alla vita e al benessere dei pazienti: se l'attrezzatura critica è fuori servizio, i pazienti potrebbero non ricevere il livello di cura di cui hanno urgentemente bisogno.

L'indagine rivela che in generale, le aspettative corrispondono alla realtà quando si tratta di danni fisici. Le organizzazioni sanitarie considerano i guasti hardware come la minaccia alla sicurezza più pericolosa e, di fatto, sono il tipo di incidente che le organizzazioni hanno sperimentato più frequentemente nell'ultimo anno. Tuttavia, c'è una discrepanza tra gli attori minacciosi che le organizzazioni considerano pericolosi e gli attori minacciosi responsabili di incidenti reali. La maggioranza (61%) delle organizzazioni vede i dipendenti in partenza come la minaccia più grande, mentre nella realtà, sono gli utenti regolari a essere responsabili del maggior numero di incidenti (58%); gli ex-dipendenti scontenti sono ben indietro, al terzo posto (23%).

Studio di caso: l'ospedale di Port Shepstone in fiamme

Nel maggio 2017, si è verificato un incendio al Port Shepstone Provincial Hospital in Sud Africa. L'incendio è iniziato nella sala server IT, distruggendo computer e altre attrezzature. 200 pazienti sono stati trasferiti in altri ospedali della zona e diversi servizi ospedalieri (ad esempio, operazioni agli occhi elettive) sono stati temporaneamente non disponibili. Un portavoce del comune, Simon April, ha dichiarato che l'ospedale potrebbe aver perso anche dati memorizzati sui suoi server: “Considerando che la sala server è il punto centrale dove le informazioni sono conservate, è possibile che siano state perse delle informazioni, a meno che non dispongano di qualche sistema di back-up.”

Furto di proprietà intellettuale

La proprietà intellettuale (IP) include informazioni estremamente sensibili che sono protette dalle leggi sul diritto d'autore, marchio o segreto commerciale; i casi in cui una persona ruba o utilizza impropriamente questi beni vengono chiamati furto di proprietà intellettuale. Il rischio di furto di IP è una preoccupazione particolare per le aziende farmaceutiche coinvolte nella ricerca e sviluppo di nuovi medicinali. Poiché questa ricerca è estremamente preziosa e la rivalità tra le aziende farmaceutiche è intensa, non sorprende che spesso vediamo notizie su hacker o insider che hanno rubato o tentato di rubare IP per guadagno finanziario o vendetta.

Il furto di proprietà intellettuale può essere alimentato dalla concorrenza tra le aziende, ed essere anche intrapreso da hacker e insider malintenzionati. In ogni caso, le potenziali conseguenze per le organizzazioni sanitarie includono la perdita di un vantaggio competitivo, il rallentamento della crescita aziendale e la perdita di piani estremamente preziosi riguardanti lo sviluppo di farmaci.

L'indagine rivela che le organizzazioni sanitarie non comprendono sempre quali attività rappresentino una minaccia per la loro proprietà intellettuale. Nel complesso, il 70% delle aziende ha dichiarato di temere il cyber estorsione, ma gli errori umani sono stati in realtà responsabili per la maggior parte degli incidenti lo scorso anno che hanno interessato la proprietà intellettuale delle organizzazioni sanitarie; il cyber estorsione si è classificato al quarto posto. Sebbene il furto di proprietà intellettuale sia per lo più associato a intenti malevoli, gli errori umani sono più propensi a portare alla perdita di segreti commerciali preziosi, brevetti e altri dati sensibili. Ad esempio, membri negligenti del team IT potrebbero concedere diritti di accesso eccessivi a dipendenti scontenti che in segreto sono pronti a dimettersi, e gli utenti regolari possono commettere errori come cliccare su un link di phishing che scarica malware, mettendo in pericolo la proprietà intellettuale.

Per quanto riguarda gli attori delle minacce, le aspettative corrispondono alla realtà. I risultati dimostrano che le organizzazioni sanitarie comprendono appieno chi è più pericoloso per loro: sono i dipendenti in partenza a causare più problemi nella realtà e di cui le organizzazioni hanno paura.

Studio di caso: Ex dipendenti di GlaxoSmithKline rubano segreti commerciali

Nel 2016, cinque persone, tra cui due ex ricercatori del colosso farmaceutico GlaxoSmithKline (GSK), sono stati accusati negli Stati Uniti di aver architettato il furto di segreti commerciali e di averli venduti in Cina. Secondo i procuratori, i due scienziati hanno inviato via email dati confidenziali riguardanti una dozzina o più di prodotti GSK ai loro associati, che avevano in programma di commercializzare i segreti industriali attraverso un'azienda che avevano fondato in Cina e di entrare in diretta concorrenza con GSK. I dati rubati includevano informazioni relative allo sviluppo di numerosi prodotti biofarmaceutici, così come informazioni sulla ricerca, sviluppo e produzione di prodotti biofarmaceutici da parte di GSK. Nel 2018, entrambi gli scienziati si sono dichiarati colpevoli di furto di proprietà intellettuale, ma l'esatto ammontare del danno finanziario deve ancora essere calcolato.

Perdita di dati

La perdita di dati di solito si verifica quando le informazioni vengono distrutte a causa di guasti durante l'archiviazione, l'elaborazione o la trasmissione. La perdita di dati può essere deliberata (ad esempio, cancellazione, dirottamento di sessione, infiltrazioni di malware ed exploit IoT), oppure il risultato di errori umani. Un altro scenario è quando un dispositivo portatile con accesso a dati sensibili viene perso o rubato. Le conseguenze di tali incidenti per le organizzazioni sanitarie possono essere gravi. Se i dati estremamente sensibili dei loro clienti e dipendenti, che includono informazioni personali, dati finanziari e risultati di esami clinici, finiscono nelle mani sbagliate, potrebbero essere utilizzati per attacchi di phishing, ricatti o frodi. Anche se i dati dei pazienti vengono persi piuttosto che rubati, le procedure sanitarie vitali potrebbero subire ritardi e le decisioni importanti potrebbero essere meno informate. In entrambi i casi, l'azienda potrebbe sperimentare la perdita di fedeltà dei clienti, una diminuzione della velocità di business o addirittura il fallimento.

La perdita di altri tipi di dati è anche una grande preoccupazione per le organizzazioni sanitarie. Ad esempio, se un'azienda farmaceutica perde informazioni riguardanti studi clinici, potrebbe dover ricominciare tutto il processo di ricerca e sviluppo da capo e quindi fallire nel lanciare un nuovo prodotto prima di un concorrente. In ultima analisi, l'azienda può perdere il suo vantaggio competitivo e la quota di mercato, oltre al tempo e ai soldi spesi per riprodurre i dati.

I risultati del sondaggio indicano che la maggior parte delle organizzazioni sanitarie teme le cancellazioni intenzionali, mentre in realtà dovrebbero prestare maggiore attenzione agli errori umani, che sono la vera causa principale degli incidenti che coinvolgono la perdita di dati. Le cancellazioni intenzionali non sono nemmeno tra le prime cinque; sono state nominate solo dall'11% dei rispondenti, il che è molto meno rispetto ad altre cause di perdita di dati (ad esempio, guasti hardware e dispositivi persi/rubati).

Per quanto riguarda gli attori delle minacce, vediamo nuovamente che le organizzazioni non comprendono appieno di chi dovrebbero aver paura. Temono più di tutti i dipendenti in uscita (63%), mentre in realtà sono gli utenti aziendali regolari a causare la maggior parte delle perdite di dati. Ancora una volta, i dipendenti in uscita possono sembrare pericolosi, ma non sono nemmeno vicini ad essere leader tra gli altri attori delle minacce — solo il 21% dei rispondenti ha detto che i dipendenti in uscita hanno partecipato a incidenti reali.

Studio di caso: Un centro oncologico in Texas perde grandi quantità di dati sensibili

Nel 2018, l'Ufficio per i Diritti Civili del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti ha annunciato la sua quarta più grande sanzione per violazione dell'HIPAA, emessa nei confronti del University of Texas MD Anderson Cancer Center. Il caso deriva da tre incidenti nel 2012 e 2013: il laptop di un dipendente è stato rubato e due chiavette USB sono andate perdute; tutti i dispositivi contenevano informazioni sanitarie protette elettroniche (ePHI) dei pazienti del MD Anderson.

In totale, le informazioni sanitarie protette (PHI) di 34.883 pazienti sono andate perse e potrebbero essere state esposte a individui non autorizzati. L'analisi ha rivelato che i dispositivi portatili contenenti ePHI non erano criptati, il che costituiva una violazione diretta dell'HIPAA. A causa della loro incapacità di implementare i controlli di sicurezza richiesti dall'HIPAA, a MD Anderson è stato ordinato di pagare 4.348.000 dollari di multe.

Violazione dei dati

Purtroppo, il settore sanitario non è estraneo alle violazioni dei dati. Tra gli episodi di violazione che hanno fatto notizia di recente ci sono gli incidenti di Premera Blue Cross e Anthem, entrambi nel 2015. Una violazione dei dati è un incidente di sicurezza confermato in cui dati sensibili, protetti o confidenziali vengono copiati, trasmessi, visualizzati, rubati o utilizzati da un individuo non autorizzato. Nel caso del settore sanitario, le violazioni dei dati coinvolgono spesso il compromesso di PHI, ma alcuni casi includono altri tipi di dati, come informazioni sui pagamenti o informazioni personali identificabili (PII).

Secondo il Verizon 2018 DBIR, il modello di minaccia più frequente per le violazioni nel settore sanitario sono errori vari, principalmente sotto forma di consegna errata e divulgazione non intenzionale. Le conseguenze di una violazione dei dati includono massicce perdite di dati estremamente sensibili, che possono essere facilmente venduti sul mercato nero o utilizzati per estorsione e frode, così come cause legali da clienti infuriati, pesanti multe di conformità e danni alla reputazione.

La maggior parte dei partecipanti al sondaggio (68%) ha indicato le violazioni dei dati come la principale priorità tra i rischi IT. La maggior parte delle organizzazioni sanitarie (79%) ha identificato la condivisione delle password come il modello di minaccia più pericoloso. Ma in realtà, la maggior parte delle violazioni sono state causate da errori umani (24%), come la divulgazione involontaria o il clic su link di phishing. Le aspettative corrispondevano alla realtà per quanto riguarda gli attori delle minacce, tuttavia: gli utenti regolari sono visti come il principale attore di minaccia e sono effettivamente il principale attore di minaccia nella realtà.

Studio di caso: Premera Blue Cross è al centro dello scandalo della violazione dei dati

Nel 2015, il gigante delle assicurazioni sanitarie Premera Blue Cross ha rivelato che un database contenente informazioni su più di 11 milioni di clienti è stato compromesso durante una violazione avvenuta nel maggio 2014. Un dipendente dell'azienda è caduto vittima di un attacco di phishing che ha permesso agli hacker di installare malware sulla rete dell'assicuratore. In una dichiarazione pubblica, Premera ha affermato che gli aggressori potrebbero aver ottenuto accesso alle informazioni cliniche dei clienti, numeri di conto bancario, numeri di previdenza sociale, date di nascita e altro ancora.

Nell'aprile del 2014, l'Ufficio della Gestione del Personale degli Stati Uniti (OPM) ha avvertito Premera che “ha trovato numerose falle di sicurezza durante un'audizione di routine dei sistemi di Premera” solo un mese prima che l'incidente venisse rivelato. Di conseguenza, Premera Blue Cross ha affrontato una significativa causa collettiva, che sosteneva che Premera non avesse protetto adeguatamente le informazioni personali dei suoi clienti e non li avesse informati della violazione dei dati in modo tempestivo. Inoltre, secondo documenti giudiziari rivelati nel 2018, Premera è ora accusata di aver intenzionalmente distrutto un computer e registri software che avrebbero potuto fornire prove che gli hacker hanno rubato dati dai suoi sistemi dopo che la causa collettiva era stata presentata.

Interruzione del sistema

Un'interruzione di sistema (o interruzione del servizio) è il mancato funzionamento di determinati sistemi nel fornire o eseguire la loro funzione primaria per un periodo di tempo. Le cause comuni includono guasti del sistema (compresi i blackout), disastri naturali, tecniche malevole utilizzate sia da esterni che da interni (ad esempio, attacchi DDoS, sabotaggio e ransomware) e errori umani. Per le organizzazioni sanitarie, un fermo non pianificato significa che non possono funzionare efficacemente, poiché l'interruzione potrebbe influenzare ogni aspetto delle loro operazioni, dalla cura dei pazienti alle ammissioni, alla catena di approvvigionamento e oltre. Ad esempio, un'interruzione di sistema potrebbe impedire a un'organizzazione che si affida a sistemi di registrazione elettronica della salute (EHR) di registrare i pazienti, programmare appuntamenti e accedere ai risultati dei test. Le interruzioni di sistema creano anche problemi per le organizzazioni che forniscono assistenza sanitaria clinica a distanza tramite IT (telemedicina) e per le aziende farmaceutiche, che potrebbero non essere in grado di continuare la loro ricerca e quindi perdere tempo e denaro preziosi.

Ancora una volta, le aspettative non corrispondono alla realtà qui. Sebbene gli errori umani (72%) siano considerati la principale causa di interruzione del sistema, la maggior parte degli incidenti è in realtà il risultato di interruzioni di corrente (48%); gli errori umani si collocano al secondo posto (45%). E mentre le organizzazioni sanitarie incolpano gli hacker per la maggior parte delle interruzioni di sistema, riferiscono che sono i membri del team IT i responsabili della maggior parte dei veri incidenti (36%); gli hacker sono indietro al sesto posto, nominati dal 29% dei rispondenti.

Studio di caso: NHS subisce il più grande attacco ransomware di sempre

Anche se il ransomware non è stata la principale causa di interruzioni reali dei sistemi, un caso ben noto che illustra le conseguenze dell'interruzione dei sistemi nel settore sanitario è correlato al ransomware. Poiché ha colpito diversi ospedali contemporaneamente, si è scatenato un enorme clamore pubblico. L'avete indovinato — si tratta del caso WannaCry NHS nel Regno Unito.

Quando il cyberattacco WannaCry si è diffuso in tutto il mondo nel 2017, il British NHS è stato il più colpito. Ospedali e ambulatori in Inghilterra e Scozia erano tra almeno 16 organizzazioni del servizio sanitario colpite dall'attacco ransomware, che utilizzava un malware chiamato Wanna Decryptor per criptare i dati. La richiesta di pagamenti da 300 a 600 dollari per ripristinare l'accesso era il minore dei problemi — l'attacco ha causato gravi interruzioni ai programmi chirurgici nel Regno Unito. Poiché l'attacco ha interessato sistemi cruciali, inclusi i telefoni, il personale è stato costretto a tornare all'uso di penna e carta e ad utilizzare i propri cellulari per le operazioni quotidiane. Hanno anche dovuto rifiutare pazienti e annullare appuntamenti; ai pazienti è stato consigliato di cercare assistenza medica solo in caso di emergenze.

Penalità per la conformità

Le sanzioni per mancata conformità non sono esattamente un rischio IT, ma rappresentano una preoccupazione maggiore per le organizzazioni sanitarie. Gli standard di conformità diventano più rigorosi e ne emergono di nuovi regolarmente, quindi aderire a tutti i requisiti è sempre più sfidante. Le organizzazioni sanitarie devono rispettare non solo gli standard specifici per il loro settore (ad esempio, HIPAA e l'HITECH Act), ma anche standard come il PCI DSS se accettano pagamenti con carta di credito. La conseguenza più evidente della non conformità sono le ingenti multe: per esempio, le multe per violazioni dell'HIPAA possono raggiungere i $50,000, o fino a $1.5 milioni per violazioni ripetute.

Gli standard di conformità richiedono alle organizzazioni di dimostrare che le informazioni sanitarie protette (PHI) e altri dati personali di pazienti e dipendenti siano adeguatamente tutelati in ogni momento. Il nostro sondaggio ha rivelato che le organizzazioni sanitarie si considerano pronte al 74% per un controllo di conformità inaspettato. Circa un terzo (31%) delle organizzazioni afferma di prevedere un aumento del numero di dipendenti responsabili della conformità in futuro; tuttavia, altri (24%) dicono che non hanno intenzione di assumere personale aggiuntivo per le attività di conformità in futuro.

Studio di caso: Anthem accetta di pagare la più grande penale nella storia per la violazione dell'HIPAA

Nel dicembre 2014, degli hacker hanno compromesso un database di proprietà di Anthem, il secondo più grande assicuratore sanitario negli Stati Uniti. La compromissione non è stata scoperta fino al 27 gennaio 2015, dopo che un amministratore di database ha scoperto le proprie credenziali utilizzate per eseguire una query sospetta. Nel frattempo, gli hacker hanno rubato i dati di 78 milioni di membri del piano, inclusi i loro nomi, indirizzi, date di nascita, numeri di identificazione medica, informazioni sull'impiego, indirizzi email e numeri di previdenza sociale.

Nel 2018, Anthem ha accettato di pagare una multa di 16 milioni di dollari per la violazione dei dati del 2015 e di intraprendere un robusto piano di azione correttiva per affrontare le questioni di conformità scoperte dall'Office of Civil Rights (OCR) durante l'indagine. Questa multa è più che tripla rispetto all'importo del precedente record di composizione per violazione dell'HIPAA di 5,55 milioni di dollari, imposto ad Advocate Health Care nel 2016.

Riepilogo e piani futuri

I risultati del sondaggio mostrano che le aspettative delle organizzazioni sanitarie non corrispondono necessariamente alla realtà. Infatti, gli errori umani o le azioni malevole degli utenti aziendali di solito causano più danni delle infiltrazioni di malware e altre attività degli hacker.

Le violazioni dei dati sono in cima alla lista dei rischi IT che più influenzano l'industria, il che non sorprende, considerando le gravi conseguenze che le organizzazioni devono affrontare in caso di violazione dei dati. Queste possono coinvolgere cause legali, danni alla reputazione, perdita di fedeltà dei clienti, sospensione o perdita di licenza e, naturalmente, danni finanziari — lo studio del 2018 Ponemon Cost of Data Breach Study afferma che l'industria sanitaria ha il costo pro capite di violazione dei dati più alto di tutte le industrie (circa $408 per ogni record perso o rubato).

Le organizzazioni sanitarie prendono seriamente questi rischi. Prevedono di aumentare i loro investimenti in sicurezza del 141% in futuro e considerano il rilevamento degli incidenti di sicurezza come il modo principale per migliorare la cybersecurity.

Visualizza l'infografica completa con i risultati del sondaggio sui rischi IT del 2018 per il settore sanitario qui:

FAQ

Come prevenire le violazioni dei dati nel settore sanitario?

Prevenire le violazioni dei dati sanitari richiede un approccio di difesa a più livelli che inizia con la sicurezza dell'identità. La strategia più efficace combina controlli di accesso, monitoraggio continuo e pianificazione della risposta agli incidenti. Implementare i principi di least privilege access – i lavoratori sanitari dovrebbero accedere solo ai dati dei pazienti necessari per il loro ruolo specifico. Distribuire sistemi di monitoraggio in tempo reale che possono rilevare schemi di accesso insoliti, come un infermiere che improvvisamente accede a centinaia di registrazioni dei pazienti al di fuori del proprio reparto. La formazione regolare sulla consapevolezza della sicurezza è fondamentale, poiché gli errori umani contribuiscono alla maggior parte delle violazioni sanitarie. Non dimenticare le basi: gestione delle patch, crittografia dei dati a riposo e in transito e procedure di backup sicure. L'osservazione chiave che la maggior parte delle organizzazioni sanitarie trascura: prevenire le violazioni non riguarda la sicurezza perfetta – si tratta di rendere la propria organizzazione un bersaglio più difficile rispetto ai concorrenti.

Cos'è la conformità HIPAA e perché è importante?

HIPAA compliance rappresenta il quadro normativo del settore sanitario per proteggere la privacy dei pazienti e garantire la sicurezza delle informazioni sanitarie protette (PHI). È importante perché la conformità va oltre l’evitare sanzioni (che possono raggiungere milioni di dollari): la conformità HIPAA rafforza la fiducia dei pazienti, riduce la responsabilità legale e crea una cultura aziendale orientata alla sicurezza in tutta l’organizzazione. La normativa copre tre aree principali: la Privacy Rule (chi può accedere alle PHI), la Security Rule (come proteggere le PHI elettroniche), e la Breach Notification Rule (cosa fare quando qualcosa va storto). Le organizzazioni sanitarie più lungimiranti considerano l’HIPAA non come un onere, ma come un vantaggio competitivo: i pazienti scelgono sempre più spesso fornitori di cui si fidano per la gestione delle loro informazioni più sensibili.

Perché la cybersecurity è importante nel settore sanitario?

La cybersecurity nel settore sanitario è critica perché la sicurezza dei pazienti e la data privacy sono inseparabili nella medicina moderna. Quando gli attacchi informatici interrompono i sistemi ospedalieri, non compromettono solo i dati – possono ritardare trattamenti critici, annullare interventi chirurgici e costringere i reparti di emergenza a deviare i pazienti. Le organizzazioni sanitarie conservano alcuni dei dati più preziosi sul dark web: storie mediche complete, numeri di previdenza sociale, informazioni assicurative e dati finanziari, tutti in un unico posto. A differenza dei numeri di carte di credito che possono essere rapidamente annullati, il furto di identità medica può richiedere anni per essere risolto e può essere letale se i falsi record medici portano a trattamenti errati. L'ascesa dei dispositivi medici connessi e della telemedicina ha espanso esponenzialmente la superficie di attacco, rendendo la cybersecurity robusta non solo importante – è essenziale per la cura dei pazienti e la sopravvivenza organizzativa.

Quali sono i maggiori rischi nell'IT sanitario?

I maggiori rischi per l'IT nel settore sanitario combinano le tradizionali minacce informatiche con vulnerabilità specifiche del settore. Insider threat sono in cima alla lista – i lavoratori del settore sanitario con accesso legittimo che utilizzano intenzionalmente o accidentalmente i dati dei pazienti rappresentano la maggioranza degli incidenti. Gli attacchi ransomware mirati specificamente ai sistemi sanitari sono cresciuti esponenzialmente, con gli aggressori consapevoli che gli ospedali non possono permettersi tempi di inattività prolungati. Le vulnerabilità dei dispositivi medici rappresentano una minaccia emergente man mano che più dispositivi si connettono alle reti ospedaliere senza adeguati controlli di sicurezza. Gli attacchi alla catena di approvvigionamento tramite fornitori terzi offrono agli aggressori vie di accesso secondarie nelle reti sanitarie. Non trascurare il fattore umano: gli attacchi di phishing che ingannano il personale inducendolo a fornire credenziali o a scaricare malware rimangono devastantemente efficaci. Il rischio più pericoloso è la compiacenza organizzativa – assumere che buone intenzioni e conformità normativa da sole siano sufficienti a prevenire attaccanti sofisticati e motivati.

Come implementare le migliori pratiche di cybersecurity nel settore sanitario?

L'implementazione delle migliori pratiche di cybersecurity nel settore sanitario richiede di bilanciare la sicurezza con le realtà operative dell'assistenza ai pazienti. Iniziare con la gestione delle identità e degli accessi – assicurarsi che ogni utente abbia credenziali uniche e implementare l'autenticazione a più fattori su tutti i sistemi. Distribuire la segmentazione della rete per isolare i dispositivi medici critici e i sistemi di dati dei pazienti dall'infrastruttura IT generale. Stabilire un monitoraggio continuo che possa rilevare anomalie senza generare affaticamento da allerta per i team IT già impegnati. Creare piani di risposta agli incidenti specificamente adattati agli scenari sanitari dove il tempo di inattività del sistema incide direttamente sulla sicurezza dei pazienti. Le valutazioni periodiche della vulnerabilità e i test di penetrazione dovrebbero concentrarsi sia sui sistemi IT che sui dispositivi medici. Più importantemente, promuovere una cultura consapevole della sicurezza attraverso una formazione continua che aiuti il personale a comprendere come la cybersecurity sia direttamente collegata alla qualità e alla sicurezza dell'assistenza ai pazienti.