La cybersecurity della sanità è sempre più nel mirino degli attacchi IT. Tra i modi migliori per difendersi Stormshield consiglia alle aziende del settore sanitario di puntare su fornitori europei specializzati. Nel solo primo trimestre del 2023 sono state segnalate 40 violazioni della sicurezza informatica nel settore sanitario. Un raddoppio rispetto alle circa 22 del primo trimestre 2021 e el 2022.
Una miniera di dati
Gli obiettivi di tali attacchi, tuttavia, non erano solo gli ospedali o le strutture sanitarie, ma anche i fornitori di servizi, presi di mira per ottenere accesso ai dati dei pazienti attraverso vie alternative. D’altronde una prospettiva di guadagno tra i 50 e 250 euro per ogni cartella clinica venduta rende creativi. E nel settore sanitario di certo i dati non mancano. Secondo le stime di RBC Capital Markets, circa il 30% del volume di dati mondiale è generato dal comparto. Entro il 2025, il tasso di crescita annuale medio del volume di dati nel settore sanitario raggiungerà il 36%, 6% in più rispetto al settore manifatturiero, 10% in più rispetto ai servizi finanziari e 11% in più rispetto a media e intrattenimento.
Cybersecurity – La situazione nel nostro Paese
Anche in Italia l’incremento del volume di dati sarà particolarmente rapido. Lo scorso ottobre è stato pubblicato il Decreto sul Fascicolo Sanitario Elettronico (FSE) 2.0. Nel decreto vengono non solo individuati e definiti i contenuti, ma anche le misure di sicurezza da adottare nel trattamento dei dati personali dei pazienti. Vengono inoltre indicate le modalità di accesso al Fascicolo da parte sia degli operatori sanitari che degli stessi assistiti. Entro il 2025 l’85% dei medici di base su tutto il territorio nazionale è tenuto ad alimentare il Fascicolo. Ad oggi sono 57.663.021 i fascicoli sanitari elettronici attivi, 418.608.790 i referti digitalizzati e 12 le Regioni italiane che erogano il servizio al 100% (fonte: Fascicolo Sanitario Elettronico).
La cybersecurity nella sanità
Dal punto di vista metodologico, il primo passo per proteggere un’infrastruttura sanitaria è esaminare e analizzare l’intero sistema, gli asset più sensibili e i rischi ad essi associati. In secondo luogo, è necessario dotarsi di soluzioni di sicurezza (per reti, dispositivi terminali e dispositivi biomedici). Tenendo conto però delle caratteristiche specifiche dei dati sanitari, alcuni dei quali non possono essere completamente anonimizzati. In tal senso vanno combinati due database: uno anonimizzato e uno in grado di riconoscere i file, da cui la complessità dell’operazione. Infine, la sicurezza del sistema informativo deve essere monitorata costantemente per consentire continui perfezionamenti. La sicurezza gestita in questo caso è una buona alternativa, in quanto può aggregare risorse e compensare la mancanza di specialisti in loco.
Risolvere velocemente le vulnerabilità
Anche i possibili punti di accesso, sia interni che esterni, devono essere esaminati. La loro suddivisione in quattro categorie – persone, software, reti e condizioni fisiche – può facilitare il compito. Le vulnerabilità che rientrano in queste categorie dovrebbero essere risolte rapidamente e la procedura andrebbe duplicata anche presso tutti i partner o fornitori. Questo aspetto è di particolare rilievo. Basti pensare, ad esempio, la campagna di phishing dell’ottobre 2020 condotta ai danni della catena logistica per la distribuzione del vaccino Covid-19. Secondo IBM, le vittime includevano anche organizzazioni internazionali con sede in Germania, Italia, Repubblica Ceca e altri Paesi europei.
Cybersecurity – Più prevenzione
La protezione degli attori nel settore sanitario non consiste tuttavia solo nel prevenire e combattere gli attacchi informatici. Vanno anche rafforzate le infrastrutture IT/OT per renderle più robuste e affidabili. Gli incidenti di natura non fraudolenta costituiscono il 48% delle segnalazioni.
Le normative calate nel contesto reale
Negli ultimi anni (con la direttiva NIS-2 e il GDPR a livello europeo), sembra che il rischio informatico nel settore sanitario sia stato compreso dalle autorità pubbliche. Lo stesso Ministero della Salute italiano ha pubblicato una serie di linee guida sulla sicurezza informatica per gli ospedali. Queste indicazioni includono la definizione di un sistema di gestione della sicurezza delle informazioni, la valutazione dei rischi e la definizione di procedure di sicurezza.
La cybersecurity nella sanità è essenziale e va tutelata
In caso di mancata conformità ai requisiti di sicurezza informatica la legge italiana prevede sanzioni penali e amministrative per le violazioni della sicurezza informatica. In particolare, prevede che le violazioni della sicurezza informatica siano punite con la reclusione da 6 mesi a 3 anni e con una multa da 1.000 a 50.000 euro. Inoltre, le strutture sanitarie coinvolte possono essere soggette a sanzioni amministrative, come la sospensione dell’attività o la revoca dell’autorizzazione sanitaria. Resta da vedere se questo sarà sufficiente come incentivo per l’attuazione concreta di concetti di sicurezza appropriati. Le violazioni dei dati nel settore sanitario si sono dimostrate le più costose di tutti i settori negli ultimi dodici anni, con costi medi di circa 300.000 euro solo in Europa.
Conseguenze più drammatiche
Il miglior modo per contrastare gli attacchi informatici e prevenire interruzioni dell’operatività, tutelando allo stesso tempo infrastrutture e servizi (e alla fine i pazienti), sembra consistere nel circondarsi di fornitori europei specializzati. Società che possono supportare personale qualificato. Infatti, sebbene le soluzioni di sicurezza IT nella sanità siano simili a quelle in altri settori, le conseguenze di un incidente in questo comparto possono essere molto più drammatiche.