Le aziende Life Science sono esposte a numerosi rischi di sicurezza informatica specifici del loro settore. Le aziende farmaceutiche e biotecnologiche, le imprese che producono dispositivi medici e le società di servizi, come i laboratori di analisi o le organizzazioni di ricerca a contratto, dispongono di una grande quantità di dati sensibili, tecnologie operative (OT), sistemi informatici critici o proprietà intellettuale (IP) che devono essere gestiti, protetti e tutelati.
Sebbene i principi fondamentali della sicurezza informatica si applichino alle aziende di qualsiasi settore, questo articolo evidenzia le aree specifiche su cui concentrarsi per le aziende del settore Life Science in Europa e nel Regno Unito.
I rischi informatici più comuni per le aziende del settore Life Science includono:
Questi attacchi possono avere gravi conseguenze, come: malfunzionamento dei dispositivi, interruzione della produzione, perdite finanziarie, danni alla reputazione e persino compromettere la sicurezza dei pazienti.
Grazie al coinvolgimento di specialisti IT nel processo di analisi dei rischi è possibile identificare le vulnerabilità in termini di sicurezza informatica e pianificare strategie di mitigazione o implementare misure di sicurezza più stringenti. L’analisi dei rischi informatici può anche aiutare a ridurre i rischi legati all'infrastruttura informatica, i quali potrebbero avere un impatto sull'affidabilità e sulla funzionalità dei dispositivi.
Il monitoraggio della sicurezza delle tecnologie operative (OT), quali le attrezzature di laboratorio o produttive, è importante quanto l’IT per le aziende del settore Life Science. Scansioni regolari del sistema, valutazioni della vulnerabilità e monitoraggio della rete 24 ore su 24, 7 giorni su 7, possono aiutare a rilevare e identificare le anomalie e a favorire una risposta rapida alle attività sospette. L'installazione regolare di patch di sicurezza e l'aggiornamento del software possono attenuare qualsiasi potenziale vulnerabilità.
Molte aziende del settore Life Science possono gestire grandi quantità di dati medici il cui eventuale sequestro o alterazione da parte di malintenzionati potrebbe avere gravi conseguenze. I dati devono essere suddivisi in classi di rischio e le informazioni sanitarie protette (PHI) devono disporre del massimo livello di protezione, con l'accesso limitato solo ai dipendenti che ne hanno bisogno. L'utilizzo di misure di protezione dei dati, come la crittografia nei database, nei computer portatili e nei sistemi connessi a Internet, può rendere più difficile l'accesso a queste informazioni da parte di malintenzionati. Occorre garantire inoltre la conformità alle normative locali sui dati, come il GDPR. Anche le informazioni aziendali altamente sensibili, intrinseche al valore dell'azienda, necessitano di controlli rigorosi all'interno della rete aziendale.
L'autenticazione a più fattori (MFA) può fornire un ulteriore livello di sicurezza, in quanto richiede ai dipendenti di autenticare la propria identità attraverso più strumenti di autenticazione. In questo modo si riduce notevolmente il rischio di accesso non autorizzato. Inoltre, l'autenticazione MFA può aiutare le aziende del settore Life Science a registrare e tracciare ogni evento di autenticazione, consentendo loro di identificare le persone che hanno avuto accesso ai dati o ai sistemi. Questa funzionalità migliora l'affidabilità, aiuta a identificare potenziali corruzioni o violazioni dei dati e consente di intervenire immediatamente in caso di attività sospette o di attacco informatico.
Garantire la sicurezza fisica di sedi e locali può aiutare a proteggere i dati preziosi e la proprietà intellettuale delle aziende Life Science. È opportuno effettuare uno screening approfondito del personale, in particolare di quello che ha accesso ai dati sensibili. Se l'archiviazione dei dati o le infrastrutture IT o OT critiche sono ospitate on premise, può essere utile acquistare un sistema di alimentazione elettrica ininterrotta o un generatore di emergenza. Occorre considerare la possibilità di conservare in modo sicuro i beni di valore con adeguati sistemi di controllo degli accessi per i dipendenti e i visitatori.
Le aziende del settore Life Science possono pianificare efficacemente la risposta agli incidenti informatici implementando un piano di disaster recovery (DRP) completo che delinei le procedure passo-passo per rispondere e riprendersi dagli attacchi informatici. Ciò include la definizione di protocolli chiari per la segnalazione degli incidenti (anche all'autorità competente per la protezione dei dati), la gestione degli incidenti e le strategie di comunicazione. È consigliabile inoltre testare regolarmente il DRP e fornire ai dipendenti una formazione continua sul piano di risposta. Anche l'implementazione di un piano di continuità operativa (BCP) può aiutare a garantire che le attività aziendali continuino nel modo più regolare possibile dopo un incidente.
Poiché le aziende del settore Life Science raccolgono e gestiscono informazioni sanitarie protette (PHI), dati proprietari e proprietà intellettuale, devono preoccuparsi di proteggersi dai rischi cyber. Tutti i passaggi qui suggeriti sono in linea con i principi CIA: confidentiality, integrity, availability (riservatezza, integrità e disponibilità). Le aziende del settore Life Science sono tenute inoltre a familiarizzare con la norma ISO 27001 sulla sicurezza informatica e a discuterne con gli ingegneri del rischio specializzati del proprio partner assicurativo.
Grazie alla sua esperienza nel settore Life Science di oltre 25 anni, Chubb offre prodotti specialistici, supportati da underwriter, ingegneri del rischio e liquidatori sinistri specializzati. Dalla responsabilità civile prodotti e sperimentazioni cliniche alla responsabilità civile professionale, dall'assicurazione property al rischio informatico e trasporti, ci occupiamo di tutto quanto. Siamo in grado di fornire assistenza alle aziende nelle prime fasi di ricerca e sviluppo così come alle organizzazioni multinazionali più complesse. Contattaci per scoprire come possiamo collaborare con te e mettere al tuo servizio la nostra competenza ed esperienza nel settore Life Science.
Il presente documento è reso noto unicamente a fini informativi e non costituisce alcun tipo di consulenza o raccomandazione per individui o aziende relative ad alcun prodotto o servizio. Per maggiori dettagli sui termini e le caratteristiche del prodotto si prega pertanto di fare riferimento alle condizioni generali di assicurazione.
Chubb European Group SE, Sede legale: La Tour Carpe Diem, 31 Place des Corolles, Esplanade Nord, 92400 Courbevoie, Francia - Capitale sociale €896.176.662 i.v.- Rappresentanza generale per l'Italia: Via Fabio Filzi n. 29 - 20124 Milano - Tel. 02 27095.1 - Fax 02 27095.333 – P.I. e C.F. 04124720964 – R.E.A. n. 1728396 – Abilitata ad operare in Italia in regime di stabilimento con numero di iscrizione all’albo IVASS I.00156. L’attività in Italia è regolamentata dall'IVASS, con regimi normativi che potrebbero discostarsi da quelli francesi. Autorizzata con numero di registrazione 450 327 374 RCS Nanterre dall’Autorité de contrôle prudentiel et de résolution (ACPR) 4, Place de Budapest, CS 92459, 75436 PARIS CEDEX 09 RCS e soggetta alle norme del Codice delle Assicurazioni francese. info.italy@chubb.com - www.chubb.com/it
Siamo pronti a risponderti.