Una recente ricerca (Digital Guardian) condotta su 1000 utenti internet ha evidenziato come il 70% di essi debba gestire più di 10 password e il 43% dichiari di doverne gestire più di 25.
Il numero di account in uso è in costante crescita, questo porta gli utenti a utilizzare la stessa password per accedere a diversi ambienti. Nello stimare il tasso di riutilizzo della stessa password le ricerche portano a risultati discordanti, ma sempre preoccupanti. Un’altra ricerca (Online Security Survey), effettuata su 3000 utenti ha evidenziato come solo il 35% dichiari esplicitamente di usare password diverse per account diversi.
I progetti di business digital transformation, legati al massiccio utilizzo dell’e-commerce, dell’home banking e degli accessi alle piattaforme della pubblica amministrazione (SPID, PEC, etc) incrementeranno costantemente le richieste di credenziali di accreditamento: userID e password in primis e poi PIN, One time password per la sicurezza delle singole transazioni.
Ma se il problema che i tecnici chiamano “identificazione digitale”, tradotto nell’uso comune come “gestione password”, è regolamentato da rigide procedure nel mondo della media e grande azienda, quali sono i rischi e le procedure adatte per la Farmacia?
Prima di rispondere a questa domanda è utile descrivere attraverso quali tecniche avvengono gli attacchi informatici finalizzati al furto delle credenziali di accesso, questo ci aiuterà a capire come sia importante, anche per la farmacia, stabilire una precisa policy di gestione password.
Si possono individuare almeno cinque modalità con le quali l’hacker opera:
- Dictionary Attack: l’hacker utilizza un programma che prova ad inserire come password tutte le parole contenute in un dizionario
- Mask Attack: questo tipo di attacco tiene conto delle caratteristiche richieste per la costruzione della password dal service provider
- Brute force Attack: viene utilizzato per accedere ad account che non vincolano l’utente nella scelta della password. Il programma tenterà tutte le combinazioni possibili di caratteri fino a trovare la password
- Social Engineering Attack: a differenza dei precedenti, è mirato, indirizzato ad un singolo individuo. L’attaccante, attraverso i social, accede a qualsiasi informazione sulla vittima e su questa base cerca di inferirne la password
- Data Breach Attack: questi attacchi sono generalmente originati da furti di credenziali degli utenti da database di grandi aziende o service provider che cercano di riutilizzare per violare altri account
Torniamo alla farmacia. Escludendo l’ambiente delle vendite online, poco diffuse, limitate nell’assortimento anche per vincoli normativi e comunque gestite da terze parti, la gestione password è un problema sostanzialmente legato agli accessi e alle transazioni che avvengono nel negozio.
Tra queste è utile la seguente classificazione:
- Transazioni con la pubblica amministrazione centrale e regionale (Ricetta elettronica medicinali e veterinaria, CUP etc). Queste attività sono normalmente regolate dal provider con procedure di accreditamento sufficientemente sicure, anche se differenti a livello regionale
- Transazioni di acquisto o legate agli approvvigionamenti. In questi ambiti occorre alzare il livello di attenzione nella gestione password
- Altre transazioni e accessi. Qui possono rientrare attività legate alla farmacia dei servizi che implicano connessioni digitali (poco frequenti allo stato attuale) con il paziente/consumatore. Anche in questo caso occorre attenzione nella gestione password
Concludiamo con alcune raccomandazioni su attività da “fare” e da “non fare”:
- Evitare inizializzazioni automatiche di tutte le funzionalità informatiche con userID e password già salvate, stabilire la regola minimale di obbligo di accreditamento a ogni apertura dei sistemi
- Evitare che i farmacisti che lavorano in farmacia utilizzino le stesse credenziali. Ogni farmacista che accede deve avere le proprie credenziali
- Concordare con il gestore informatico dei sistemi le regole di accettazione delle credenziali (lunghezza, caratteri speciali etc) e la periodicità con cui devono essere cambiate
L’adozione di queste misure migliorerà il profilo di sicurezza informatica, prevenendo non solo gli attacchi che hanno come obiettivo il furto di informazioni, ma anche quelli di tipo “ransomware” che mirano cioè al blocco dei sistemi, un’eventualità estremamente pericolosa per la farmacia.