Conserva e proteggi i tuoi dati sensibili con SafeDox Namirial

Dati sensibili e sanità italiana: crescono gli attacchi informatici

Le strutture healthcare sono nel mirino dei cyber criminali in tutto il mondo e le aziende sanitarie italiane non fanno eccezione: basti pensare agli attacchi registrati nelle prime settimane del 2022 ai danni dell’ASL Napoli 3 Sud, colpita da un attacco hacker del gruppo Sabbath che ha diffuso un sample da 1,5 GB di dati sensibili, e dell’ULSS 6 Euganea di Padova, vittima del gruppo criminale informatico Lockbit 2.0.

Nel secondo trimestre del 2022 anche i sistemi informatici dell’ASST Fatebenefratelli Sacco, azienda che gestisce gli ospedali milanesi Sacco, Fatebenefratelli, Macedonio Melloni e Buzzi, oltre a varie strutture sociosanitarie territoriali, sono stati presi di mira dalla cyber gang Vice Society. I software di gestione aziendale sono stati colpiti da un attacco Ransomware che ha causato disagi e rallentamenti, costringendo medici e personale sanitario a utilizzare la modulistica cartacea per registrare pazienti, cure e medicinali.

L’Italia è il quarto paese al mondo ad aver subito più attacchi informatici alle strutture sanitarie negli ultimi mesi del 2021 e nei primi cinque del 2022. Anche i dati del Rapporto Clusit 2022 confermano che gli attacchi informatici a danno del sistema sanitario sono in crescita (13% del totale, in crescita del 24,8% rispetto ai dodici mesi precedenti). 

È quindi chiaro che per le aziende sanitarie è ormai diventata una priorità proteggere i dati sensibili privacy ed evitare che finiscano nel dark web anche perché la violazione dei dati personali (Data Breach) rappresenta un costo importante che, secondo la ricerca Cost of a data breach 2022 del Ponemon Institute, per il settore si aggira intorno ai 10,1 milione di dollari.

Ma perché le strutture sanitarie sono sotto costante attacco cyber? La risposta è semplice: una volta sottratti, i dati sensibili vengono rivenduti sul mercato nero. Una cartella clinica, ad esempio, può arrivare valere anche 1.000 dollari in base alle informazioni che contiene. 

Nel 2013, come riportato in un recente articolo di Agenda Digitale, il Financial Times rendeva di pubblico utilizzo un calcolatore online capace di elaborare, in base ai campi contrassegnati, il valore economico dei dati sanitari inseriti. Significativi sono gli esempi riportati da Agenda Digitale: nel 2013 i dati di una donna incinta affetta da asma valevano poco meno di due dollari, mentre quelli di un cardiopatico cinquanta centesimi e quelli di un diabetico circa trenta. Oggi, queste informazioni possono valere fino a 250 dollari sul dark web.

I livelli di classificazione dei dati e dei servizi secondo l’ACN

Per garantire il controllo sui dati, aumentare la resilienza dei servizi digitali e assicurare l’autonomia tecnologica del paese, in coerenza con gli obiettivi del Piano Nazionale di Ripresa e Resilienza, l’Agenzia per la Cybersicurezza Nazionale (ACN), insieme al Dipartimento per la trasformazione digitale, ha individuato tre livelli di classificazione dei dati e dei servizi:

1. Strategico: servizi la cui compromissione può avere un impatto sulla sicurezza nazionale;
2. Critico: servizi la cui compromissione può determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese;
3. Ordinario: servizi la cui compromissione non provochi un pregiudizio per il benessere economico e sociale del Paese.

La classificazione è stata definita all’interno della Strategia Cloud Italia che mira a favorire l’adozione sicura, controllata e completa delle tecnologie cloud da parte del settore pubblico, in linea con i principi di tutela della privacy e con le raccomandazioni delle istituzioni europee e nazionali. L’obiettivo è rendere più affidabili e sicure le infrastrutture digitali per consentire alla Pubblica Amministrazione di rispondere in maniera organizzata alle minacce informatiche, garantendo continuità e qualità nella fruizione di dati e servizi.

Quali sono i dati sensibili GDPR? 

Con l’entrata in vigore del GDPR (General Data Protection Regulation), ufficialmente Regolamento UE 2016/679, i dati sensibili sono diventati dati particolari, sottoinsieme della più ampia categoria dei dati personali. 

I dati particolari sono disciplinati dall’art. 9 paragrafo 1, in cui rientrano informazioni sull’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati relativi alla vita sessuale o all’orientamento sessuale della persona, nonché:

• Dati genetici: ereditati o acquisiti, ottenuti tramite analisi di DNA ed RNA da un campione biologico della persona fisica in questione;
• Dati biometrici: come l’immagine facciale, grazie ai quali è possibile identificare una ed una sola persona fisica;
• Dati sulla salute: sia fisica che mentale, passata, presente o futura, ma anche informazioni su servizi di assistenza sanitaria, laddove presenti, indipendentemente dalla fonte, quale, ad esempio, un medico.

L’articolo 10, invece, disciplina il trattamento dei dati personali relativi a condanne penali o reati che deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati.

Naturalmente la protezione dei dati sensibili non vale solo per il mondo sanitario, ma interessa anche aziende e professionisti che devono adottare misure tecniche e organizzative per proteggere i dati particolari delle persone fisiche. Va infatti ricordato che la normativa presuppone importanti implicazioni per la privacy dei dati, ma anche diverse disposizioni che riguardano specificamente la sicurezza dei dati (Art. 32, par 1, lettera d: obbligo per le società di attuare processi per “valutare l’efficacia della sicurezza del trattamento”).

SafeDox Namirial: la soluzione per mettere al sicuro i tuoi dati 

Se ti occupi di gestione di documenti sanitari, documentazione legata al personale, atti giudiziari, notarili e qualsiasi altro tipo di documentazione per la quale è necessario di adottare delle misure di sicurezza avanzate, SafeDox di Namirial è la soluzione che risponde alle tue esigenze.

SafeDox ti permette di conservare a norma documenti contenenti dati sensibili, attraverso l’utilizzo di una tecnologia che definisce un processo di cifratura delle informazioni con livelli di sicurezza elevati. 

Ecco che cosa rende unico SafeDox di Namirial:

• Documenti cifrati: i documenti sono cifrati con standard di crittografia a livello avanzato (Advanced Encryption Standard AES-256);
• Prevenzione e controllo degli accessi non autorizzati: grazie a Multi Factor Authentication, (il sistema semplice di Strong Authentication MyNamirial) l’accesso all’interfaccia di consultazione è protetto da un’autenticazione a due fattori, che garantisce un più elevato standard di sicurezza;
• Profilazione degli accessi: i documenti memorizzati nei sistemi Namirial potranno essere decifrati (e quindi consultati) solo dall’utente riconosciuto;
• Privacy e GDPR: la soluzione è conforme al Regolamento UE 2016/679 GDPR;
• Controllo del flusso dati: tramite una dashboard di controllo sarà possibile verificare lo stato dei pacchetti versati al sistema di conservazione;
• Integrabilità: Namirial mette a disposizione le API pubbliche per il sistema ecrypto ed LTA, che consentono sia di personalizzare la propria soluzione che di evitare installazioni in locale;
• Canale sicuro di trasferimento dati: documenti cifrati vengono trasmessi al sistema di Conservazione Namirial LegalSolutionDOC® tramite un apposito canale protetto;
• Conservazione: i dati saranno successivamente processati per una conservazione a norma in apposita area dedicata ai documenti cifrati;
• Log e tracciamento delle operazioni: ogni singolo accesso, ricerca e richiesta dei documenti è tracciato tramite log. 

Quindi, ricapitolando, ecco quali sono le principali funzionalità di SafeDox:

• Cifra i documenti e li rende inaccessibili ai non autorizzati;
• Conserva in totale sicurezza i documenti contenenti dati sensibili;
• Conserva i metadati in modalità̀ crittografata (data masking);
• Consente l’accesso tramite autenticazione a due fattori;
• Permette la consultazione dei documenti solo a chi ha i diritti per visualizzarli.