Il settore farmaceutico è un obiettivo primario per gli attacchi informatici in quanto è un’industria basata sull’innovazione con ampi investimenti in ricerca e sviluppo, proprietà intellettuale su farmaci e nuovi composti, dati clinici sui pazienti e segreti commerciali: un furto di queste informazioni potrebbe avere un impatto devastante sull’azienda. Ecco perché è importante che anche la farmacia sappia affrontare e gestire il rischio cyber.
Indice degli argomenti
Il rischio cyber in farmacia
Il panorama della cyber security è in continuo cambiamento ed evoluzione e i criminali informatici prendono sempre più di mira le aziende private.
Questo significa che avere buone strategie e pratiche di sicurezza informatica in atto è più importante che mai. Una violazione della sicurezza informatica può comportare rischi in qualsiasi azienda, compromettendo le risorse digitali di proprietà, esponendo informazioni private e, potenzialmente, danneggiando i sistemi critici su cui la vostra azienda si basa per funzionare.
Quando si verifica una violazione, richiede anche tempo ed energia per contenerla e mitigare i danni, consumando risorse, ore di lavoro e fondi che avrebbero potuto essere impiegati altrove.
I dati raccolti dalle aziende farmaceutiche, comprese le informazioni proprietarie sui farmaci brevettati, i dati relativi ai progressi e alle tecnologie farmaceutiche e le informazioni sui pazienti sono tutti incredibilmente sensibili e preziosi, il che significa che perdere il controllo su quei dati può avere conseguenze catastrofiche ed erodere la fiducia di pazienti e consumatori.
Avere una strategia completa di cyber security in atto per salvaguardare queste risorse digitali è diventata una parte essenziale dei protocolli di sicurezza di qualsiasi azienda.
Le aziende che non danno la priorità alla creazione di strategie di cyber security flessibili e complete lasciano i loro preziosi dati vulnerabili.
I cyber criminali prendono di mira le aziende farmaceutiche
Le aziende farmaceutiche e biotecnologiche sono prese di mira dai criminali informatici più frequentemente che in passato, e secondo uno studio, condotto da Deloitte, l’industria farmaceutica è ora spesso l’obiettivo numero uno dei criminali informatici in tutto il mondo, in particolare quando si tratta di furto di proprietà intellettuale.
Questo perché, man mano che queste aziende si muovono verso una maggiore digitalizzazione e l’archiviazione di dati più preziosi online, stanno diventando obiettivi più attraenti.
I dati rubati possono essere venduti sul Dark Web o riscattati da aziende disperate che fanno affidamento sulla loro proprietà intellettuale, così come sull’accesso a documenti critici come i risultati delle sperimentazioni e le informazioni sui pazienti, per continuare a funzionare.
È compito del titolare e del responsabile dei dati ex art. 32 GDPR mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio.
Le minacce di cui dovrebbe preoccuparsi la farmacia
Le farmacie fanno affidamento su diverse tecnologie vulnerabili. Questo aumenta ogni giorno man mano che le farmacie aumentano la loro dipendenza dalla tecnologia.
Analizziamo, dunque, quali sono le minacce che i farmacisti devono affrontare grazie anche allo studio di un caso reale.
Attacchi di social engineering (il nostro caso)
L’ingegneria sociale è una tecnica perpetrata dai criminali attraverso la leva delle tare.
I criminali difatti sfruttano delle emozioni, come la paura, par arrivare a carpire informazioni.
Nel nostro caso, avviene quando qualcuno cerca di manipolare il personale della farmacia per farsi dare informazioni confidenziali o personali che possono essere utilizzate per scopi non previsti.
Lo vediamo quando qualcuno visita o telefona in farmacia facendo varie domande, nel tentativo di ricevere informazioni preziose.
Una situazione recente con un nostro cliente è stata la seguente: un truffatore ha telefonato in farmacia affermando di essere “della polizia postale” e di aver bisogno di sapere se la stessa fosse stata oggetto di attacco cyber a seguito di un cambiamento di prezzo di un prodotto sull’account Amazon della farmacia. Il criminale in questo caso ha cercato un aggancio amichevole impersonificando un agente, al fine di ottenere fiducia dall’interlocutore.
Durante il mese successivo la farmacia ha subito un attacco di tipo phishing, proprio sull’account Amazon, che potrebbe essere connesso a su menzionata telefonata, la quale potrebbe rappresentare il prodromo di diversi attacchi.
Il messaggio perpetrato dall’hacker è arrivato direttamente tra i messaggi della sezione clienti, per cui al personale è risultato difficile comprenderne la provenienza. Tale messaggio informava sulla possibilità di essere sotto attacco hacker, dell’account Amazon, per cui l’account veniva “sospeso”.
Per “ovviare” a ciò l’operatore della farmacia avrebbe dovuto copiare due barre di link separate su una nuova pagina di Google al fine di approdare su una falsa facciata Amazon e dare loro i dati dell’account.
Ricordiamo che la piattaforma Amazon in caso di comunicazioni ufficiali, rende una e-mail all’account di pertinenza, oltre al fatto che non cerca di portare su nuove pagine, di far navigare all’interno della propria piattaforma.
Da quel momento, i collaboratori della farmacia hanno ricevuto varie comunicazioni classificabili come phishing.
Sta di fatto che da quel momento è scattata l’indagine interna, e la mitigazione del rischio:
- awareness del personale;
- mappatura degli asset;
- messa in sicurezza della rete;
- controllo del sito web.
Gli asset della farmacia non terminano, come abbiamo visto, solo sul piano fisico o logico di base, ma si estendono anche al web.
Tale situazione può portare al rischio di combinazione di più attacchi:
- Malware. Questi si trovano spesso sui social media, sui siti web e sulle e-mail. Il malware include worm, trojan, virus, spyware e via dicendo. Le farmacie, di solito, si infettano con il malware cliccando sui link nei social media o aprendo gli allegati nelle e-mail. Un altro luogo in cui vediamo malware nelle farmacie è quando un membro del personale sta facendo ricerche online e clicca sul link sbagliato.
- Ransomware. Questo è un software progettato per criptare i file sul tuo computer o bloccarti. L’unico modo per rimuoverlo è pagare il “riscatto” secondo il ransomware. Ma attenzione, non è detto che pagando si risolva il caso.
- E-mail. Le farmacie usano l’e-mail tutti i giorni per parlare con i pazienti, i venditori, i prescrittori e via dicendo. Tuttavia, la posta elettronica non è sicura, non importa il tuo provider. Queste spesso possono contenere allegati di virus/malware o link di phishing. È necessaria una formazione adeguata a tutto il personale della farmacia che utilizza la posta elettronica.
- Phishing. Solitamente realizzato tramite e-mail, il phishing tenta di ingannare gli utenti facendogli credere che stanno inviando informazioni a un sito sicuro. Ad esempio, gli scammer/hacker cercano di inviare i farmacisti a falsi siti web federali e statali per rubare le credenziali.
- Vishing. Questo attacco sta diventando sempre più prevalente. Con i telefoni VOIP che sono molto popolari, un hacker può falsificare l’ID del chiamante. I pazienti vengono contattati da truffatori che utilizzano l’ID chiamante delle farmacie. I truffatori chiedono ai pazienti informazioni sulla carta di credito, informazioni personali e altro. I truffatori prendono di mira i pazienti nel raggio della farmacia. Questo attacco non è mai buono per la farmacia perché i pazienti perdono la fiducia nella farmacia. Tuttavia, la farmacia non ha nulla a che fare con questo attacco.
Cosa mitigare il rischio cyber in farmacia
La cybersecurity è stata affrontata fino ad oggi da una prospettiva di risposta agli incidenti allorquando capitano.
Ciò significa che molte organizzazioni non rivedono i loro protocolli o correggono le vulnerabilità che potevano essere sfruttate fino a quando loro o un’altra azienda simile non viene presa di mira da utenti non autorizzati.
Le organizzazioni hanno bisogno di determinare cosa esattamente è stato compromesso, e cosa debba essere fatto per ripulire il casino e riparare la falla o le falle di sicurezza che sono vengono sfruttate.
Oggi per proteggere le organizzazioni bisogna partire dai diversi asset e mapparli.
Il piano fisico e logico
Una farmacia ha una serie di informazioni e tecnologie che è obbligata a proteggere:
- numero di telefono della farmacia;
- informazioni sui pazienti;
- certificato digitale per ordinare le CII.
Questi sono solo alcuni elementi da proteggere.
Una farmacia è piena di informazioni particolari e sensibili oltre al fatto che stanno diventando ancora più connessi attraverso i portali che forniscono ulteriori gateway per gli hacker per causare problemi. Mentre questi sistemi sono di solito più’ sicuri, la farmacia è ancora a rischio solo a causa dell’associazione.
Reputation
Se la farmacia è l’obiettivo della violazione la reputazione subirà un enorme colpo. Molte aziende non superano mai una violazione della sicurezza e alcune alla fine falliscono.
Le azioni di mitigazione, in questo caso, sono:
- installare un software antivirus e tenerlo aggiornarlo;
- passare a firewall/router di livello aziendale;
- fare awareness di sensibilizzazione per i membri dello staff della farmacia sulle minacce alla sicurezza (e-mail, telefoni, fax, navigazione in Internet ecc.);
- utilizzare una politica di minimo privilegio: se non è necessario accedervi, non dare l’accesso;
- isolare la rete wireless dalla rete locale;
- installare ad esempio una funzionalità di protezione dei dati integrata nei sistemi operativi sulle workstation e server;
- tenere le informazioni private della farmacia fuori dai social media;
- cercare un’assicurazione relativa alla sicurezza informatica.
Il sito web
Un sito web è un’estensione dell’attività ed il titolare dei dati ha la responsabilità di proteggerlo.
I siti web delle farmacie sono obiettivi primari per il “PharmaHack”.
Esempio: un hacker con una injection applica sui siti web delle farmacie promozioni di Viagra, Cialis e via dicendo: articoli che sono illegali da promuovere online.
Se si fa clic su di essi si viene inviati a un sito web illegale per acquistare questi articoli. Nella maggior parte dei casi se si è vittima del PharmaHack qualsiasi link sul sito web viene reindirizzato al sito illegale.
Altro esempio: il sito web ha form dove i pazienti inseriscono le informazioni della prescrizione.
Se è così, bisogna assicurarsi che il sito web sia aggiornato con gli ultimi aggiornamenti e patch. I pazienti si fidano che sito web sia sicuro quando inseriscono le loro informazioni sanitarie personali.
Le azioni di mitigazione, in questo caso, sono:
- tenere aggiornati il plugin e il CMS (WordPress, Opencart ecc.);
- installare HTTPS sul sito web in modo che i dati del sito non siano in chiaro;
- se si usa un CMS bisogna assicurarsi che sia la versione più recente;
- bisogna monitorare il sito web e bloccare i paesi indesiderati dall’accesso al sito web.
Con la tecnologia che cambia ogni giorno, ci sono nuovi hack e virus per sfruttare la stessa tecnologia. Se non si mantengono aggiornate le patch, i sistemi operativi e il firmware, si correrà sempre un rischio maggiore.
Gli svantaggi dell’approccio passivo di risposta agli incidenti
L’approccio adottato finora mostra diversi problemi per due motivi:
- Il primo si basa sul fatto che l’organizzazione aspetta di cadere vittima in modo che gli attacchi possano essere scoperti e condivisi con altre aziende e organizzazioni potenzialmente vulnerabili.
- L’altro problema ha a che fare con la tempistica dal momento che gli attacchi sono diversi tra loro, il che significa che qualsiasi soluzione derivata da questa linea di difesa è di breve durata.
Ad esempio, tutto ciò che un utente non autorizzato deve fare è riconfigurare il suo malware o acquistare un indirizzo IP diverso, e può potenzialmente riguadagnare l’accesso ai sistemi.
Questo approccio lascia l’organizzazione intrappolata in un gioco potenzialmente infinito, ignorando le debolezze sistematiche più grandi e aspettando di agire solo dopo che il danno è già stato fatto.
Rischio cyber in farmacia: un approccio proattivo
Un approccio di cybersicurezza completo, robusto e flessibile va oltre l’aggiornamento del software antivirus e l’assicurazione che tutte le patch di sicurezza aggiornate per il software siano scaricate. Mentre queste basi sono essenziali, sono solo l’inizio.
Un approccio olistico alla cybersecurity cerca di scoprire potenziali vulnerabilità prima che possano essere sfruttate, tenendosi aggiornati sulle ultime minacce alla cybersecurity e rivalutando continuamente i vostri protocolli di cybersecurity per garantire che soddisfino efficacemente le vostre esigenze.
La cybersecurity è il lavoro di tutti: ogni singolo dipendente, dal CEO fino allo stagista nella stanza del magazzino, gioca un ruolo importante.
Oltre al reparto legale che lavora con gli esperti di cybersecurity per creare e implementare le best practice a livello aziendale, i dipendenti devono capire cosa possono fare per proteggere le risorse digitali dell’azienda, come evitare di cadere in truffe di phishing o altri attacchi di cybersecurity che potrebbero esporre informazioni riservate, e a chi dovrebbero segnalare potenziali incidenti.
Gli strumenti di formazione o i pen (penetration) test giocano tutti un ruolo fondamentale nell’affinare i protocolli di cybersecurity dell’azienda farmaceutica nel salvaguardare le risorse.
Conclusioni
Le organizzazioni farmaceutiche hanno bisogno quindi di capire:
- cosa possono fare per proteggere le risorse digitali dell’azienda,
- come evitare che il personale cada in un attacco di phishing o in una truffa via e-mail che potrebbe esporre informazioni riservate, e
- le migliori pratiche da seguire nel panorama delle minacce moderne.
Tuttavia, i dipendenti non adeguatamente formati sono una sfida affrontata da molte aziende, sia all’interno che all’esterno dell’industria farmaceutica.
Gli attacchi informatici sono una minaccia senza fine, e con le organizzazioni farmaceutiche sotto i riflettori ora più che mai, devono agire per mitigare qualsiasi rischio, sia internamente che esternamente. Con la giusta strategia in atto, che include una combinazione di tecnologia, educazione e consapevolezza, le organizzazioni farmaceutiche possono implementare i passi giusti per salvaguardare le loro informazioni e mantenere la privacy dei dati.
Secondo il GDPR le organizzazioni hanno 72 ore, da quando se ne accorgono, per analizzare e comunicare al Garante della Privacy un data breach qualora i dati esposti possano ledere i diritti degli interessati, siano leggibili e non si sia di fronte ad attacchi multipli.
Nel caso in cui le imprese non mantengano gli obblighi previsti dal regolamento, il Regolamento GDPR prevede sanzioni pecuniarie fino a 10.000.000 euro o per le imprese fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore.
In particolare, sono previste le seguenti sanzioni amministrative:
- in caso di mancata o ritardata comunicazione al Garante: da 25mila a 150mila euro;
- in caso di omessa o mancata comunicazione agli utenti: da 150 euro a 1000 euro per ogni società, ente o persona interessata;
- in caso di mancata tenuta dell’inventario delle violazioni aggiornato: da 20mila a 120mila euro.
In caso di data breach, l’azienda dovrà documentare e gestire, le azioni che mette in atto per tutelare e proteggere i diritti degli interessati dimostrando al Garante di aver adottato tutte le misure di adeguamento del rispetto del regolamento, delle best practice Owasp, delle linee guida ENISAe NIST.