Come hanno dimostrato fatti noti e recenti, per esempio l’attacco informatico subito dalla Regione Lazio, la cybersecurity nella sanità italiana è oggi un problema di primo piano. Così, mentre il settore continua a offrire servizi vitali e lavora per migliorare il trattamento e l’assistenza ai pazienti attraverso le nuove tecnologie, i criminali informatici lanciano attacchi cercando di sfruttare le vulnerabilità dei dispositivi digitali. La crescente tendenza alla digitalizzazione nel settore ha introdotto una serie di integrazioni con nuovi fornitori di servizi, ampliando il raggio d’azione degli attacchi all’intera supply chain.
Indice degli argomenti
Malware e DDoS: tipologia e frequenza degli attacchi
Il settore sanitario in Italia è afflitto – in maniera sempre più preoccupante – da una miriade di problemi legati alla sicurezza informatica. Nel mese di aprile 2021, la telemetria delle società di sicurezza Bitdefender ha rilevato in Italia circa 7mila attacchi. Le minacce arrecate vanno dal malware che compromette l’integrità dei sistemi e la privacy dei pazienti, al DDoS (Distributed Denial of Service) che interrompe la capacità delle strutture di fornire assistenza ai pazienti. Anche le infrastrutture critiche di altri settori subiscono attacchi di questo tipo, ma la natura della missione del settore sanitario pone sfide uniche. Infatti, le conseguenze nella sanità possono avere una portata che va ben oltre la perdita finanziaria, la violazione della privacy o la perdita di immagine.
Aziende health: la gran parte ha subito attacchi informatici
Per verificare lo stato dell’arte della cybersecurity nella sanità italiana, Bitdefender ha condotto a maggio 2021 una ricerca che ha coinvolto responsabili delle decisioni di IT security in strutture sanitarie pubbliche (85%) e private (15%). Ne è emerso che il 93% delle aziende del settore sanitario ha subito attacchi informatici in passato, mentre il 64% ritiene probabile, o altamente probabile, di poter ricevere un attacco informatico nel prossimo futuro.
Cybersecurity in sanità: cosa temono i responsabili IT
Tra i parametri indicati per valutare il fattore di protezione, i più efficienti sono attualmente l’uso di soluzioni per la protezione degli endpoint (74%), la visibilità sugli asset da proteggere (67%) e l’uso di una soluzione per la gestione delle password (66%). Le principali lacune sono invece legate all’uso di sistemi operativi non supportati oppure obsoleti (come sostiene il 64% degli intervistati) e la mancanza di adeguati livelli di protezione per i dispositivi medici secondo i regolamenti UE, sottolineato da ben il 59% dei partecipanti.
Gli attuali strumenti di rilevamento in ambito “Endpoint Detection and Response e Advanced Persistent Threat” sono considerati efficienti solo per il 53% degli intervistati. Evidenti le difficoltà anche nel determinare la fonte dell’attacco, individuata solo nel 43% dei casi. Inoltre, gli intervistati hanno rivelato importanti criticità riguardo il monitoraggio costante dei rischi per le infrastrutture sanitarie e i macchinari diagnostici (nel 67% dei casi non viene eseguito) e della visibilità dei livelli di rischio dell’organizzazione (citato dal 41% degli intervistati), Nonché nell’utilizzo di strumenti di analisi del rischio, impiegati solo nel 43% dei casi.
In sostanza, ciò che emerge dalla ricerca è il timore che nasce dal non avere una chiara consapevolezza di quanti e quali siano i punti deboli dell’infrastruttura IT e di come potrebbe essere attaccata. Ad esempio, non avere un Security Operation Center (67%), non eseguire abbastanza simulazioni di attacchi per comprendere dove rafforzare i processi di resilienza (63%) e non avere piena visibilità sulla catena degli attacchi (59%).
Inoltre, troppo spesso non esiste un budget dedicato alla cybersecurity determinato in funzione dell’analisi del rischio e basato sul ritorno sugli investimenti in sicurezza, come evidenzia il 60% degli intervistati. E – secondo il 53% di essi – a ciò si somma l’incapacità di guidare i cambiamenti necessari con il budget attuale.
Competenze: serve più personale specializzato
I principali aspetti in cui emergono criticità mettono in luce come lo skill gap che affligge il settore privato in ambito cybersecurity si rifletta drammaticamente anche in ambito sanitario. L’indagine, infatti, pone l’accento sull’insufficienza del personale specializzato in cybersecurity (denunciata dal 74% degli intervistati), il conseguente sovraccarico di lavoro a cui è sottoposto il personale attuale (64%) e la difficoltà nel reperire personale qualificato attraverso nuove assunzioni (64%).
Health e sicurezza IT: occorre puntare sulla security awareness
Il personale è scarso e il lavoro tanto per chi si occupa di sicurezza IT nella sanità. E su questo non ci piove. Ma, pur disponendo dei migliori sistemi di sicurezza e delle protezioni più sofisticate, la cybersecurity in sanità (e non solo) resta legata soprattutto a ciò che fanno le persone. Al loro atteggiamento, al loro comportamento, alle loro abitudini nei confronti delle tecnologie informatiche. Una questione, in sostanza, di cultura e di conoscenza della sicurezza informatica (a volte, anche di base) piuttosto che (soltanto) di carenza di infrastrutture IT e tecnologie di difesa dagli attacchi.
Dal rapporto Clusit 2021 sulla sicurezza IT in Italia emerge che – in ambito sanitario – il 45% degli attacchi alla sicurezza IT è di tipo malware (ransomware, cryptolocker, worm, trojan, ecc.) e il 9% phishing. In pratica, più della metà degli attacchi basa il suo successo sul fatto che una persona clicchi su un link su Facebook o Whatsapp, apra un allegato di un’e-mail, veda una foto su Instagram. Quindi, l’azione (che diventa collaborazione inconsapevole) dell’uomo resta fondamentale. Se a ciò si aggiunge che l’8% degli attacchi mira a sfruttare la superficialità delle persone nella gestione di vulnerabilità conosciute (non sono stati installati gli aggiornamenti di sicurezza, per esempio), si ottiene che nel 63% dei casi un attacco ha successo perché qualcuno ha sbagliato a fare qualcosa.
Sorge quindi il problema della security awareness, ovvero della presa di coscienza di cosa sia la sicurezza IT e di quali danni possa creare un comportamento troppo superficiale di fronte a potenziali minacce. Danni che – in ambito sanitario – possono avere conseguenze drammatiche. Mentre l’obiettivo di chi lancia un attacco è praticamente sempre legato all’ottenere del denaro (nel 94% dei casi, secondo il citato rapporto Clusit).
Cybersecurity: l’importanza della formazione nelle health company
La formazione assume un ruolo fondamentale, ancor più in un ambito così delicato e sensibile quale quello della medicina e della salute. Tutti coloro che possono utilizzare un dispositivo collegato in rete dovrebbero sapere quali sono i rischi che possono correre. Tutte queste persone, indipendentemente dal ruolo che svolgono nelle rispettive health company, dovrebbero seguire un corso di formazione che mostri loro, chiaramente, come evitare di incappare in attacchi informatici. Non si pretende che diventino esperte di cybersecurity, ma dovrebbero almeno conoscere i rischi ai quali possono andare incontro e quando è il caso di informare chi si occupa di sicurezza, per esempio perché si è ricevuta una mail sospetta.
Da una recente indagine condotta da Sham Italia, che ha coinvolto 68 professionisti sanitari (Risk Manager, Responsabili Qualità, Data Protection Officer, Responsabili della sicurezza informatica e dell’Ingegneria Clinica, Referenti della Direzione Sanitaria e Generale) operanti in strutture distribuite su 14 Regioni italiane, è emerso che – nel 43% dei casi – viene effettuata una formazione in modo strutturale. Un buon risultato ma, evidentemente, c’è ancora molto da fare affinché non succeda che le persone si scambino le password di posta elettronica o inviino tramite mail documenti sanitari che contengono dati sensibili, come invece, cita l’indagine, accade tuttora, purtroppo, con grande frequenza.
Il tema della “Cybersecurity per la Sanità digitale” – in cui l’approccio culturale e la consapevolezza da parte dei vertici strategici gioca un ruolo determinante – sarà al centro di FORUM PA Sanità 2021, evento digitale organizzato da FPA e P4I-Partners4Innovation, società del Gruppo DIGITAL360, in programma il 27 e il 28 ottobre. L’evento si aprirà con l’incontro One Health, digital: da una logica “egocentrica” a quella “ecocentrica” sfruttando la leva dell’innovazione digitale nel corso del quale verranno analizzate le priorità e le possibili azioni per una salute globale e digitale. Gli appuntamenti di FORUM PA Sanità, tutti gratuiti, saranno trasmessi in streaming sulla piattaforma di diretta di FPA, per seguirli è necessario accreditarsi dal sito dell’evento.