Il settore sanitario continua ad essere uno dei principali bersagli degli attacchi informatici. Tanti sono, infatti, gli eventi malevoli che si registrano ogni anno, sia a livello internazionale sia a livello nazionale, a danno di ospedali e providers di assistenza sanitaria, spesso con gravi ripercussioni per l’utenza poiché comportano la violazione dei dati personali o la compromissione di infrastrutture critiche e sistemi digitali.
ATTACCHI INFORMATICI AL SETTORE SANITARIO
Secondo il rapporto Clusit Healthcare 2024, il settore sanitario è sempre più nel mirino del crimine informatico e il 2023 può essere definito come l’annus horribilis sotto questo profilo. In un solo anno, si sono registrati 396 attacchi a livello globale e continua il trend di forte crescita che testimonia quanto il comparto sanitario diventi sempre più vulnerabile alle cyber-minacce.
Molti degli attacchi avvenuti nel 2023 (più dell’80%) hanno avuto conseguenze gravi o gravissime sulle strutture sanitarie coinvolte, comportando delle vere e proprie paralisi delle attività con seri danni anche sulla salute dei pazienti. Diversi studi rivelano, infatti, una correlazione positiva tra gli attacchi informatici e l’aumento della mortalità negli ospedali colpiti. Su tale aspetto, l’Agenzia statunitense Cybersecurity and Infrastructure Security Agency (“CISA”) ha condotto un’analisi che ha coinvolto ospedali che offrono network based services, ovvero prestazioni che si basano su infrastrutture informatiche quali, ad esempio, sistemi di monitoraggio dei parametri cardiaci, con l’intento di stimare gli impatti di un data breach su queste tipologie di strutture.
Dallo studio è emerso come, frequentemente, gli attacchi informatici tendano, nel breve periodo, ad interrompere la capacità dei sistemi sanitari di accedere alle cartelle cliniche elettroniche o ad altri network based services portando ad una riduzione della capacità degli ospedali di offrire cure tempestive ai pazienti, con gravi conseguenze sulla salute di questi ultimi, anche in termini di possibilità di sopravvivenza.
I dati ricavati dall’analisi effettuata dal CISA hanno mostrato altresì come, a causa della perdita di dati, i sistemi ospedalieri potrebbero dover fronteggiare ritardi nella prestazione di servizi diagnostici o di assistenza anche settimane o mesi dopo un attacco informatico.
Secondo il rapporto Clusit, il malware, specie nella variante ransomware, è la tecnica di attacco preferita dai criminali informatici attraverso cui vengono criptati i dati dei pazienti per poi richiedere un riscatto per sbloccarli, causando interruzioni nei servizi sanitari e mettendo a rischio la sicurezza dei pazienti.
Tra le diverse aree geografiche, l’America conta oltre l’80% dei target colpiti. Seguono l’Europa con oltre il 10% degli incidenti informatici, l’Asia (3%) e l’Oceania (3%).
Tra i Paesi europei, secondo il report dell’Agenzia europea per la cybersecurity (2023) sulle minacce informatiche nel settore sanitario, tra gennaio 2021 e marzo 2023 i principali sistemi sanitari sotto attacco informatico sono stati quelli di Francia, Spagna, Germania, Paesi Bassi e Italia, che hanno registrato più del 60% dei casi nel periodo considerato.
Gli ospedali europei si sono confermati il target prediletto dai criminali informatici, con il 42% degli incidenti totali, questo perché raccolgono informazioni molto sensibili e confidenziali sui pazienti, che possono essere facilmente vendute o utilizzate per ottenere un riscatto elevato. Le autorità, agenzie e enti sanitari hanno registrato, invece, il 14% degli attacchi totali, seguite dalle industrie farmaceutiche (9%).
Date le conseguenze devastanti di un attacco, la sicurezza dei sistemi informatici all’interno degli ospedali dovrebbe essere una priorità strategica, essenziale per mantenere la riservatezza, l’integrità e la disponibilità delle informazioni dei pazienti nonché garantire la fiducia e la reputazione delle organizzazioni sanitarie oltre a prevenire danni di natura finanziaria, che nel caso del settore sanitario sono veramente ingenti (1). Uno studio del World Economic Forum (2024) ha rivelato che l’assistenza sanitaria paga il prezzo più alto di qualsiasi altro settore per gli attacchi informatici. Nel 2023, per il 13° anno consecutivo, il comparto della salute a livello mondiale ha registrato, nello specifico, le violazioni dei dati più costose, con un costo medio di 10,93 milioni di dollari, quasi il doppio di quello del settore finanziario, che si è classificato secondo con un costo medio di 5,9 milioni di dollari. Inoltre, le organizzazioni sanitarie sono quelle che pagano il prezzo più alto per riprendersi da un attacco informatico.
IL SETTORE SANITARIO ITALIANO NEL MIRINO DEL CRIMINE INFORMATICO
Così come evidenziato a livello mondiale, anche in Italia il settore sanitario è nel mirino dei criminali informatici. Stando al recente rapporto dell’Agenzia per la Cybersicurezza nazionale (2024) sulla minaccia cibernetica al settore sanitario, tra il 2022 e il 2023 si sono registrati 45 eventi cyber, di questi il 47% si è confermato come incidente. L’analisi del numero di eventi e incidenti registrati nel 2023 sottolinea una preoccupante tendenza in crescita nel settore, rispettivamente di +50% e +33% rispetto al 2022.
Diverse sono le ragioni per cui il settore sanitario italiano è particolarmente esposto agli attacchi. Sicuramente, ad oggi, le strategie di governance e gestione della sicurezza informatica nelle strutture pubbliche e private sanitarie in Italia sono ancora inadeguate. Secondo un’indagine di Netconsulting Cube, durante il primo semestre 2023 emerge che nel 46% dei casi manca una persona responsabile interamente dedicata alla cybersecurity, con percentuali che peggiorano nella sanità pubblica (52%).
IL PIANO D’AZIONE DELLA COMMISSIONE EUROPEA SULLA CYBERSECURITY NEL SETTORE SANITARIO
Dunque, considerato che la sanità europea diventa sempre più bersaglio degli attacchi informatici e dato che ad oggi le strategie di governance e gestione del rischio informatico nei vari sistemi sanitari europei sono in molti casi ancora inadeguate, la Commissione ha recentemente varato un action plan che mira a rafforzare la sicurezza informatica degli ospedali e delle strutture sanitarie di tutta l’UE.
In breve, il Piano d’azione si articola in quattro pilastri:
1. Prevenzione: sviluppare le capacità per prevenire gli incidenti di cibersicurezza attraverso misure di preparazione rafforzate, tra cui la gestione del rischio, la valutazione del rischio e la formazione in materia di cibersicurezza per gli operatori sanitari.
2. Rilevazione: migliorare la capacità di rilevamento delle minacce con strumenti di rilevamento migliori, tra cui un servizio di allerta precoce in abbonamento a livello dell’UE per il settore sanitario, da sviluppare entro il 2026.
3. Mitigazione dell’impatto: migliorare la risposta e il recupero per ridurre al minimo l’impatto sulla cura del paziente.
4. Deterrenza delle minacce informatiche: sostenere l’obiettivo di dissuadere gli attori delle minacce informatiche dall’attaccare i sistemi sanitari europei attraverso varie misure tra cui il Cyber Diplomacy Toolbox.
CONCLUSIONI
Le crescenti minacce cibernetiche suggeriscono, pertanto, di adottare best practices al fine di aumentare la resilienza informatica, ossia la capacità di proteggersi, rispondere e riprendersi dalle violazioni informatiche, in modo tale da garantire la continuità delle operazioni e salvaguardare i pazienti. In tale ottica, il Piano della Commissione europea cerca di delineare la strada verso la creazione di un approccio europeo coerente e condiviso alla sfida della cybersecurity nel settore sanitario. Tuttavia, è necessario l’impegno dei singoli Stati Membri nel recepire le direttive europee nei loro piani d’azione nazionali e nell’adottare misure di contrasto agli attacchi informatici.
(1) Eurispes, Enpam, 3° RAPPORTO SULLA SALUTE E IL SISTEMA SANITARIO, dicembre 2024
