Quando si tratta di sanità, la sicurezza informatica può letteralmente fare la differenza tra la vita e la morte. Per coordinare le cure dei pazienti, consegnare le cartelle cliniche elettroniche giuste al personale medico appropriato o proteggere le informazioni sensibili, ospedali, laboratori e altri fornitori di servizi sanitari devono rimanere online, connessi e protetti.
Ecco perché il nuovo Servizio Sanitario Nazionale (NHS) requisito che tutte le entità implementino autenticazione a più fattori (MFA) è una pietra miliare così importante. Non lo dico solo a nome della RSA: è una questione personale. Vengo dal Regno Unito e ho ancora una famiglia lì. Con l'implementazione dell'MFA, l'NHS continuerà a mantenere al sicuro le informazioni sanitarie altamente sensibili dei suoi pazienti (compresa la mia famiglia).
Una politica MFA delinea le regole e i requisiti per l'implementazione dell'autenticazione a più fattori in un'organizzazione o in un sistema. L'obiettivo è garantire che solo gli utenti autorizzati possano accedere ai sistemi o ai dati, riducendo il rischio di accessi non autorizzati, violazioni dei dati e attacchi informatici. Una politica MFA ben definita specifica quali utenti devono autenticarsi tramite più fattori, i metodi di autenticazione da utilizzare e le circostanze in cui l'MFA sarà richiesta, ad esempio per l'accesso a dati sensibili o per l'esecuzione di azioni ad alto rischio. La policy include anche linee guida sulla conformità, l'applicazione e gli aggiornamenti regolari per adattarsi alle minacce emergenti alla sicurezza.
Sebbene questa politica sia particolare per l'NHS, fa anche parte di una tendenza globale più ampia. Il nuovo requisito dell'NHS segue i mandati degli Stati Uniti di migliorare la sicurezza informatica della nazione. Allo stesso modo il NIS2 dell'Unione Europea La direttiva mira a stabilire un "elevato livello comune di sicurezza informatica" tra tutti gli Stati membri. Incidenti come Log4j, la guerra in Ucraina, e attacchi informatici sponsorizzati dallo Stato hanno messo la cybersecurity in primo piano in tutto il mondo: non è mai stato così importante per tutte le organizzazioni concentrarsi sul rafforzamento delle proprie difese. Questo è particolarmente vero per la sanità, ed è per questo che sono così incoraggiato dal fatto che l'NHS stia prendendo sul serio la cybersecurity.
Ma per un sistema così grande e complesso come l'NHS, sarà necessario un lavoro concreto per implementare l'autenticazione a più fattori in tempo per rispettare la scadenza di febbraio 2024 per dimostrare i piani di implementazione, o la scadenza di giugno 2024 per la piena conformità. Vediamo quindi perché l'MFA è importante per la cybersecurity, esaminiamo i requisiti della politica MFA dell'NHS e discutiamo le funzionalità che i trust dell'NHS, gli enti di assistenza integrata, gli enti del Dipartimento della Salute e dell'Assistenza Sociale e altri fornitori di servizi sanitari dovrebbero privilegiare.
L'autenticazione a più fattori fornisce un ulteriore livello di sicurezza che aiuta a garantire che un utente sia chi dice di essere. Invece di richiedere solo un indirizzo e-mail e una password, l'MFA richiede che gli utenti forniscano un fattore aggiuntivo, come l'inserimento di un codice di verifica, la risposta a una notifica push, l'utilizzo di una chiave di sicurezza o la fornitura di informazioni biometriche, per effettuare il login.
Aggiungere un ulteriore livello di sicurezza può avere un impatto enorme. Fornire una password e un'e-mail non è sufficiente a bloccare la maggior parte delle violazioni dei dati: il Rapporto Verizon sulle indagini sulle violazioni dei dati 2023 ha rilevato che il 74% di tutte le violazioni comporta "errore, abuso di privilegi, uso di credenziali rubate o social engineering". Il rapporto ha anche rilevato che il furto di credenziali è diventato il punto di ingresso più popolare per le violazioni" negli ultimi cinque anni.
E non si tratta solo del fatto che un maggior numero di violazioni inizia con password compromesse, ma anche del fatto che tali violazioni tendono ad avere un impatto maggiore. Il Rapporto IBM sul costo di una violazione dei dati nel 2023 ha rilevato che le violazioni iniziate con credenziali rubate o compromesse richiedono in media 308 giorni per essere rilevate e arginate, il che le rende uno dei vettori di attacco iniziale più frequenti, duraturi e costosi.
L'implementazione di una forte politica di autenticazione a più fattori (MFA) è fondamentale per salvaguardare in modo proattivo le informazioni sensibili. Con le minacce informatiche sempre più sofisticate, affidarsi alle sole password per l'autenticazione non è più sufficiente. Una politica MFA completa richiede che gli utenti verifichino la propria identità attraverso più fattori, riducendo drasticamente la probabilità di accesso non autorizzato, anche se le credenziali sono compromesse. Applicando l'MFA a tutti i punti di accesso, le organizzazioni non solo migliorano la loro posizione di sicurezza, ma si allineano anche alle best practice e ai requisiti di conformità, garantendo una solida protezione contro le minacce informatiche in evoluzione e riducendo al minimo l'impatto di potenziali violazioni.
Raccomanderei ai medici di base, agli ospedali e ai laboratori di utilizzare la politica MFA dell'NHS come un modo per affrontare la minaccia molto reale degli attacchi informatici e non considerarla come un'altra misura "da spuntare" da completare. Perché i sistemi digitali dell'NHS sono già sotto attacco:
- Nel 2023, una società di cybersicurezza ha rilevato che "milioni di dispositivi medici negli ospedali del NHS sono... completamente esposti ad attacchi ransomware da parte di bande di criminali informatici".
- Sempre nel 2023, secondo quanto riferito, il gruppo di ransomware BlackCat / ALPHV si è impossessato di 7 terabyte di dati dei pazientida Barts Health NHS Trust, uno dei maggiori gruppi ospedalieri del Regno Unito.
- Nello stesso arco di tempo, il Università di Manchester ha annunciato che "i dati del servizio sanitario nazionale di oltre un milione di pazienti sono stati compromessi".
- Nel 2022, il fornitore di servizi informatici dell'NHS Advanced ha annunciato che ci sarebbero volute "dalle tre alle quattro settimane per riprendersi completamente" dopo essere stato colpito da una attacco ransomware; quell'attacco costrinse il personale medico a prendere appunti di cura "con carta e penna" per settimane, il che a sua volta creò "sei mesi per l'elaborazione e l'inserimento" l'arretrato manuale
- Il Centro nazionale per la sicurezza informatica (NCSC) ha osservato che gli attori sponsorizzati dallo Stato "hanno preso di mira... il servizio sanitario nazionale durante l'apice della pandemia".
Potrei continuare. Che si tratti di attacchi ransomware, di compromissione di account, di social engineering o di semplice phishing, i criminali informatici cercano di mettere le mani sugli account degli utenti e sui dati dei pazienti o di interrompere le operazioni al punto da costringere gli ospedali a pagare. Perché la vita delle persone è davvero a rischio: nel 2020, i criminali informatici hanno messo fuori uso i sistemi dell'ospedale universitario di Düsseldorf, in Germania. Durante l'attacco, i medici hanno tentato di trasferire un paziente in un altro ospedale per ricevere cure. Il paziente è morto durante il trasferimento, segnando "il primo caso conosciuto di perdita di una vita" a seguito di un attacco ransomware.
RSA lavora da decenni con il settore sanitario. Quest'anno abbiamo rilasciato nuovi significativi capacità che aiuterà a mantenere sicure le cartelle cliniche elettroniche, e siamo consapevoli che la sicurezza dei sistemi medici richiede che le organizzazioni affrontino i requisiti di conformità e si rafforzino contro gli attacchi informatici.
Ritengo che la politica di MFA dell'NHS England faccia un buon lavoro nel dare priorità a un obiettivo raggiungibile: l'autenticazione a più fattori è una questione di sicurezza informatica, e la direttiva della politica secondo cui l'MFA deve "essere applicato a tutti gli accessi di utenti remoti a tutti i sistemi" e "essere applicato a tutti gli accessi di utenti privilegiati a sistemi ospitati esternamente" aiuterà a proteggere un numero significativo di utenti e casi d'uso ad alto rischio.
La necessità di un'attuazione più ampia dell'AMF
Detto questo, credo che il mandato debba andare oltre ed estendersi a tutti gli utenti. L'NHS definisce "utente privilegiato" "un amministratore di sistema o che ha funzioni legate alla sicurezza". Immagino che l'intento di proteggere innanzitutto gli amministratori sia quello di evitare che i loro account vengano compromessi e di implementare modifiche alla sicurezza a livello di sistema.
Se è così, si tratta di un primo passo ragionevole, purché non sia l'ultimo. L'arresto degli utenti privilegiati che accedono a sistemi esterni o a utenti remoti lascia ancora troppa fiducia nel sistema. I criminali informatici sono molto bravi a trovare le lacune in un sistema di sicurezza e a sfruttarle a proprio vantaggio, e lasciare l'MFA fuori dagli utenti che non hanno funzioni legate alla sicurezza o dagli utenti interni è una lacuna molto grande.
Comprendere il rischio di attacchi interni
Le organizzazioni tendono a concentrare la maggior parte delle loro difese sugli account di valore più elevato e a prepararsi a difendersi dagli attacchi esterni; questo modo di pensare non riconosce che molti attacchi progrediscono internamente dopo aver compromesso un account di livello inferiore. Pochissimi attacchi iniziano compromettendo le credenziali amministrative.
Al contrario, gli aggressori "utilizzano una serie di strumenti per attraversare il vostro ambiente e poi cambiare rotta, tra cui l'utilizzo di phishing e credenziali rubate per ottenere l'accesso e l'aggiunta di backdoor per mantenere tale accesso e sfruttare le vulnerabilità per spostarsi".
lateralmente", secondo il Verizon 2023 Data Breach Investigations Report. Sebbene gli aggressori cerchino di spostarsi gradualmente verso l'alto e di aumentare i propri privilegi, iniziano compromettendo gli account di livello inferiore e meno sicuri.
Svantaggi della politica di AMF
Inoltre, sebbene l'MFA sia fondamentale, non è una pallottola d'argento. Le organizzazioni devono avvicinarsi a fiducia zero e rendere la sicurezza una componente critica di ogni processo aziendale. Basti pensare al gruppo di hacker BlackCat / ALPHV che ha violato il Barts Health Trust: quest'autunno, lo stesso gruppo è riuscito a eludere l'MFA attraverso l'ingegneria sociale dell'Help Desk IT del Caesars Entertainment Group di Las Vegas, che, secondo quanto riferito, ha portato a una violazione del sistema informatico. $15 milioni pagamento del riscatto.
Non fraintendetemi: c'è molto da apprezzare nella politica di autenticazione a più fattori dell'NHS England. Per esempio, l'uso degli standard di settore: se gli uffici dell'NHS decidono di implementare l'autenticazione biometrica, la politica raccomanda di rivedere NIST SP 800-63B s5.2.3 e NCSC "Sistemi di riconoscimento e di autenticazione biometrica. Si tratta di documenti estremamente utili: facendo riferimento ad essi, il personale del Servizio sanitario nazionale può integrare le best practice nella propria implementazione dell'MFA.
Il Guida alla politica dell'NHS England in materia di AMF dà inoltre priorità al pragmatismo e alla flessibilità, osservando che "tutti gli approcci tecnici all'AMF sono attualmente consentiti" e che le organizzazioni non dovrebbero cercare di trovare una soluzione "ideale": "piuttosto si dovrebbe implementare ciò che è fattibile e migliorarlo nel tempo". L'NHS afferma che le organizzazioni "dovrebbero scegliere un fattore, o più probabilmente più fattori, in base alle circostanze delle vostre organizzazioni e dei vostri utenti".
Questo approccio - non lasciare che la perfezione sia nemica del bene e migliorare l'MFA nel tempo - è eccellente. Molto probabilmente, le organizzazioni del Servizio Sanitario Nazionale dovranno supportare più gruppi di utenti che lavorano in più ambienti. Inoltre, avranno bisogno di una politica MFA in grado di adattarsi a nuovi gruppi di utenti e a nuovi ambienti, man mano che le esigenze dell'organizzazione si evolvono.
A tal fine, è essenziale che l'NHS dia priorità a soluzioni che supportino una serie di metodi MFA e che siano in grado di estendersi ad ambienti on-premise, multi-cloud e ibridi. Il personale dell'NHS può provare ID Plus per 45 giorni per vedere all'opera queste capacità.
