Secondo il più recente rapporto Clusit, presentato pochi giorni fa, il settore Sanità (Healthcare) è il secondo al mondo per numero di attacchi gravi ai sistemi informativi: 139 nel primo semestre 2021, in aumento del 18,8% rispetto al primo semestre 2020.

I criminali informatici sono particolarmente attirati da questo settore per la ricchezza e sensibilità dei dati sanitari dei cittadini (una cartella sanitaria può valere anche 1000 dollari nel dark web), e delle informazioni sulle ricerche e sperimentazioni cliniche.

ADV
HP Wolf Security

Il perimetro aziendale oggi passa dalla casa dei dipendenti

Metà dei dipendenti usa il PC anche per scopi personali e il 30% lascia che venga utilizzato da altri famigliari. La tua cybersecurity è pronta per le sfide del lavoro remoto? LEGGI TUTTO >>

È una situazione che vale in tutto il mondo, e che l’emergenza Covid-19 ha ulteriormente aggravato, con un forte aumento degli attacchi ai sistemi informativi di ospedali, aziende sanitarie, laboratori di analisi e centri di ricerca del settore. La Sanità è in prima linea nella lotta alla pandemia e non si può permettere malfunzionamenti o indisponibilità dei suoi sistemi. Per questo ricatti e tentativi di estorsione possono essere più redditizi.

Ransomware alla Regione Lazio, ma non solo

Più precisamente secondo gli esperti le principali minacce informatiche per la Sanità sono di cinque tipi: ransomware, denial-of service, phishing (sia ai danni di operatori del settore che di cittadini), attacchi a siti e applicazioni web, e attacchi ai servizi cloud sanitari.

La sanità italiana naturalmente non fa eccezione. Il clamoroso attacco ransomware con richiesta di riscatto del 31 luglio scorso al CED della Regione Lazio, che contiene i dati sanitari dei 5,8 milioni di abitanti della Regione, ha bloccato per qualche giorno i servizi associati al sito web della Regione, tra cui il sistema di prenotazione dei vaccini Covid-19 in piena campagna vaccinale, ma è stato solo la punta dell’iceberg.

Solo qualche giorno dopo (il 19 agosto) è toccato all’Agenzia Regionale di Sanità (ARS) della Toscana, stavolta con distruzione di molti dati epidemiologico-statistici (poi recuperati dai backup), e a metà settembre un altro attacco ransomware ha paralizzato l’Ospedale San Giovanni Addolorata di Roma, con fonti interne che secondo Repubblica riportavano: “È impossibile vedere le cartelle cliniche, refertare, chiedere esami di laboratorio, persino sapere con certezza quanti pazienti si trovano in pronto soccorso”.

Il 93% delle aziende sanitarie in Italia ha subito attacchi

In questo scenario, per valutare la situazione della sicurezza informatica nel settore sanitario italiano Bitdefender ha realizzato lo scorso maggio l’indagine “Healthcare Cybersecurity”, coinvolgendo direttamente i responsabili delle decisioni di IT Security di strutture sanitarie (per l’85% pubbliche e per il 15% private), omogeneamente distribuite sul territorio e in maggioranza medio-grandi (il 54% ha tra 100 e 500 posti letto).

Secondo lo studio, riportato nel rapporto Clusit citato all’inizio, il 93% delle aziende del settore sanitario in Italia ha subito attacchi informatici in passato mentre il 64% ritiene probabile, o altamente probabile, di poter subire attacchi in futuro. D’altra parte solo ad aprile 2021 in Italia sono stati rilevati circa 7 mila attacchi. Tuttavia l’indagine evidenzia anche rilevanti criticità, con particolari punti deboli nella rilevazione degli attacchi, nell’approccio organizzativo/culturale alla cybersecurity, e nelle competenze specialistiche.

Per rispondere a queste criticità e contrastare la vulnerabilità ai cyberattacchi, le organizzazioni del settore sanitario secondo Bitdefender devono lavorare su sei pilastri: protezione, rilevamento, risposta, competenze, budget, e un sesto fattore che comprende organizzazione, cultura e leadership.

I sei pilastri della sicurezza: la situazione in Italia

Per quanto riguarda la protezione, l’efficienza complessiva in Italia è del 57%. L’indagine evidenzia che nella sanità italiana sono diffuse soluzioni per la protezione degli endpoint (74%), la visibilità sugli asset da proteggere (67%) e la gestione delle password (66%), ma il 64% segnala l’uso di sistemi operativi non supportati o obsoleti e ben il 59% la mancanza di adeguati livelli di protezione dei dispositivi medici secondo i regolamenti UE.

Il secondo pilastro è il rilevamento, su cui l’efficienza complessiva in Italia è al 44%. Gli strumenti in uso di Endpoint Detection & Response e Advanced Persistent Threat sono considerati efficienti solo dal 53% degli intervistati. La fonte dell’attacco è individuata solo nel 43% dei casi. Inoltre il 67% non effettua monitoraggio costante dei rischi per infrastrutture sanitarie e macchinari diagnostici, solo il 41% monitora la visibilità dei livelli di rischio dell’organizzazione, e solo il 43% utilizza strumenti di analisi del rischio.

Per le attività di risposta l’efficienza globale è al 49%. Gli elementi percepiti come più efficienti sono la prontezza nel rispettare il “Perimetro di Sicurezza Informatica” e il GDPR (61%) e la capacità di recupero dopo un attacco ransomware (60%). Il 56% ha un piano di risposta a incidenti di cybersecurity. Solo il 33% ha un SOC, il 63% non fa sufficienti simulazioni di attacchi per comprendere dove rafforzare i sistemi, e il 59% non ha piena visibilità sulla catena degli attacchi.

Per le competenze l’efficienza complessiva è al 46%. Gli aspetti più efficienti percepiti sono il ricorso a esperti esterni se necessario (67%) e il basso turnover dei dipendenti (66%). Le principali criticità sono l’insufficienza di specialisti interni di cybersecurity (74%), il sovraccarico di lavoro del personale attuale (64%) e la difficoltà nel reperire personale qualificato (64%).

Per il budget l’efficienza complessiva è al 53%. I fattori più positivi sono il rischio relativamente basso di tagli al budget (66%) e la disponibilità di risorse ad hoc in caso di individuazione di una minaccia per la cybersecurity (63%). Le criticità sono il fatto che il budget per la cybersecurity non è connesso ad analisi del rischio e ritorno sugli investimenti in sicurezza (60%) e l’incapacità di guidare i cambiamenti necessari con il budget attuale (53%).

Infine per il fattore organizzativo l’efficienza complessiva è al 44%. Aspetti più positivi: la cybersecurity è considerata ogni volta che si introducono nuove soluzioni IT (61%) e le normative che incentivano l’adozione di tecnologie per l’IT Security (54%). Criticità: assenza di formazione di cybersecurity per le funzioni chiave dell’organizzazione (70%), insufficiente riconoscimento del rischio di cybersecurity da parte del board (70%).

“La tendenza è esternalizzare”

Tirando le somme, l’efficienza complessiva nella sicurezza informatica per la sanità italiana è al 49%, al di sotto della soglia di sufficienza per tutti i sei pilastri: quello messo meglio risulta la protezione (57%) seguita dal budget (53%), quelli messi peggio sono il rilevamento e il fattore organizzativo-culturale.

“Tutti e sei i fattori devono migliorare per raggiungere livelli di sicurezza IT accettabili nella sanità italiana”, commenta Denis Cassinerio, Director Regional Sales Sud Europa di Bitdefender. “È difficile migliorare istantaneamente su tutti i fronti, per cui la maggior parte delle organizzazioni sanitarie sta esternalizzando parte delle operazioni di cybersecurity. La sicurezza informatica inoltre, è un ambito molto complicato che necessita di personale specializzato per colmare lo skill gap di cui risente tutto l’ecosistema sanitario”.

Se questo articolo ti è stato utile, e se vuoi mantenerti sempre aggiornato su cosa succede nell’industria ICT e ai suoi protagonisti, iscriviti alle nostre newsletter:

CWI: notizie e approfondimenti per chi acquista, gestisce e utilizza la tecnologia in azienda
CIO:
approfondimenti e tendenze per chi guida la strategia e il personale IT
Channelworld: notizie e numeri per distributori, rivenditori, system integrator, software house e service provider

Iscriviti ora!