“Utilizzo dei Social Network in ambito medico-sanitario: vantaggi, rischi e prospettive.”

Andrea Zapparoli Manzoni

Riunione Council Community Oracle for Security – 24/2/2012

“Social Networks nel mondo…”

2

“…e in Italia”

3

FACEBOOK:

#11 nella classifica mondiale per numero di utenti;

21,3 milioni di utenti, il 37% della popolazione italiana e il 71% della popolazione connessa a Internet;

aumento di oltre 720.000 account nell'ultimo mese e una crescita del numero di account del 3.5% nelle ultime due settimane (al 20/02/12).

LINKEDIN:

#8 nella classifica mondiale per numero di utenti;

2,8 milioni di utenti, il 9% della popolazione connessa a Internet.

“I Social Media sono strumenti potentissimi. Nel bene e nel male.”

4

Le minacce derivanti dall’uso dei Social Media si possono riassumere in:

Infezioni da Malware (trojan, worms, rootkits, etc) Esecuzione di applicazioni di terze parti non trusted Spam (spesso in combinazione con malware) Social Engineering, Phishing & Whaling Perdita di dati riservati e di proprietà intellettuale Furto di identità e frodi Danni alla reputazione (propria ed altrui) Danni alla privacy (propria ed altrui)

Gli attacchi possono colpire indistintamente le piattaforme Social, l’Azienda / Ente, gli utenti aziendali oppure gli utenti finali / clienti, oppure terze parti a vario titolo interessate, in varie combinazioni.

Per un uso in ambito professionale medico-sanitario, queste minacce vanno significativamente mitigate.

“I Social Media sono il Paradiso del Cybercrime”

5

Oggi le piattaforme Web 2.0 ed in particolare i Social Media sono uno dei principali terreni di caccia per il Cybercrime organizzato trans-nazionale, che è diventato un’industria globale con un giro d’affari nel 2011 (stimato) tra 7 miliardi e 10 miliardi di dollari, in significativa crescita rispetto all’anno precedente.

Nel 2010 solo negli USA 74 milioni di persone sono state vittime di qualche forma di cybercrime, (2/3 tramite i Social Media, 10 al secondo) per 32 Md $ di perdite dirette. Nel mondo la stima 2010 dei danni diretti è stata di oltre 110 Md $.

Il costo totale worldwide (perdite dirette, indirette + costi & tempo dedicati a rimediare agli attacchi) nel 2011 è stato stimato in 388 Md $.

Per dare un’idea, si tratta di una cifra superiore al PIL del Vietnam, dell’Ucraina e della Romania sommati. Se il trend continua, nel 2012 questi costi saranno pari a metà del PIL italiano…

La buona fede (e la superficialità) degli utenti sono costantemente sfruttate per realizzare frodi di ogni genere.

Antivirus e firewall tradizionali non sono efficaci contro questo genere di attacchi, che per questo sono estremamente pericolosi, in particolare in ambito aziendale.

“I Social Media sono un rischio per gli Utenti”

6

I Social Media sono una importante fonte di rischio… Nel caso particolare per istituzioni, strutture sanitarie, medici, infermieri, ricercatori, pazienti e familiari in genere (non solo caregivers).

Le soluzioni per eliminare e/o ridurre questi rischi esistono, e sono di natura educativa, organizzativa e tecnologica, ma funzionano solo se sono applicate insieme.

“I Social Media sono un rischio per le organizzazioni”

7

8

La consapevolezza dei problemi è ancora molto bassa, a tutti i livelli;

Un numero crescente di minacce si realizza a livello semantico, impossibile da

monitorare e gestire con strumenti tradizionali;

Consumerization of Enterprise IT: gli utenti utilizzano strumenti propri;

Per vari motivi, è "vietato vietare" (particolarmente in Italia);

La normativa tutela (giustamente) la privacy e le libertà dei collaboratori,

complicando però le attività di monitoraggio;

Le tecnologie di mitigazione non sono ancora al passo con le problematiche (ma si

evolvono a gran velocità);

Le policy ed i comportamenti virtuosi sono sempre in ritardo rispetto alle

tecnologie.

Vanno considerati ed affrontati una serie di ostacoli, che rischiano di indebolire o di vanificare le contromisure:

“Ostacoli alle contromisure”

“Linee guida del Garante per il trattamento di dati personali in siti dedicati alla salute.”

9

Una novità importante (Pubblicato sulla Gazzetta Ufficiale n. 42 del 20 febbraio 2012):

<< Nel caso di siti che prevedano la registrazione degli utenti, il gestore è tenuto a:

fornire l'informativa agli interessati prima della compilazione del modulo (form) di raccolta dei dati di registrazione. Tale informativa deve essere consultabile in qualsiasi momento in un'apposita pagina del sito ad essa dedicata;

indicare le finalità per le quali i dati sono raccolti e le modalità del relativo trattamento;

specificare quali dati di registrazione sono ritenuti necessari per partecipare alle attività del sito e quali dati sono invece ritenuti facoltativi;

indicare i tempi di conservazione dei dati personali raccolti;

indicare i diritti di cui all'art. 7 del Codice e rendere sempre visibili e facilmente reperibili i propri estremi identificativi in qualità di titolare del trattamento, ovvero quelli di altro soggetto designato responsabile, cui sia possibile chiedere riscontro in relazione ai diritti di cui al menzionato art. 7 del Codice;

invitare l'utente a confermare, apponendo un segno di spunta in un'apposita casella, l'avvenuta presa visione dell'informativa al fine di registrarsi al sito. >>

“Carenze nelle piattaforme generaliste di Social Networking”

10

Al di là delle condivisibili preoccupazioni del Garante, il problema fondamentale è che le piattaforme di Social Networking più diffuse hanno una serie di gravi limitazioni per l’utilizzo in ambito Business in generale ed in ambito medico – sanitario in particolare, perché:

Non prevedono controlli sull’identità e la reputazione dei membri.

Hanno degli EULA (End User License Agreement) in merito alla responsabilità e alla titolarità dei contenuti non adeguati rispetto alle normative vigenti per l’ambito sanitario.

Non consentono con facilità di attribuire permessi granulari per l’accesso alle risorse condivise.

Per la loro natura aperta consentono facilmente infiltrazioni ed attacchida parte di malintenzionati.

Per questo genere di applicazioni è quindi necessario ed opportuno adottare piattaforme di Social Networking professionali realizzate ad hoc.

“ThinkTag Smart: piattaforma di Social Networking specializzata”

11

La soluzione è rappresentata da piattaforme di social networking private, specializzate, non generaliste, ristrette a gruppi di interesse specifici, con maggiori garanzie in termini di rispetto delle normative, di accertamento dell'identità dei membri e di monitoraggio della social conversation.

Un esempio è ThinkTag Smart, Social Network nato e sviluppato in Italia:

Numero di risorse: 33032

Numero di scaffali: 3392

Numero di gruppi: 374

Numero di collezioni: 880

“Esempi di applicazione (1)”

12

“Esempi di applicazione (2)”

13

“I Social Network sono una grande opportunità in ambito medico-sanitario: cogliamola!”

Dal momento che in mancanza di contromisure adeguate subire un incidente è solo questione di tempo, è di fondamentale importanza implementare un insieme di processi di gestione del rischio, armonizzati e coordinati all’interno di una strategia complessiva:

Analisi dei Rischi specifica Formazione ed aggiornamento continui Definizione di policies e responsabilizzazione degli utenti Moderazione della Conversation, costante & in real time Prevenzione delle minacce (early warning, VA, PT) Tutela legale (proattiva e reattiva) Gestione degli incidenti e degli attacchi informatici

A queste condizioni, l’applicazione dei Social Network all’ambito medicosanitario consente di realizzare servizi ad oggi impensabili, ad una frazionedel costo e ad altissimo valore aggiunto (civile ed economico) .I tempi sono maturi per cogliere questa opportunità!

14

“Grazie!”

15

Andrea Zapparoli Manzoni

a.zmanzoni@idialoghi.com | Skype andrea.zapparoli.manzoni | +39 347 7701945