LeadingAge 2025: proteggere un settore vulnerabile in mezzo alle minacce emergenti
Molti degli attacchi informatici e delle violazioni dei dati che finiscono sui titoli dei giornali tendono a evidenziare l'impatto sui fornitori di servizi sanitari tradizionali, ma anche le organizzazioni di assistenza agli anziani vengono prese di mira.
Nel 2024, un'organizzazione di assistenza agli anziani con sede a New York ha segnalato che l'accesso non autorizzato al sistema aveva potenzialmente compromesso i dati di oltre 104.000 persone . E, secondo un rapporto del Wall Street Journal , un'organizzazione di assistenza agli anziani con sede nella California meridionale ha impiegato mesi per notificare a oltre 26.000 persone una violazione dei dati avvenuta nel 2023.
Ecco perché la sicurezza dei dati e la conformità sono state al centro dell'attenzione dei relatori al LeadingAge Annual Meeting 2025 di Boston, in particolare dei dirigenti dell'organizzazione di assistenza agli anziani Eliza Jennings con sede in Ohio, che discutono regolarmente di questi argomenti alla conferenza annuale.
La Vicepresidente e Direttrice Legale Jennifer Griveas ha sottolineato l'importanza di un'analisi aggiornata dei rischi in base alle norme di sicurezza HIPAA . Le organizzazioni spesso trascurano questo aspetto fondamentale per la protezione dei dati sensibili.
"Primo passo: se non hai effettuato un'analisi dei rischi delle norme di sicurezza HIPAA , devi farlo", ha affermato Griveas.
Ha affermato che molte delle sanzioni emesse dall'Ufficio per i diritti civili del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti nei confronti degli operatori sanitari che hanno subito una violazione erano spesso dovute alla mancanza di un'analisi specifica dei rischi.
Le organizzazioni più piccole potrebbero essere in grado di completarne una autonomamente utilizzando risorse disponibili gratuitamente, ma una partnership potrebbe essere utile per quelle che non dispongono di personale dedicato alla sicurezza IT o per i dipartimenti già oberati di lavoro per gestire altre priorità.
È anche un aspetto che deve essere sottoposto a manutenzione regolare, perché in questo panorama di sicurezza, un evento informatico è uno scenario "quando, non se". Se si considera la crescita di strumenti e processi basati sull'intelligenza artificiale, le organizzazioni di assistenza agli anziani hanno maggiori aspetti da considerare quando si tratta di proteggere le informazioni sanitarie personali .
"Se ti trovi in una situazione del genere e poi si verifica questa violazione, e l'OCR vuole esaminare la valutazione del rischio delle tue regole di sicurezza, e tu dici: 'Ecco, è del 2019', non c'è modo che tu sia aggiornato nella valutazione del rischio, soprattutto prima della pandemia e ora, dopo l'introduzione dell'IA. Tutto ciò che abbiamo fatto sta cambiando", ha affermato Griveas.
Questa analisi dei rischi è un aspetto che le organizzazioni senior non dovrebbero ignorare e rappresenta un utile punto di riferimento man mano che le tecnologie emergenti vengono aggiunte a un ambiente. Può aiutare i membri del team a capire cosa fa parte del loro ambiente IT e chi vi ha accesso.
"Credo che a volte la gente pensi che una norma di sicurezza HIPAA sia molto tecnica, ma non lo è. Si tratta di strutture", ha aggiunto.
Clicca sul banner qui sotto per iscriverti alla newsletter settimanale di HealthTech.
Anche il Vicepresidente IT e Responsabile della Conformità Michael Gray ha sottolineato l'importanza di aggiornare le conoscenze sui diversi attacchi informatici. Cinque o sei anni fa, ha osservato, solo poche mani si alzavano quando ai partecipanti veniva chiesto se sapevano cosa fosse un attacco ransomware. Oggi, invece, sono molto familiari in tutto il settore.
"Se non siamo consapevoli di questi rischi e il nostro personale non sa quali sono, non possiamo davvero difenderci da essi", ha affermato.
Gli autori di attacchi cercheranno ora di rimanere nell'ambiente di un'organizzazione bersaglio il più a lungo possibile e potrebbero persino tentare attacchi multipli . Esistono anche broker di accesso iniziale che poi vendono l'accesso ad altri una volta penetrati nella rete di un'organizzazione. E con i tentativi di ingegneria sociale sempre più sofisticati, l'autenticazione a più fattori si sta evolvendo per diventare più resistente al phishing .
Anche se un'organizzazione di assistenza agli anziani ritiene di essere pronta ad affrontare un evento informatico, ha affermato Gray, i lunghi tempi di ripristino sono inevitabili, il che significa che i team di tutti i reparti devono sapere come continuare a operare quando i sistemi sono offline. Durante un'esercitazione a cui ha partecipato, ha affermato, una delle preoccupazioni riguardava se i dipendenti più giovani sapessero come creare grafici su carta, quindi si è dovuto valutare chi potesse fornire una formazione rapida sulla creazione di grafici cartacei.
"Anche se si è estremamente ben preparati, ci vuole molto tempo per ripristinare i sistemi. La compagnia assicurativa informatica e la società di analisi forense a cui si rivolgono devono essere sicure al 100% che l'ambiente sia pulito prima di ripristinare i sistemi", ha affermato Gray.
Non si tratta solo di avere il miglior set di strumenti di sicurezza : le persone che compongono un'organizzazione devono essere esperte nella strategia di sicurezza e formate regolarmente .
"Siamo davvero grandi sostenitori della presenza al tavolo di persone con le giuste competenze, che ricoprono un ruolo di leadership o interagiscono con il consiglio di amministrazione, consigliando i dirigenti o all'interno dei dirigenti stessi, per poter valutare appieno se stiamo facendo ciò che è necessario per avere la protezione di cui abbiamo bisogno", ha affermato Griveas.
Aggiungi questa pagina ai preferiti per non perderti la nostra copertura del LeadingAge Annual Meeting and Expo 2025. Seguici su X @HealthTechMag e partecipa alla conversazione con #LeadingAge25 .
healthtechmagazine
