HIN Academy: perché un solo clic sbagliato può avere conseguenze fatali

Immaginate di arrivare nel vostro studio una mattina, avviare il computer – e vedere che tutti i vostri dati sono crittografati. Non potete controllare gli appuntamenti del giorno nel calendario, né accedere alle informazioni o alla cartella clinica dei vostri pazienti… Questo scenario horror può davvero concretizzarsi quando uno studio medico è vittima di un attacco informatico. E perché succeda è sufficiente un solo clic su un link in una mail di phishing. O scaricare un allegato infetto. O, ancora, visitare un sito web corrotto.

« Perché un attacco informatico riesca è sufficiente un solo clic su un link in una mail di phishing. »

Gli attacchi informatici interessano anche gli studi medici

Gli attacchi informatici sono in costante aumento: nel 2021, il Centro nazionale per la cibersicurezza (NCSC) ha ricevuto più del doppio di segnalazioni di attacchi informatici rispetto all’anno precedente, vale a dire oltre 21’000 segnalazioni¹. Anche gli studi medici non sono risparmiati dagli attacchi, come indicato dalla FMH2. In genere non sembra vengano selezionati sistematicamente, ma siano piuttosto «vittime casuali», per esempio di ransomware, un trojan di crittografia².Il fatto è che gli attacchi informatici possono interessare chiunque. E proprio negli studi medici e negli ospedali, con i loro dati sensibili dei pazienti, possono avere conseguenze fatali. Oltre alle numerose difficoltà che nascono nel caso in cui medici e ASM non riescano più ad accedere alle informazioni dei pazienti e agli appuntamenti, possono anche causare violazioni del segreto professionale e della protezione dei dati, ad esempio se i criminali informatici pubblicano i dati rubati nel dark web.

Proteggete il vostro studio medico

Non siamo affatto alla mercé dei criminali informatici. Possiamo proteggere da un lato il nostro studio medico o la nostra istituzione attraverso misure tecniche, ad esempio proteggendo tutti i dispositivi di lavoro con un firewall e uno scanner antivirus. La FMH fornisce informazioni utili sulla sua pagina web sulla protezione di base IT. Tuttavia, le misure tecniche da sole non sono sufficienti. Perché la migliore infrastruttura può fare poco se i suoi utenti si comportano in modo incauto. E la realtà è che la maggior parte degli attacchi informatici inizia con una persona che fa un clic incauto…

« Neanche l’infrastruttura informatica più sicura può bastare da sola se i suoi utenti offrono una porta di accesso ai criminali informatici.»

La conoscenza da sola non basta

Ormai sappiamo tutti che non bisogna cliccare sui link di e-mail sospette – eppure gli attacchi informatici continuano ad andare a buon fine. Infatti, per proteggere nel modo migliore possibile uno studio medico o un’istituzione dagli attacchi non è sufficiente una conoscenza superficiale dei collaboratori o un semplice trasferimento di nozioni. È utile piuttosto che ogni persona sia sempre consapevole dei pericoli della criminalità informatica nella quotidianità lavorativa. Infatti, da un lato il comportamento di una persona dipende, oltre che dalle sue conoscenze, anche dal suo atteggiamento, ad esempio da quanto consideri importante il tema della sicurezza informatica. Dall’altro lato esistono molte circostanze e fattori di distrazione che mettono in secondo piano le conoscenze non profondamente ancorate nel proprio atteggiamento.

Esempio: il potere della situazione

Il medico di famiglia Anna Muster sta scrivendo un referto; tra cinque minuti la aspetta la sua prossima paziente. Sfortunatamente, proprio in questo momento la chiama la figlia, che ha paura dell’esame di matematica che farà nel pomeriggio. E, come se non bastasse, entra di corsa anche l’ASM di Anna, dicendo che l’assicurazione di un paziente ha scritto un’e-mail perché ha bisogno di ulteriori informazioni. Pare sia molto urgente. Mentre Anna ascolta al telefono la figlia preoccupata, legge velocemente il testo dell’e-mail inoltrata dalla sua ASM, non capisce bene. Clicca sul link che promette maggiori informazioni. E così è fatta.

« Chiunque, con il proprio comportamento, può contribuire a proteggere il proprio studio medico dagli attacchi informatici. Per farlo è però necessario essere sempre consapevoli dei pericoli nella quotidianità lavorativa.»

La chiave è la consapevolezza

La HIN Academy non mira semplicemente a trasferire nozioni, quanto piuttosto a promuovere una consapevolezza a lungo termine sui rischi della criminalità informatica nella quotidianità lavorativa dello studio. Questa consapevolezza, o «Awareness», dovrebbe essere saldamente ancorata nell’atteggiamento dei professionisti della salute: questo è il nostro obiettivo. Dovrebbe essere così fissata in profondità nella mente, da far sì che l’attenzione per la sicurezza informatica accompagni costantemente la quotidianità lavorativa. E che una sana dose di sfiducia sia sempre presente.Tutto questo si ottiene evidenziando la rilevanza personale per ciascun individuo e utilizzando esempi pratici tratti dalla quotidianità di studi medici o istituzioni del settore sanitario, per dimostrare chiaramente di quali insidie devono essere consapevoli i professionisti della salute.

Agite subito

Gli attacchi informatici possono colpire chiunque – non solo gli altri. Un singolo clic incauto in particolari circostanze può paralizzare un intero studio medico per alcune ore o persino per giorni. Ciò non significa tuttavia che siete alla mercé dei criminali informatici. Chiunque infatti, con il proprio comportamento, può contribuire a proteggere se stesso e il proprio studio medico. Proteggere voi stessi, il vostro studio medico e i dati dei vostri pazienti dipende da voi. Attrezzatevi oggi stesso contro i pericoli della criminalità informatica: formatevi e formate i vostri collaboratori con i corsi di formazione Awareness HIN. La HIN Academy offre corsi di formazione online per singoli individui e corsi specifici per interi studi medici o istituzioni.> Ulteriori informazioni sulla HIN Academy> Prenotare un corso di formazione online> Consulenza formazione individuale per il mio studio medico¹ Fonte: Retrospettiva della settimana 52/2021 del Centro nazionale per la cibersicurezza NCSC.² Fonte: Medical Tribune del 16 marzo 2022.