Sicurezza informatica – passo dopo passo

Le pazienti e i pazienti affidano ai propri medici informazioni sensibili sulla propria persona e sulla propria salute, confidando di trovarsi in mani sicure. Questo aspetto deve essere preso in considerazione. La sicurezza dei dati e una protezione di base IT affidabile sono quindi fondamentali negli studi medici e nelle istituzioni operanti nel campo della salute, in quanto la sensibilità dei dati trattati nel settore sanitario rende quest’ultimo un bersaglio appetibile per i criminali informatici. Disponete di un piano di protezione informatica per il vostro studio medico?

La sicurezza informatica è più semplice di quanto sembri

«Protezione di base IT» può spaventare come termine ma è più semplice di quanto sembri. Molte cose possono essere messe in pratica autonomamente senza grandi competenze informatiche.  In questo articolo vi spieghiamo come – con semplici passaggi.Nella prima parte di questa serie ci siamo concentrati sulle tematiche «inventario IT» e «backup» (si veda «Mettere autonomamente in pratica la protezione di base IT #1: inventario IT e strategia di backup»). Oggi vi spieghiamo come proteggere la vostra rete e i vostri computer.

Rete: porta d’accesso per malware

In informatica, il termine «rete» indica la connessione di almeno due sistemi informatici: via cavo o in modalità wireless tramite un collegamento radio. Ad esempio computer, notebook, stampanti e altri dispositivi sono collegati a Internet tramite router – una sorta di nodo centrale – e quindi in rete tra loro. Le reti possono essere strutturate in modo diverso ma hanno una cosa in comune: devono essere ottimamente protette. Se l’accesso non è protetto, terze parti non autorizzate come, ad esempio, hacker criminali possono accedere alla rete, intercettare le comunicazioni o rubare dati.

Innanzitutto va verificata la sicurezza dell’accesso alla propria rete. In molti casi, gli studi medici utilizzano per l’accesso a Internet un router NAT, ricevuto dal proprio provider (ad esempio Swisscom, UPC, Sunrise). Si tratta già di una buona soluzione poiché i router NAT utilizzati oggi offrono una base sicura. Accertatevi tuttavia di configurare il vostro router seguendo in toto le istruzioni del vostro provider e di cambiare la password iniziale con una password sicura di vostra scelta. È inoltre importante configurare la crittografia WPA2 o WPA3 e una chiave di rete WLAN di non facile identificazione se si attiva il WLAN sul proprio router.Chi desidera proteggere ancora meglio l’accesso alla propria rete può usare un firewall. Rivolgetevi a tale proposito a uno specialista informatico.

Passo 2: Proteggere i computer

Ogni singolo dipendente del vostro studio medico può accedere a Internet dalla propria postazione di lavoro, leggere e-mail, cliccare su link ecc. Pertanto, ogni singolo dispositivo è esposto a software dannosi – e deve essere protetto di conseguenza. Se un computer viene infettato da malware, i dati ivi memorizzati non sono più al sicuro e gli aggressori possono sfruttare tale falla per attaccare anche altri computer dello studio medico.Create innanzitutto un inventario di tutti i computer collegati alla rete. Solo chi conosce tutte le possibili falle può attrezzarsi per prevenirle. Per compilare l’inventario abbiamo creato un modello Excel che può essere scaricato al link www.hin.ch/inventario.  Nella scheda «Hardware» si inseriscono tutti i dispositivi utilizzati nello studio medico, mentre le colonne «Sistema operativo» e «Antivirus» sono quelle maggiormente rilevanti per noi. Nella scheda «Software» inserite le applicazioni installate su ciascun dispositivo e la relativa versione utilizzata. L’inventario deve essere aggiornato regolarmente.

Passo 3: Definire le misure di protezione

Di seguito troverete importanti misure di protezione che possono essere adottate negli studi medici con un dispendio ridotto.Misure di sicurezza del sistema operativoI moderni sistemi operativi di computer e notebook dispongono di misure di protezione preinstallate. Accertatevi che siano attivate.Aggiornamento del sistema operativoSu ogni dispositivo deve sempre essere installato il più recente sistema operativo disponibile per chiudere eventuali falle di sicurezza emerse. L’inventario creato vi aiuta ad avere una visione d’insieme dei sistemi operativi di tutti i vostri dispositivi. Sarebbe ottimale configurare i dispositivi in modo tale che gli aggiornamenti dei sistemi operativi vengano installati automaticamente e tempestivamente. In questa maniera, il dispositivo visualizza i possibili aggiornamenti disponibili consentendo a voi o ai vostri dipendenti di installarli.Scegliete con cura il softwareInstallate sui vostri dispositivi solo il software proveniente da fonti affidabili che vi serve effettivamente per lavorare. I programmi o i giochi usati privatamente non vanno installati sui computer dello studio medico. Inoltre, l’aggiornamento è importante anche per quanto riguarda il software in quanto contribuisce a eliminare eventuali punti deboli: installate sempre le versioni più recenti ed eseguite tempestivamente gli aggiornamenti disponibili.Proteggete i dispositivi con scanner antivirusOgni dispositivo deve essere protetto con un programma antivirus aggiornato. Con i dispositivi Windows potete stare tranquilli: è installato uno scanner antivirus sufficientemente sicuro, a condizione che il dispositivo sia configurato come previsto dal produttore. Per i dispositivi Mac è necessario uno scanner antivirus aggiuntivo poiché, oggi, anche i dispositivi Mac lo necessitano rispetto al passato. Nell’inventario creato in precedenza, la colonna «Protezione antivirus» nella scheda «Hardware» vi aiuta a mantenere una visione d’insieme.Non state ancora usando uno scanner antivirus? I membri HIN possono utilizzare il programma antivirus HIN Endpoint Security senza costi aggiuntivi. Maggiori dettagliI programmi antivirus devono essere configurati in modo da scansionare tutti i file all’accesso e scaricare regolarmente dal produttore gli aggiornamenti delle firme dei virus. Il programma antivirus dovrebbe effettuare regolarmente una scansione completa (full scan) dei computer. Inoltre, gli utenti dei dispositivi non devono avere la possibilità di disattivare il programma antivirus.Password sicureTutti i dispositivi devono essere protetti con una password d’accesso sicura – si veda la Infobox. Se l’utente abbandona la propria postazione di lavoro, anche solo per due minuti per andare a prendere un caffè, deve bloccare lo schermo. Le password di non facile identificazione sono indispensabili per tutti gli account utente su Internet. Programmi di gestione delle password come Keepass, 1Passwort o NordPass sono utili per memorizzare in modo sicuro le password sul computer fisso o sul computer portatile. Importante: la password più sicura è inutile se viene annotata su un post-it accanto al computer!

Base solida ed espandibile

Mettendo in pratica questi suggerimenti getterete una solida base per proteggere la rete e i computer del vostro studio medico. Non si può negare che inizialmente ciò richieda tempo e impegno. Ma ne vale la pena perché chi prende le dovute precauzioni riduce il rischio di attacchi informatici, perdita di dati e, nel peggiore dei casi, perdita di fiducia da parte delle pazienti e dei pazienti. Oltre ai nostri suggerimenti esistono molti altri modi per migliorare la sicurezza informatica del vostro studio medico. Se desiderate fare ancora di più vi consigliamo di consultare un esperto di informatica.

Ulteriori informazioni

• Al link www.hin.ch/inventario mettiamo a disposizione un modello d’inventario sotto forma di file Excel scaricabile.
• L’articolo del Blog «Mettere autonomamente in pratica la protezione di base IT #1: inventario IT e strategia di backup» offre consigli utili sulla protezione di base IT.
• Il programma antivirus HIN Endpoint Security è incluso nell’adesione a HIN.
• Nella pagina d’assistenza HIN sono disponibili informazioni sulla protezione contro software dannosi.
• La FMH ha pubblicato sul proprio sito web i Requisiti minimi per la protezione di base IT per assistenti di studio medico e medici titolari di studio.