Insieme alla finanza e alle assicurazioni, l'industria farmaceutica è uno dei settori finanziariamente forti dell'economia. Considerando le grandi somme di denaro investite nella ricerca di nuovi farmaci, è ancora più importante proteggere tutti i dati da terzi non autorizzati. Devono essere attuate misure sia tecniche che organizzative. Le misure tecniche includono la messa in sicurezza delle reti con un'infrastruttura IT adeguata o firewall. Le misure organizzative includono la documentazione e la formazione dei dipendenti.
Il rapporto 2021 sullo stato dei prodotti farmaceutici e la sicurezza informatica1 di Fortinet scopre che un'industria sta rapidamente perdendo la corsa per assicurare e proteggere la proprietà intellettuale, la continuità aziendale e i dati mission-critical. Il 98% delle aziende farmaceutiche intervistate ha subito almeno una violazione. E circa la metà delle aziende intervistate ha subito da tre a cinque attacchi nell'ultimo anno (2020).
La sicurezza informatica nell'ambiente GMP come sfida speciale.
L'ambiente GMP, particolarmente regolamentato, non facilita esattamente la sicurezza informatica. Per esempio, non si possono fare modifiche non documentate ai sistemi. E anche l'installazione degli aggiornamenti deve essere basata su un concetto, che di solito si basa su documenti come analisi dei rischi, attrezzature e liste di software. Tutti gli sforzi risultano poi in (almeno) un'istruzione di lavoro che descrive in scenari chiaramente definiti come e quando gli aggiornamenti possono essere applicati a quali sistemi. Inoltre, vengono effettuate revisioni regolari della documentazione e degli audit trail.
I metodi degli aggressori si evolvono di conseguenza, incorporando gli attuali meccanismi di protezione. Per questo motivo, la sicurezza informatica nell'azienda richiede un sistema che si evolve anche e che è soggetto a un processo di ciclo di vita. La sicurezza informatica non dovrebbe quindi assolutamente essere intesa dalle aziende e dai dipendenti come un requisito aggiuntivo. Piuttosto, deve essere parte della routine quotidiana di un IT regolamentato. Questo include anche la sensibilizzazione di tutti i dipendenti sull'argomento.
Un sistema di gestione della sicurezza delle informazioni (ISMS) è quindi essenziale.
Proteggere i dati è una faccia della medaglia, l'altra è assicurare la riservatezza, la disponibilità e l'integrità dei dati. Le regole, gli strumenti e i processi necessari sono definiti nel sistema di gestione della sicurezza delle informazioni.
L'implementazione degli standard di sicurezza e il relativo rispetto della governance nell'azienda, così come la minimizzazione dei rischi attraverso l'uso di metodi orientati ai processi, ha successo solo se i seguenti componenti sono incorporati nell'ISMS:
- Misure tecniche
- Misure organizzative
- Concetto di sicurezza informatica
- Processo del ciclo di vita
Il processo del ciclo di vita (processo di miglioramento continuo) è parte integrante del sistema di gestione della sicurezza delle informazioni. La sicurezza consiste in un mix di tecnologia, misure, personale e processi. Ma anche la formazione e la sensibilizzazione sui temi della sicurezza informatica e della sicurezza delle informazioni giocano un ruolo importante nel contesto di un processo olistico.
Questo significa che dovreste fare un audit e controllarvi regolarmente.
Un attacco può perseguire diversi obiettivi.
Un attacco può avere diversi obiettivi e quindi diversi effetti. Inoltre, un attacco può perseguire diversi obiettivi in parallelo:
Obiettivo | Impatto |
|---|---|
Cancellare i dati |
|
Manipolare i dati |
|
Spiare i dati |
|
Diffusione di Misinformation |
|
Tab. 1: Obiettivi ed effetti dell'attacco.
La cancellazione dei dati.
La cancellazione dei dati è fondamentale nell'ambiente GMP. Anni di investimenti in studi e documentazione completa costituiscono la spina dorsale dell'approvazione di un prodotto. Se gli aggressori cancellano i dati e il processo deve essere ricominciato da capo, un'azienda può raggiungere rapidamente i suoi limiti finanziari. Se i prodotti sono già sul mercato, ma la qualità del processo di produzione non può essere tracciata, questo può portare a costosi ritiri di prodotti. La violazione dei requisiti normativi porta automaticamente alla non conformità, che può tradursi rapidamente in lettere di avvertimento da parte della FDA e in una grave perdita di reputazione.
La manipolazione dei dati.
Il pericolo potenziale della manipolazione dei dati è ancora più alto della cancellazione dei dati. La cancellazione dei dati viene generalmente notata più rapidamente della manipolazione. I dati cancellati non significano che la qualità del prodotto sia poi scarsa. Tuttavia, la manipolazione dei dati può avere un impatto molto forte sulla qualità del prodotto. Questo può arrivare a mettere in pericolo la sicurezza dei pazienti.
Spiare i dati e diffondere informazioni false.
Spiare i dati e diffondere informazioni false ha più probabilità di causare danni economici all'azienda e danneggiare la sua reputazione. Anche qui, la gravità dell'attacco in combinazione con l'interesse dei media e il livello di consapevolezza dell'azienda può portare all'insolvenza.
Attività.
Il gruppo di risorse definisce quali dati devono essere protetti. Questi possono essere documenti, rapporti, foto, ma anche informazioni di password o dati di carte di credito.
Quando si scelgono i beni, le seguenti domande sono utili:
- Quali dati sono più riservati per voi? Non tutti i dati sono ugualmente riservati. Lavorare con livelli di riservatezza. A seconda del livello, viene definito lo sforzo di protezione.
- Quali dati non devono essere persi in nessun caso?
Creare categorie e valutarle. I dati che non devono essere persi possono trovarsi nel business/management, nel laboratorio, nell'area di ricerca o anche nella produzione.
- Cosa causerebbe più danni?
Definire gli scenari di danno e suddividerli per esempio in base alla probabilità di accadimento, alla probabilità di rilevamento, all'impatto su diverse aree e alla criticità. Prestare attenzione a una valutazione legata ai dati. Il danno maggiore si verifica quando succede a quali dati?
- Cosa potrebbe avere un forte impatto negativo sulla reputazione dell'azienda?
Determinare quali scenari possono influenzare negativamente la reputazione dell'azienda. Classificare gli scenari. Non tutti gli scenari influiscono sulla reputazione nella stessa misura.
Anonimato / Privacy.
Anche la privacy e l'anonimato giocano un ruolo importante nella scelta dei beni.
Anonimato = muoversi nella rete senza essere scoperti
Privacy = dati segreti (Top Secret, Confidential)
Anonimato significa che ogni azione dell'utente è separata dall'identità. Anche se è possibile vedere quale azione è stata eseguita (ad esempio un'iscrizione in un forum pubblico), non è possibile assegnare l'utente a una persona specifica.2 possibile.
La privacy si riferisce ai dati e alla loro protezione. I segreti dovrebbero essere mantenuti. Per esempio, ha senso rendere i dati aziendali importanti accessibili solo a un certo gruppo di persone. Anche l'invio di dati criptati fa parte della privacy. Se si caricano dati criptati nel cloud, l'azienda come cliente non è anonima, ma i dati sono protetti dalla crittografia e solo chi ha la chiave può decifrare i dati.
In sintesi, gli asset sono i dati di cui dobbiamo occuparci. Formano il nostro patrimonio. Le domande elencate sopra, così come la ponderazione delle aree di anonimato e privacy, possono aiutare nella creazione di beni.
Sicurezza.
Diverse procedure di sicurezza sono utilizzate per proteggere i beni. Per esempio, una VPN (Virtual Private Network) può rendere sicura la connessione tra mittente e destinatario. Anche l'autenticazione a 2 fattori fa parte delle procedure di sicurezza, così come un firewall o il patching dei sistemi informatici (hardware e software).
La sicurezza è il grado di resistenza dei nostri beni alle minacce. Selezioniamo i controlli di sicurezza basandoci in gran parte sugli scenari di minaccia attivati dagli attaccanti.
Minacce.
Le minacce rappresentano il reale scenario di attacco. Oltre agli attacchi per mezzo di virus, trojan, ecc., anche il phishing è una delle minacce. Queste minacce sono controllate/innescate dagli aggressori.
Exploit e debolezza.
Le varie minacce sono indicate collettivamente come un exploit. Un exploit tenterà di sfruttare le vulnerabilità conosciute e quindi di ottenere l'accesso ai sistemi. Le vulnerabilità formano il confine tra le minacce e la sicurezza.
Non appena l'exploit vuole penetrare nella zona di sicurezza, le misure di sicurezza devono entrare in vigore. Per fare questo, il sistema di sicurezza deve prima riconoscere che un attacco sta avvenendo. Non esiste una protezione al 100%. Rimane sempre un rischio residuo. Se l'exploit è penetrato con successo nella zona di sicurezza, cercherà di sfondare la prossima linea di difesa. Una volta che il confine tra sicurezza e beni è stato violato, si accede ai beni.
Vulnerabilità.
Con la vulnerabilità, parliamo delle ragioni per cui un attacco potrebbe avere successo in primo luogo. A seconda di quali dati devono essere protetti e in quale misura, si deve stabilire la procedura di sicurezza appropriata. Non tutte le procedure di sicurezza sono adatte a tutti gli scenari.
Per esempio, un computer viene infettato da uno strumento di spionaggio perché non sono stati installati in precedenza aggiornamenti di sicurezza. Una connessione VPN tra il computer e il server di aggiornamento non avrebbe impedito l'attacco in questo caso.
La vulnerabilità per l'infestazione è quindi l'aggiornamento omesso.
Avversari (avversari/attaccanti).
Una volta che avete determinato gli asset e definito le misure di sicurezza, potreste voler proteggervi esplicitamente da certe minacce. A questo scopo, si crea un paesaggio di minacce e si includono gli avversari.
In questo modo puoi mostrare in dettaglio che vuoi proteggerti dagli hacker, per esempio. Gli hacker spesso usano backdoor come buchi di sicurezza nelle applicazioni. Le patch di sicurezza e gli aggiornamenti forniscono un rimedio. Questo vi permetterebbe di proteggere i rapporti di audit sensibili, tra le altre cose.
Il vettore di attacco.
Tuttavia, i vettori di attacco possono anche essere utilizzati in un modo completamente diverso:
Un notebook aziendale con dati altamente sensibili viene rubato. Una connessione VPN è completamente inutile in questo caso. Il colpevole ha teoricamente un tempo infinito per accedere ai dati, dato che è in possesso del notebook. L'unica cosa che aiuta in questo caso è una crittografia molto forte e sicura dell'intero disco rigido del notebook.
La domanda quando si pianifica il concetto di sicurezza è:
Quanto è alto l'impatto se la crittografia viene violata?
Tutti i dispositivi con le relative misure di sicurezza devono essere controllati regolarmente. A causa dei continui cambiamenti delle situazioni di minaccia, le misure prese a volte non sono più sufficienti dopo poche settimane.
Il valore aggiunto.
L'ISMS assicura che i dati non solo possano essere usati ma anche monetizzati all'interno di un quadro legalmente definito. Nell'industria farmaceutica, stanno emergendo tendenze prudenti per rafforzare le vendite con i dati.
Ogni azienda che memorizza o utilizza i dati dei clienti deve essere in grado di mostrare al cliente quali dati vengono utilizzati per quale scopo. Soprattutto per quanto riguarda i modelli di business basati sui dati, c'è da aspettarsi che un ISMS funzionante diventi obbligatorio.
Altri vantaggi dell'ISMS sono:
- Controllabilità degli aspetti di sicurezza attraverso procedure controllate dal processo
- Rispetto delle norme di sicurezza
- Adempimento delle linee guida aziendali in materia di conformità/governance
Abbreviazioni.
2FA
FDA
FW
GMP
ISMS
IP
IT
VPN
Autenticazione a 2 fattori
Amministrazione degli alimenti e dei farmaci
Firewall
Pratiche di buona fabbricazione
Sistema di gestione della sicurezza delle informazioni
Protocollo Internet
Tecnologia dell'informazione
Rete privata virtuale
Note e letteratura.
- https://www.fortinet.com/content/dam/fortinet/assets/analyst-reports/report-state-of-pharmaceuticals-and-cybersecurity.pdf
- Nelle reti di computer (rete aziendale, Internet), l'indirizzo IP e altre misure permettono di identificare un utente (o almeno la stazione di lavoro).
