Nel processo di digitalizzazione della sanità la sicurezza rimane uno dei problemi fondamentali. La cronaca continua a offrire spunti e la situazione è in piena evoluzione. Per questi motivi il Clusit, l’Associazione Italiana per la Sicurezza Informatica, ha organizzato un evento online dedicato in particolare all’healthcare, che si è aperto con una serie di dati che danno un quadro pesante della situazione, anche se i responsabili IT, secondo i primi dati di un questionario ancora in elaborazione, nell’81% dei casi sostengono di avere fatto quanto possibile per contrastare la situazione.

Un parere che sa tanto di autoassoluzione visto che in molti lamentano che i propri superiori non sono così preoccupati della situazione in tema di sicurezza.

Che la situazione sia difficile lo confermano i dati anche a livello globale che registrano un aumento del 17% totale da gennaio a marzo 2023, contro il 12% del 2022. In Italia gli attacchi informatici negli ultimi quattro anni sono raddoppiati.

Gli attacchi a tecniche multiple

L’analisi del Clusit dice che l’obiettivo della criminalità informatica nella sanità continua a essere la monetizzazione, invece che azioni dimostrative o di spionaggio. Con la sanità si fanno i soldi e infatti nel primo trimestre di quest’anno sono stati rilevati oltre un terzo degli attacchi registrati nel corso di tutto lo scorso anno.

“Questa tendenza esprime la difficoltà a proteggere i sistemi informativi da parte di un settore costretto, come tanti, a una rapida digitalizzazione e particolarmente sotto pressione dagli anni di pandemia, ma anche di un settore che è indubbiamente arrivato meno preparato di altri a questa sfida”, ha commentato Alessandro Vallega del Comitato Scientifico di Clusit. Dal punto di vista dell’impatto gli attacchi nel 71% dei casi sono classificati come “grave” o “critico” rispetto a una media dell’80%, mentre per quanto riguarda le tecniche di attacco per un terzo sono sconosciute, nel senso che si hanno sufficienti dati per classificarle, e da malware.  L’utilizzo di vulnerabilità come punto di ingresso per violare sistemi ha rappresentato invece nel periodo il 16% dei casi. Di rilievo, secondo i ricercatori di Clusit, anche il 9% di attacchi basati su furti di identità e violazione di account, decisamente più alto della media, mentre Roberto Goldoni dell’Azienda Ospedaliero Universitaria di Parma ha sottolineato come gli attacchi portati con tecniche multiple siano triplicati. “Un dato importante perché dice cosa ci si potrà aspettare in futuro visto che credo che queste tecniche in futuro saranno sempre più diffuse”.

Goldoni ha poi sottolineato l’aumento della complessità visto che nel frattempo sul fronte del digitale si sono affacciati nuovi player, pensiamo all’impiantistica, che aumentano la possibilità di attacchi da più punti. Per questo il focus dei difensori non può più limitarsi al vecchio patching.

L’importanza dell’insider risk

Oggi le organizzazioni sanitarie utilizzano tecnologia, rete e strumenti digitali per gran parte della loro attività: per garantire la sicurezza dell’intero sistema è necessario che ciascuno sia consapevole del loro uso, conosca i rischi informatici e le contromisure. Altrimenti si permette ai criminali di creare grandi danni alle persone e alle organizzazioni, interrompendo i servizi di cura, ricattando gli uni e gli altri e vendendo i dati rubati. “Si tratta di minacce per le quali le organizzazioni sanitarie dovrebbero certamente attrezzarsi meglio, anche con costanti verifiche delle vulnerabilità dei sistemi, poiché le conseguenze di questi attacchi non sono solo economiche e organizzative: a rischio ci sono i cittadini e la Società”, ha affermato Vallega.

Tutto questo senza dimenticare l’importante quota di attacchi, circa il 25%, che arriva dall’interno delle strutture. Il problema della sanità è che è una struttura aperta dove il perimetro, come succede anche per le aziende, non esiste più. I medical device, la telemedicina cambiano lo scenario e qualcuno, come ha sottolineato Andrea Provini del Centro diagnostico italiano e presidente Aused, ammette il ritorno al passato. “In alcuni punti abbiamo deciso di isolarci e siamo tornati a utilizzare i nastri. Anche perché esiste un problema di risorse per cui abbiamo deciso di impegnarci dove pensiamo che l’impatto di un attacco possa essere maggiore”.

Scontato il riferimento alla formazione perché se un medico riceve una mail in cui deve cliccare per vedere la sua bolletta Vodafone e clicca con convinzione anche se ha un abbonamento Tim, storia vera, c’è ancora da lavorare. Aspetto importante visto che, come ha spiegato Mario Lugli dell’azienda Ospedaliera Universitaria di Modena e membro del Comitato ICT dell’Aiic “in ospedale il 99,9% delle mail è spam”. Nel suo ospedale, però, quando si fanno corsi di formazione neanche un’ora è dedicata alla sicurezza informatica e, aggiunge Lugli anche per le gare di appalto dovrebbe essere previsto un obbligo normativo che riguardi la security. Dall’assessore alla Sanità, al managementi fino agli operatori manca, e non poco, una cultura della sicurezza informatica. Si fa fatica a comprendere la gravità di una situazione che ha già sfiorato il dramma. “Nel caso di Multimed – ha ricordato Alberto Ronchi dell’Istituto auxologico italiano e presidente Aisis – se si fosse bloccato un secondo pronto soccorso Milano sarebbe stata in ginocchio”.

Manca la collaborazione

Quella contro i cybercriminali – è l’opinione di Sofia Scozzari del Clusit – è una lotta impari perché gli attaccanti fra di loro collaborano mentre i difensori non lo fanno, non parlano fra di loro, non fanno analisi sugli attacchi, attività che aiuterebbe a migliorare le difese. Oggi la difesa è più inefficiente e costa più di un attacco”. Tra l’altro il fronte degli attaccanti si è allargato anche alla criminalità organizzata visto che ormai non c’è questo gran bisogno di competenze con i kit disponibili in rete.

La ricetta è un mix di formazione, organizzazione e tecnologia da adottare con intelligenza per rendere possibile l’accelerazione necessaria e colmare il divario tra la sicurezza che c’è e quella che dovrebbe esserci.

Intanto, il PNRR prevede finanziamenti pari a 2,5 miliardi circa per il potenziamento degli strumenti digitali, dell’infrastruttura e del fascicolo sanitario; tuttavia, non sono inclusi investimenti per la formazione specifica del personale sanitario. Diventa quindi fondamentale che le singole organizzazioni investano in programmi di sensibilizzazione e formazione per il personale e che adottino politiche e procedure di sicurezza appropriate per proteggere i dati sanitari e prevenire gli attacchi cyber. Il ruolo del top management in questo è fondamentale.