Cybersecurity, dalla business continuity alla cyber-resilience

Il mondo della Sanità e la sua complessità, tra innovazione tecnologica, importanti sfide di evoluzione dei servizi e nuove criticità, sono stati al centro dei lavori dell’annuale appuntamento con il FORUM Sanità, che si è tenuto il 22 e il 23 ottobre a Roma. Nel corso dell’evento, che ha avuto come location lo Zest di via Marsala, si è parlato anche di cybersecurity e di cyber-resilience e di come  siano elementi ormai imprescindibili anche alla luce di uno scenario esogeno particolarmente rilevante (come evidenziato anche dall’ultimo report La minaccia cibernetica al settore sanitario di ACN). La cybersecurity e la cyber-resilience sono diventate, infatti, aree da presidiare con approccio top down attraverso un approccio risk-based, definizione di un piano con interventi a livello organizzativo, di processo, tecnologici, e strategie di comunicazione con i diversi stakeholder. Occasione per analizzare, ma anche evolvere l’approccio alla continuità operativa in ottica di resilienza digitale è stato l’Innovation Lab Cybersecurity, realizzato in collaborazione con INIX Group, al quale hanno partecipato sia rappresentanti del mondo pubblico della ricerca (Università) e C-Level responsabili della Transizione digitale e della Cybersecurity in ambito pubblica amministrazione locale.

Il cybercrimine e le minacce in ambito sanitario

Il Rapporto Clusit 2025 rileva un aumento degli attacchi alle aziende sanitarie, con un incremento del +30% rispetto al report precedente: nel 2024, a livello globale, gli attacchi hanno raggiunto un nuovo record, con 810 incidenti noti, in crescita del 30% rispetto al 2023 e quasi quadruplicati rispetto al 2020.  Il settore sanitario italiano risulta colpito esclusivamente da attacchi cyber di gravità alta o critica, a conferma della crescente vulnerabilità di infrastrutture e servizi essenziali. Tra le tipologie di attacco più utilizzate dal cybercrimine, il malware, in particolare le varianti ransomware, si conferma la principale tecnica d’attacco con il 54% degli incidenti noti. Seguono le vulnerabilità sfruttate (31%) e le tecniche non dichiarate (8%) che purtroppo rappresenta ancora un elemento da superare in ottica di information sharing.Si registra inoltre un 8% di attacchi complessi che combinano più tecniche simultanee, segnalando una crescente sofisticazione operativa da parte degli attori malevoli.

Effetto e costi di un attacco al settore sanitario

Il report Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care 2024rileva che i ransomware rappresentano la principale minaccia che impatta sui pazienti (con ripercussioni in termini di ritardi nelle attività di cura ed esiti errati, aumento dei tempi di decenza, aumento dei pazienti trasferiti o indirizzati in altre strutture sanitarie, aumento delle  complicazioni dovute a procedure mediche, aumento del tasso di mortalità) con costi medi rilevanti (da 700mila Euro a 1,5 milioni di Euro) in termini di interruzione delle normali operazioni sanitarie a causa di problemi di disponibilità del sistema, tempo di inattività degli utenti e perdita di produttività a causa dei ritardi nelle prestazioni del sistema, tempo necessario per garantire la mitigazione dell’impatto sull’assistenza al paziente, danneggiamento o furto di beni e infrastrutture IT, attività di bonifica e supporto tecnico (ad es. indagini forensi, attività di risposta agli incidenti, fornitura di servizi ai pazienti).

Approccio sistemico alla continuità operativa

Al tavolo di lavoro “Gestione della resilienza e la continuità operativa”, organizzato nell’ambito di FORUM Sanità 2025, è stato quindi presentato e discusso un approccio sistemico per lo shift evolutivo dalla continuità operativa alla resilienza digitale, ispirato al modello Plan-Do-Check-Act, che si delinea attraverso le fasi:

• Identify – Business Impact Analysis: mappare i processi aziendali, identificare le attività critiche e valutare i tempi massimi di interruzione tollerabili;
• Analysis – Analisi del Rischio: identificare le minacce potenziali, valutare vulnerabilità dei sistemi e calcolare la probabilità di accadimento;
• Design – Definizione delle strategie: progettare soluzioni di ridondanza, diversificare le risorse e definire modalità operative alternative;
• Execute – Piani di BC e DR: documentare procedure di emergenza, identificare infrastrutture e strumenti, assegnare ruoli e responsabilità e definire i criteri di attivazione;
• Measure – Awareness, test e monitoraggio: formare il personale, condurre esercitazioni periodiche e aggiornare i piani

Analisi dei rischi e adozione della strategia di Continuità Operativa e Disaster Recovery: l’esercitazione

I relatori del tavolo hanno dato vita a un costruttivo confronto di idee e di esperienze, che hanno portato prima ad individuare i rischi cyber che impattano su un’organizzazione sanitaria, e che compromettono l’erogazione dei servizi verso pazienti e personale sanitario, e successivamente a definire le common practice in termini di interventi organizzativi, procedurali, tecnologici e le modalità di comunicazione. L’obiettivo è stato orientare un approccio sistematico alla continuità operativa in ottica resilienza digitale dei servizi di un’organizzazione.

Tra gli interventi organizzativi, particolare rilevanza ha assunto la definizione del modello di Governance della Continuità Operativa, la definizione del Crisis Management Team, la formazione e simulazioni periodiche, i test dei Piani di Continuità Operativa e Disaster Recovery, il coordinamento con autorità.

Un aspetto importante considerato è il tema della catena di fornitura; oggi non si può più parlare solo dell’organizzazione, ma di un ecosistema sanitario in cui tutte le terze parti sono attori attivi e che quindi necessitano di una verifica puntuale delle misure di sicurezza che applicano.

Tra gli interventi procedurali, il gruppo di lavoro si è soffermato su: Analisi dei rischi, Business Impact Analysis, Definizione del Piano di Continuità Operativa e Disaster Recovery, aggiornamento delle procedure di gestione dell’incidente/crisi, coinvolgimento della funzione Comunicazione, review post-incident e lesson learned.

Tra gli interventi tecnologici, sono stati discussi Migrazione verso Cloud PSN / Architetture Ibride, Segmentazione rete, Connettività ridondata, Test backup e restore, di interruzione operativa, Monitoraggio h24, Cifratura dati e controllo accessi, Simulazioni di attacco periodiche.

Tra le common practice: Comunicazioni, Messaggi interni strutturati, Notifiche istituzionali, Comunicazione ai media, Comunicazione e aggiornamenti periodici a Stakeholder

Gli strumenti a supporto dell’analisi preventiva

Parte finale del tavolo tecnico è stata dedicata alla condivisione di strumenti, che possono supportare gli stakeholder nell’analisi preventiva di scenari attraverso modelli “what-if”. Questo tipo di strumenti permettono ai CISO e ai responsabili della sicurezza di simulare gli effetti della propagazione di un impatto, anche in termini di effetto domino, di determinati eventi che possono impattare sia l’organizzazione e la propria catena di fornitura, che le interdipendenze tra i diversi settori che concorrono al funzionamento del Sistema Sanitario di una città. Grazie all’utilizzo di strumenti di simulazione what-if gli effetti domino di un qualsiasi attacco possono essere simulati, visualizzati e quindi gestiti in anticipo.

Nello scenario analizzato i relatori hanno simulato un attacco di cybersecurity, con conseguente blocco del sistema informativo di laboratorio (LIS) e dei servizi di radiologia, colpisce fin dalle prime ore i reparti più centrali per la diagnosi e il pronto intervento, come il Pronto Soccorso, i servizi di triage e le prenotazioni amministrative.

Con il passare delle ore, la parziale o totale indisponibilità di questi sistemi genera impatti progressivi su altri ambiti ospedalieri, come la farmacia, la chirurgia, i trasporti interni e l’accesso ai referti da parte dei pazienti. Dopo 48–72 ore, le ripercussioni diventano più ampie e strutturali, incidendo su liste d’attesa, pazienti cronici e responsabilità legali.

L’esercitazione ha messo in evidenza come la perdita di un nodo critico, in questo caso il sistema diagnostico, possa determinare una catena di impatti operativi e clinici, utile per valutare scenari, priorità di ripristino e misure di resilienza.

Si è messo infine in evidenza che soluzioni di analisi predittiva e simulazione “what-if” consentono di generare e visualizzare modelli che permettono di stimare come un’interruzione localizzata, ad esempio nel settore sanitario o ospedaliero, possa generare effetti domino su altri ambiti, quali trasporti, energia, pubblica sicurezza o servizi sociali.

Una sanità cyber-resilience by design

Il percorso tracciato al FORUM Sanità 2025 è chiaro: mirare ad una sanità cyber-resiliente in termini di servizi offerti ai diversi stakeholder (operatori sanitari, pazienti, organizzazioni collegate), richiede sia un commitment condiviso tra istituzioni, enti sanitari pubblici e privati, mondo accademico e partner. I trend sulle minacce ed incidenti cyber, in continua crescita, rendono cruciale l’adozione di un approccio sistemico che superi il mero concetto di continuità operativa.  La complessità del sistema sanitario impone un approccio integrato che unisca governance, formazione, interventi a livello organizzativo, di processo, tecnologici, comprese analisi predittive e simulazioni ‘what-if’ per mappare i rischi e mitigare l’impatto a cascata degli attacchi sui servizi sanitari rivolti ai pazienti. L’appello rivolto dunque a tutti gli stakeholder è di agire con determinazione nella ricerca di una cyber-resilience by design come nuovo standard operativo dell’ecosistema sanitario.