In sintesi
L’avanzata dell’intelligenza artificiale (IA) sta rivoluzionando lo scenario della cybersecurity, introducendo nuove e significative pressioni per le organizzazioni sanitarie. Secondo Jason Elrod, CISO di MultiCare Health System, gli strumenti emergenti basati sull’IA, come Anthropic Claude Mythos, stanno accelerando drasticamente la scoperta e lo sfruttamento delle vulnerabilità software. Questo fenomeno impone al settore sanitario un’urgente necessità di rivedere le proprie strategie di sicurezza, passando da approcci tradizionali a modelli più agili e incentrati sulla resilienza cyber.
MultiCare Health System, un’organizzazione che gestisce 300 strutture di cura primaria, d’urgenza, pediatrica e specialistica, oltre a 13 ospedali negli Stati di Washington, Idaho e Oregon, è in prima linea in questa trasformazione. Elrod sottolinea come la velocità con cui le vulnerabilità vengono ora identificate ed exploited richieda ai fornitori di servizi sanitari di abbandonare la gestione tradizionale delle vulnerabilità. L’obiettivo primario è salvaguardare le operazioni di assistenza ai pazienti, che sono intrinsecamente legate alla disponibilità e integrità dei sistemi IT e alla protezione dei dati sensibili.
Per chi tratta dati personali, e per la compliance normativa come il GDPR e potenzialmente la NIS2 per entità sanitarie, questo contesto è cruciale. L’assunto fondamentale deve ora essere che i sistemi verranno compromessi. Di conseguenza, il focus si sposta sulla limitazione dell’esposizione attraverso strategie proattive come la microsegmentazione, l’adozione di architetture zero trust e il rafforzamento dei controlli di identità. Questo cambiamento radicale comprime drasticamente i tempi di risposta: da giorni o settimane a minuti o poche ore. “Nel nuovo mondo, dal momento in cui un incidente accade, si hanno 20-30 minuti, al massimo 24 ore. La velocità è l’impatto reale,” ha affermato Elrod, evidenziando la necessità di un’agilità senza precedenti. È rilevante anche la discussione di Elrod sul significato di un proposto aggiornamento alla regola di sicurezza HIPAA di fronte a questi nuovi rischi legati all’IA, sottolineando l’importanza dell’adeguamento normativo e della protezione dei dati dei pazienti.
Le organizzazioni sanitarie, e per estensione tutte quelle che gestiscono dati sensibili, sono quindi chiamate ad adottare un mindset orientato alla presunzione di compromissione e alla rapidità di reazione. Le azioni pratiche consigliate includono l’implementazione immediata di microsegmentazione per isolare le reti, l’adozione di architetture zero trust che verificano ogni utente e dispositivo prima di concedere l’accesso, e il potenziamento dei sistemi di controllo dell’identità. Questi pilastri sono essenziali per costruire programmi di sicurezza IT e di informazione capaci di resistere alle minacce accelerate dall’IA e garantire la resilienza operativa e la conformità. — Fonte: DataBreachToday