I-COM (Istituto per la Competitività) ha prodotto un rapporto su Salute e Competitività – Stategie e investimenti per vincere le sfide del recovery e della crescita dove affronta il problema del passaggio verso la sanità digitale definito come inevitabile.

L’analisi parte dai dati del Rapporto del 2021 sulla spesa Ict nella Sanità Territoriale” che evidenziano una la crescita costante negli ultimi quattro anni della spesa complessiva per beni e servizi ICT da parte delle strutture sanitarie nazionali, con un tasso di crescita medio annuo del 13,8%. Il 2022 registra una stima complessiva di 874,6 milioni di euro di spesa, per un tasso di crescita del 14%. “Si inizia ad avvertire l’effetto PNRR su alcune voci di investimento, stimate da una quota parte degli enti sondati, in aggiunta agli stimoli derivanti dagli accordi quadro Consip di sanità digitale”.

È una spesa che cambia dove quella che era la voce con una maggiore incidenza “Manutenzione di hardware e software dei sistemi”, è in costante calo passando dal 48% del consuntivo del 2019 al 41% del 2022. In aumento invece sono gli investimenti, a partire dal 2021, per l’acquisto di licenze, di servizi di sviluppo e di hardware. Inoltre, analizzando gli ultimi 16 anni di investimenti in conto capitale si nota come si è andati sempre di più verso l’acquisizione di apparecchiature software e un progressivo alleggerimento degli investimenti annui rivolti verso l’acquisizione di dispositivi hardware.

Attacchi in crescita

Gli investimenti annuali in hardware sono stabilmente più bassi rispetto a quelli registrati nel 2005, mentre per quanto riguarda i software, gli investimenti sono in continua espansione. L’investimento lordo in hardware registrato nel 2021 è di 5.800 euro, del 21% più basso rispetto a quello effettuato nel 2005 (circa 6.700 euro). Per quanto riguarda le apparecchiature software invece, l’investimento nel 2021 è di circa 28 mila euro, in aumento del 30% rispetto al 2005. Un segnale della spinta verso la digitalizzazione che comporta anche un aumento dei rischi in ambito sicurezza.

La crescita esponenziale degli incidenti di sicurezza informatica – spiega il rapporto – è certificata dai dati contenuti nell’ultima versione del rapporto periodico redatto dall’Associazione italiana per la sicurezza informatica (Clusit). L’analisi della distribuzione degli attacchi gravi per settore mostra come, nel 2021, il comparto maggiormente bersagliato sia stato quello del Governo e della difesa, con 307 azioni ostili subìte (36% in più rispetto all’anno precedente). Il comparto sanitario figura al quarto posto, essendo stato vittima di 262 attacchi gravi a livello globale. Inoltre, la Salute è uno dei settori che hanno visto il maggiore aumento di attacchi tra il 2020 e il 2021 in valori assoluti (+52 attacchi), secondi per incremento solo a quello del Governo e della difesa (+82), ulteriore segnale di come il cyber-crime presenti un interesse crescente verso il settore sanità”.

Per quanto riguarda l’entità economica dei danni provocati dagli attacchi, il rapporto Nis Investments stima un danno economico medio per un Operatore di servizi essenziali (Ose) prodotto da un grave incidente di sicurezza informatica nella Ue di 169 mila euro. L’indagine condotta a livello europeo evidenzia inoltre come il comparto sanitario, con un danno medio di circa 227 mila euro occupi il secondo posto tra le tipologie di organizzazioni che subiscono i danni più rilevanti in caso di incidente di sicurezza informatica, preceduta solo dal comparto bancario.
Anitech Assinform, l’associazione delle aziende Ict, da tempo perora la causa della Security by Design” che significa rendere, sin dalla fase di progettazione, servizi e infrastrutture conformi ai più alti standard normativi in ambito di sicurezza cibernetica e di tutela della privacy. Per una difesa informatica efficace ci vogliono però competenze e risorse e analizzando i dati aggregati a livello settoriale, si osserva che il comparto salute si posiziona al quarto posto tra gli Ose/Dsp che allocano maggior budget alla sicurezza informatica, con 7,5 milioni di euro investiti in media, preceduto da Energia (14,3 milioni), Banche (13,2 milioni) e Finanza (8,2 milioni).

Quindi, sebbene risulti uno dei comparti più bersagliati dai cybercriminali, la sanità presenta attualmente investimenti in cybersecurity sensibilmente inferiori a quelli di altri settori strategici quali comparto energetico, bancario e finanziario”.

La risposta dell’Europa

Il rapporto esamina anche le iniziative europee in ambito sicurezza che passano per la direttiva Nis approvata nel 2016, che prevedeva misure organiche per cybersecurity e un sistema di cooperazione fra Ue e Stati membri, fino alla seconda versione della drettiva Nis2 che mira a eliminare le divergenze per quanto riguarda gli obblighi di cybersicurezza e l’attuazione delle misure nei diversi Stati membri stabilendo norme minime per un quadro normativo e istituendo meccanismi per una cooperazione efficace tra le autorità competenti di ciascuno Stato membro (istituisce la rete europea delle organizzazioni di collegamento per le crisi informatiche EU-CyCLONe). La stessa direttiva aggiorna l’elenco dei settori e delle attività soggetti agli obblighi in materia di security e prevede mezzi di ricorso e sanzioni per garantirne l’applicazione.

L’ultimo passaggio europeo riguarda la creazione della Joint Cyber Unit, operativa dalla fine del 2022, che fungerà da piattaforma per garantire una risposta coordinata dell’UE a incidenti e crisi cibernetiche su larga scala e offrirà assistenza nella ripresa da questi attacchi, rappresentando un progresso importante verso il completamento del quadro europeo di gestione delle crisi.

La Joint Cyber Unit si occuperà, in particolare, di coordinare la cybersecurity europea, fornendo il piano di risposta alle crisi e agli incidenti dell’Ue, costituendo team di incident response per la sicurezza informatica dell’Ue, favorendo l’adozione di protocolli di mutua assistenza tra i partecipanti e predisponendo capacità di monitoraggio e rilevamento nazionali e transfrontaliere, compresi i centri operativi per la sicurezza (Soc).

L’Agenzia per la cybersicurezza nazionale

Oltre a recepire la direttiva europea in Italia è stato istituito un nuovo organismo per la sicurezza informatica, l’Agenzia per la cybersicurezza nazionale che ha fatto proprio l’approccio “whole-of-society”, secondo cui a svolgere un ruolo attivo sono chiamati tutti gli attori e, dunque, gli operatori privati, il mondo accademico e della ricerca, nonché la società civile nel suo complesso e la stessa cittadinanza. Nel dettaglio, la strategia ha individuato le sfide da affrontare, ha fissato gli obiettivi da perseguire e ha individuato ben 82 misure con relativi attori coinvolti.