In Italia, gli attacchi informatici nel settore sanitario sono diventati sempre più frequenti e sofisticati.
La Sanità è un obiettivo particolarmente attraente per i cyber criminali, principalmente a causa della natura sensibile dei dati trattati, che includono informazioni personali e sanitarie dei pazienti, ma anche a causa della necessità critica di mantenere operativi i sistemi per garantire la continua erogazione di prestazioni sanitarie.
Ne deriva che il 92% delle organizzazioni sanitarie ha subito almeno un attacco informatico negli ultimi 12 mesi, in aumento rispetto all’88% del 2023, e il 69% di queste ha dovuto interrompere l’assistenza ai pazienti come conseguenza (fonte: Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care 2024).
Indice degli argomenti
Le tipologie di attacchi più frequenti in Sanità
Come rilevato dal Clusit, le tipologie di attacco più frequenti nel settore sanitario italiano sono le seguenti:
- Ransomware: tipo di malware che cripta i dati dell’azienda sanitaria, al quale segue una richiesta di riscatto per decriptarli. Tali attacchi possono paralizzare l’erogazione di prestazioni sanitarie verso i pazienti, mettendo a rischio la loro salute;
- Phishing: e-mail fraudolente che hanno l’obiettivo di rubare credenziali o di installare malware nei sistemi dell’azienda ospedaliera;
- Data Breach: furto di dati personali, in particolare quelli relativi alla salute dei pazienti, che possono essere venduti sul dark web o utilizzati per frodi;
- Attacco attraverso dispositivi medicali: sfruttamento di vulnerabilità dei dispositivi connessi o delle poche misure di sicurezza applicate in questo ambito in quanto sottovalutati come strumenti vulnerabili attraverso cui poter muovere un attacco.
Evoluzione normativa: gli obiettivi
Un aspetto da tenere in considerazione sono le numerose normative specifiche a cui il settore sanitario è soggetto, soprattutto in materia di sicurezza, che conducono le aziende verso una maggiore consapevolezza dei rischi e mitigazione degli stessi attraverso misure di sicurezza idonee.
Si pensi in particolare alla Direttiva NIS 2 e il relativo D.lgs. 4 settembre 2024, n. 138 di recepimento della stessa nel contesto italiano che hanno l’obiettivo di:
- Rafforzare la sicurezza informatica: migliorare la sicurezza delle reti e dei sistemi informativi nei settori critici;
- Migliorare la cooperazione: rafforzare la collaborazione tra gli Stati membri dell’UE in materia di sicurezza informatica;
- Estendere l’ambito di applicazione: includere nuovi settori e servizi critici rispetto alla precedente direttiva.
Cybersecurity in Sanità e Direttiva NIS2
Nel contesto sanitario, la Direttiva NIS 2 introduce una serie di obblighi e requisiti che le aziende sanitarie devono rispettare, tra cui:
- Registrazione dei soggetti essenziali e importanti: le strutture sanitarie, come ospedali, cliniche e altre istituzioni che forniscono servizi essenziali, devono registrarsi alla piattaforma digitale che sarà messa a disposizione dall’ACN (Autorità nazionale competente);
- Gestione del rischio: i soggetti essenziali devono implementare ed adottare una metodologia di analisi del rischio e misure di sicurezza adeguate a mitigare tali rischi implementando controlli specifici per proteggere le reti e i sistemi informativi utilizzati per la fornitura di servizi sanitari;
- Garantire la sicurezza della catena di approvvigionamento: i soggetti essenziali devono implementare processi di gestione delle terze parti in termini di valutazione delle stesse sulla base di requisiti di sicurezza definiti dall’Azienda Sanitaria in modo tale da allineare le pratiche di sicurezza dei fornitori a quelle dell’Organizzazione;
- Gestione degli incidenti e continuità operativa: i soggetti essenziali devono rilevare, gestire e segnalare tempestivamente gli incidenti informatici significativi alle autorità competenti. Questo include la notifica di attacchi informatici che possono avere un impatto significativo sulla continuità dei servizi sanitari. A tal proposito, le organizzazioni devono garantire che le attività aziendali possano proseguire senza interruzioni significative, anche in caso di incidenti o emergenze;
- Governance: le organizzazioni devono adottare modelli organizzativi per la gestione della cybersecurity e responsabilizzare gli organi di gestione sul tema;
- Valutazione della conformità: le autorità competenti possono effettuare valutazioni periodiche per verificare la conformità delle organizzazioni sanitarie ai requisiti della NIS2.
I passi per costruire un framework di sicurezza integrato
La protezione da attacchi nel settore sanitario richiede un approccio integrato che includa tecnologia, formazione, fornitori, aspetti quindi tecnici e organizzativi, e utilizzo di standard consolidati, nonché rispetto delle normative vigenti (ad esempio, Direttiva NIS2, ISO 27799, regolamento MDR e IVDR).
È possibile seguire alcuni passi per poter costruire un framework di sicurezza integrato:
1 – Conoscenza della propria azienda
- Conoscere i processi di business valutandone la loro criticità e la dipendenza dalla struttura informatica e dispositivi medicali;
- Individuare tutti i fornitori e come essi interagiscono con i processi di business.
2 – Organizzazione aziendale
Definire ruoli e responsabilità in ambito sicurezza informatica che possano permettere di manutenere il framework di cibersicurezza che deve essere unico ed integrato nella struttura sanitaria. Le responsabilità in termini di sicurezza informatica devono essere declinate anche rispetto all’Organo di Gestione, in modo tale che quest’ultimo possa indirizzare e monitorare correttamente le istanze di sicurezza dell’Organizzazione.
3 – Valutazione dei rischi
Individuare i rischi rispetto ai processi di business e definire quindi un programma per mitigarli attraverso azioni organizzative, di processo e tecnologiche. La valutazione dei rischi è un processo iterativo e dinamico che richiede un approccio sistematico e proattivo. È essenziale per proteggere l’organizzazione dalle minacce potenziali e garantire il successo a lungo termine.
4 – Formazione e consapevolezza
Prevedere piani di formazione per tutti gli utenti e un percorso personalizzato per il management aziendale, come richiesto dalla NIS 2, e per i profili tecnici, in modo da essere tempestivi ed efficaci al momento di gestire l’incidente informatico.
5 – Standardizzazione dei processi
Definire ed applicare pratiche consolidate ai sistemi informatici in modo tale da avere un controllo puntuale e la certezza di aver applicato le giuste misure di sicurezza.
6 – Resilienza operativa
Realizzare un piano di risposta agli incidenti in grado di gestire correttamente l’accaduto garantendo la continuità dei servizi essenziali.
7 – Monitoraggio e manutenzione
- Implementare soluzioni per il monitoraggio continuo delle reti e dei sistemi per rilevare attività anomale;
- Assicurare che tutti i sistemi e le applicazioni siano aggiornati con le ultime patch di sicurezza;
- Eseguire audit e verifiche periodiche per valutare l’efficacia delle misure di sicurezza adottate.
8 – Valutazione del framework di sicurezza integrato
Valutare periodicamente il proprio framework di sicurezza individuando possibili debolezze e le conseguenti azioni di miglioramento.
La strategia del Quick Win
Un approccio che può essere utile per affrontare tutti i temi sopra elencati è il “Quick Win”, una strategia utilizzata in vari contesti aziendali per ottenere risultati positivi in tempi brevi con un minimo sforzo e risorse. Questo approccio è particolarmente utile per creare slancio, dimostrare valore e guadagnare il sostegno degli stakeholder in progetti più ampi e complessi.
Le caratteristiche principali di questa strategia sono:
- Tempo di implementazione breve: le iniziative Quick Win sono progettate per essere implementate rapidamente, solitamente in poche settimane o mesi;
- Sforzo minimo: richiedono un investimento limitato in termini di risorse, tempo e denaro;
- Impatto positivo immediato: producono risultati visibili e positivi che possono essere facilmente misurati e comunicati;
- Rischio basso: spesso comportano un rischio relativamente basso rispetto a progetti più grandi e complessi.