Social Network in ambito medico sanitario: vantaggi, rischi e prospettive.
1. “Utilizzo dei Social Network in ambito medico-sanitario: vantaggi, rischi e prospettive.”
Andrea Zapparoli Manzoni
Riunione Council Community Oracle for Security – 24/2/2012
3. “…e in Italia”
FACEBOOK:
#11 nella classifica mondiale per numero di utenti;
21,3 milioni di utenti, il 37% della popolazione italiana e il 71% della popolazione
connessa a Internet;
aumento di oltre 720.000 account nell'ultimo mese e una crescita del numero di account
del 3.5% nelle ultime due settimane (al 20/02/12).
LINKEDIN:
#8 nella classifica mondiale per numero di utenti;
2,8 milioni di utenti, il 9% della popolazione connessa a Internet.
3
4. “I Social Media sono strumenti potentissimi. Nel bene e nel male.”
Le minacce derivanti dall’uso dei Social Media si possono riassumere in:
Infezioni da Malware (trojan, worms, rootkits, etc)
Esecuzione di applicazioni di terze parti non trusted
Spam (spesso in combinazione con malware)
Social Engineering, Phishing & Whaling
Perdita di dati riservati e di proprietà intellettuale
Furto di identità e frodi
Danni alla reputazione (propria ed altrui)
Danni alla privacy (propria ed altrui)
Gli attacchi possono colpire indistintamente le piattaforme
Social, l’Azienda / Ente, gli utenti aziendali oppure gli utenti finali /
clienti, oppure terze parti a vario titolo interessate, in varie
combinazioni.
Per un uso in ambito professionale medico-sanitario, queste minacce
vanno significativamente mitigate.
4
5. “I Social Media sono il Paradiso del Cybercrime”
Oggi le piattaforme Web 2.0 ed in particolare i Social Media sono uno dei
principali terreni di caccia per il Cybercrime organizzato trans-nazionale, che
è diventato un’industria globale con un giro d’affari nel 2011 (stimato) tra 7
miliardi e 10 miliardi di dollari, in significativa crescita rispetto all’anno
precedente.
Nel 2010 solo negli USA 74 milioni di persone sono state vittime di qualche
forma di cybercrime, (2/3 tramite i Social Media, 10 al secondo) per 32 Md $
di perdite dirette. Nel mondo la stima 2010 dei danni diretti è stata di oltre
110 Md $.
Il costo totale worldwide (perdite dirette, indirette + costi & tempo dedicati
a rimediare agli attacchi) nel 2011 è stato stimato in 388 Md $.
Per dare un’idea, si tratta di una cifra superiore al PIL del
Vietnam, dell’Ucraina e della Romania sommati. Se il trend continua, nel
2012 questi costi saranno pari a metà del PIL italiano…
5
6. “I Social Media sono un rischio per gli Utenti”
La buona fede (e la superficialità) degli
utenti sono costantemente sfruttate
per realizzare frodi di ogni genere.
Antivirus e firewall tradizionali non sono
efficaci contro questo genere di attacchi, che
per questo sono estremamente pericolosi, in
particolare in ambito aziendale.
6
7. “I Social Media sono un rischio per le organizzazioni”
I Social Media sono una importante fonte di rischio… Nel caso particolare per istituzioni, strutture
sanitarie, medici, infermieri, ricercatori, pazienti e familiari in genere (non solo caregivers).
Le soluzioni per eliminare e/o ridurre questi rischi esistono, e sono di natura educativa,
organizzativa e tecnologica, ma funzionano solo se sono applicate insieme.
7
8. “Ostacoli alle contromisure”
Vanno considerati ed affrontati una serie di ostacoli, che rischiano di indebolire o di vanificare le
contromisure:
La consapevolezza dei problemi è ancora molto bassa, a tutti i livelli;
Un numero crescente di minacce si realizza a livello semantico, impossibile da
monitorare e gestire con strumenti tradizionali;
Consumerization of Enterprise IT: gli utenti utilizzano strumenti propri;
Per vari motivi, è "vietato vietare" (particolarmente in Italia);
La normativa tutela (giustamente) la privacy e le libertà dei
collaboratori, complicando però le attività di monitoraggio;
Le tecnologie di mitigazione non sono ancora al passo con le problematiche
(ma si evolvono a gran velocità);
Le policy ed i comportamenti virtuosi sono sempre in ritardo rispetto alle
tecnologie.
8
9. “Linee guida del Garante per il trattamento di dati personali in siti dedicati alla salute.”
Una novità importante (Pubblicato sulla Gazzetta Ufficiale n. 42 del 20 febbraio 2012):
<< Nel caso di siti che prevedano la registrazione degli utenti, il gestore è tenuto a:
fornire l'informativa agli interessati prima della compilazione del modulo (form) di raccolta dei
dati di registrazione. Tale informativa deve essere consultabile in qualsiasi momento in
un'apposita pagina del sito ad essa dedicata;
indicare le finalità per le quali i dati sono raccolti e le modalità del relativo trattamento;
specificare quali dati di registrazione sono ritenuti necessari per partecipare alle attività del
sito e quali dati sono invece ritenuti facoltativi;
indicare i tempi di conservazione dei dati personali raccolti;
indicare i diritti di cui all'art. 7 del Codice e rendere sempre visibili e facilmente reperibili i
propri estremi identificativi in qualità di titolare del trattamento, ovvero quelli di altro soggetto
designato responsabile, cui sia possibile chiedere riscontro in relazione ai diritti di cui al
menzionato art. 7 del Codice;
invitare l'utente a confermare, apponendo un segno di spunta in un'apposita
casella, l'avvenuta presa visione dell'informativa al fine di registrarsi al sito. >>
9
10. “Carenze nelle piattaforme generaliste di Social Networking”
Al di là delle condivisibili preoccupazioni del Garante, il problema fondamentale
è che le piattaforme di Social Networking più diffuse hanno una serie di gravi
limitazioni per l’utilizzo in ambito Business in generale ed in ambito medico –
sanitario in particolare, perché:
Non prevedono controlli sull’identità e la reputazione dei membri.
Hanno degli EULA (End User License Agreement) in merito alla
responsabilità e alla titolarità dei contenuti non adeguati rispetto alle
normative vigenti per l’ambito sanitario.
Non consentono con facilità di attribuire permessi granulari per
l’accesso alle risorse condivise.
Per la loro natura aperta consentono facilmente infiltrazioni ed attacchi
da parte di malintenzionati.
Per questo genere di applicazioni è quindi necessario ed opportuno adottare
piattaforme di Social Networking professionali realizzate ad hoc.
10
11. “ThinkTag Smart: piattaforma di Social Networking specializzata”
La soluzione è rappresentata da piattaforme di social networking
private, specializzate, non generaliste, ristrette a gruppi di
interesse specifici, con maggiori garanzie in termini di rispetto
delle normative, di accertamento dell'identità dei membri e di
monitoraggio della social conversation.
Un esempio è ThinkTag Smart, Social Network nato e
sviluppato in Italia:
Numero di risorse: 33032
Numero di scaffali: 3392
Numero di gruppi: 374
Numero di collezioni: 880
11
14. “I Social Network sono una grande opportunità in ambito medico-sanitario: cogliamola!”
Dal momento che in mancanza di contromisure adeguate subire un incidente è solo questione di
tempo, è di fondamentale importanza implementare un insieme di processi di gestione del
rischio, armonizzati e coordinati all’interno di una strategia complessiva:
Analisi dei Rischi specifica
Formazione ed aggiornamento continui
Definizione di policies e responsabilizzazione degli utenti
Moderazione della Conversation, costante & in real time
Prevenzione delle minacce (early warning, VA, PT)
Tutela legale (proattiva e reattiva)
Gestione degli incidenti e degli attacchi informatici
A queste condizioni, l’applicazione dei Social Network all’ambito medico
sanitario consente di realizzare servizi ad oggi impensabili, ad una frazione
del costo e ad altissimo valore aggiunto (civile ed economico) .
I tempi sono maturi per cogliere questa opportunità!
14