In sintesi
AdaptHealth, un'azienda di apparecchiature mediche, ha subito un attacco informatico tramite social engineering che ha permesso ai criminali di accedere ai sistemi cloud e rubare dati sensibili dei pazienti. L'attacco ha compromesso sistemi interni di gestione dei pazienti, piattaforme di archiviazione e portali di cartelle cliniche elettroniche. La breccia è avvenuta attraverso un fornitore terzo inconsapevole. L'azienda ha attivato i protocolli di risposta all'incidente dopo essere stata contattata dagli attaccanti il 15 giugno.
Contesto
AdaptHealth, un'azienda di apparecchiature mediche, ha rivelato alla Securities and Exchange Commission (SEC) di aver subito un attacco informatico. Gli attaccanti hanno utilizzato tecniche di social engineering per infiltrarsi nei sistemi aziendali e sottrarre dati sensibili dei pazienti, incluse password correlate alla fatturazione assicurativa. L'intrusione ha coinvolto sistemi interni di gestione dei pazienti, piattaforme di archiviazione documenti e portali esterni di sistemi di cartelle cliniche elettroniche. L'attacco è stato condotto prendendo di mira un fornitore terzo inconsapevole. Attraverso questo canale, i criminali hanno ottenuto l'accesso all'ambiente cloud dell'azienda, dove risiedevano applicazioni contenenti i dati sensibili. AdaptHealth ha attivato i propri protocolli di risposta all'incidente subito dopo essere stata contattata dagli aggressori il 15 giugno, data in cui hanno rivelato il furto.
Perché conta
L'incidente di AdaptHealth sottolinea l'importanza cruciale della sicurezza informatica e della gestione del rischio per le organizzazioni che trattano dati sensibili, specialmente nel settore sanitario. La violazione di dati personali, in particolare di informazioni sanitarie che rientrano nelle categorie speciali di dati ai sensi del GDPR (Art. 9), comporta severi obblighi di notifica alle autorità di controllo e, se necessario, agli interessati (Art. 33, 34). L'uso del social engineering evidenzia la persistente vulnerabilità umana, richiedendo una formazione e sensibilizzazione costanti del personale. Inoltre, la compromissione attraverso un fornitore terzo mette in luce la necessità di una robusta gestione della supply chain e della sicurezza dei fornitori, come richiesto dall'Art. 21 paragrafo 2 lettera g della Direttiva NIS2 e da controlli specifici della ISO 27001 (es. A.5.17). La tempestiva attivazione dei protocolli di risposta all'incidente è fondamentale per mitigare i danni e dimostrare diligenza.
Cosa fare
- Attivare tempestivamente i protocolli di risposta agli incidenti in caso di sospetta violazione.
- Rafforzare la formazione del personale sulle tecniche di social engineering per mitigare la vulnerabilità umana.
- Implementare robuste misure di sicurezza e gestione del rischio per i fornitori terzi che hanno accesso ai sistemi aziendali.
- Assicurare la protezione adeguata di sistemi cloud, piattaforme di gestione dei documenti e portali EHR contenenti dati sensibili.
- Adempiere agli obblighi di notifica alle autorità competenti e, se del caso, agli interessati in seguito a una violazione.
Cosa evitare
- Evitare di trascurare la formazione del personale sulle minacce di social engineering.
- Non sottovalutare i rischi di sicurezza derivanti dai fornitori terzi con accesso ai sistemi aziendali.
- Evitare ritardi nell'attivazione dei piani di risposta agli incidenti una volta rilevata una violazione.
- Non conservare password o dati sensibili in ambienti non adeguatamente protetti.
Implicazioni pratiche
L'incidente dimostra che anche aziende con protocolli di risposta attivati possono essere bersaglio efficace di attacchi complessi che sfruttano la catena di fornitura e le vulnerabilità umane. Le implicazioni riguardano la reputazione, le sanzioni regolamentari e la fiducia dei clienti, specialmente nel settore sanitario dove la protezione dei dati è critica.
Azioni da fare
- Revisionare e testare periodicamente i piani di risposta agli incidenti.
- Condurre audit approfonditi sulla sicurezza dei fornitori terzi che gestiscono o accedono a dati sensibili.
- Implementare programmi di formazione continua per i dipendenti sulle ultime tecniche di attacco, come il social engineering.
- Valutare l'architettura di sicurezza per i sistemi cloud e i portali esterni contenenti dati sanitari.
Errori da evitare
- Assumere che i sistemi cloud siano intrinsecamente sicuri senza adeguate configurazioni e controlli.
- Ignorare i segnali di allarme o le richieste insolite che potrebbero indicare un tentativo di social engineering.
- Non aggiornare regolarmente le valutazioni del rischio relative alla supply chain.
Domande di self-assessment
- La nostra organizzazione ha procedure chiare e testate per la gestione degli incidenti di sicurezza?
- Il nostro personale è adeguatamente formato e consapevole dei rischi di social engineering?
- Come gestiamo e monitoriamo la sicurezza dei dati trattati dai nostri fornitori terzi?
- I nostri sistemi cloud e i portali esterni che contengono dati sensibili sono protetti con controlli di sicurezza adeguati e aggiornati?
- Siamo in grado di identificare rapidamente accessi non autorizzati o attività sospette sui nostri sistemi?
Riferimenti
Normativa nazionale: Regolamento Generale sulla Protezione dei Dati (GDPR) Art. 9, Art. 28, Art. 32, Art. 33, Art. 34 · Direttiva NIS2 (UE 2022/2555) Art. 21, Art. 23 · ISO/IEC 27001
Leggi l'articolo originale su DataBreaches.net ↗
