Cyber Security e sanità in Italia
L’accelerazione impressa dalla pandemia da Covid-19 alla trasformazione digitale ha messo le strutture sanitarie nelle condizioni di doversi adeguare in fretta, adottando dispositivi e tecnologie innovative che, se da un lato migliorano notevolmente l’efficienza, la qualità e l’organizzazione del sistema, dall’altro espongono maggiormente a minacce cibernetiche. Infatti, la sicurezza informatica all’interno del settore sanitario italiano è stato messa in serio pericolo da quella che viene definita una “preparazione nettamente insufficiente sia in termini di tecnologie che di competenze professionali”. La cura del paziente, la sicurezza delle informazioni e dei dispositivi di diagnosi e intervento rendono il settore sanitario un ecosistema vasto e complesso come ben pochi altri ambiti. In aggiunta, il settore è fortemente preso di mira dalla criminalità informatica, tanto che solo ad aprile 2021 la telemetria Bitdefender ha rilevato in Italia circa 7.000 attacchi.
È questo lo scenario emerso dall’indagine Healthcare Cybersecurity condotta da Bitdefender, che ha coinvolto i responsabili IT di strutture pubbliche (85% del campione) e private (15%), illustrata in occasione dell’evento Healthcare Security Summit 2021 di Clusit.
I numeri che emergono dallo studio lasciano ben poco spazio alle interpretazioni: il 93% delle aziende appartenenti al settore ha subito attacchi in passato e il 64% ritiene probabile o altamente probabile una nuova azione malevola.
Per contrastare la vulnerabilità ai cyberattacchi, Bitdefender ritiene che le organizzazioni nell’ambito della sanità debbano garantire sei fattori principali: protezione, rilevamento, risposta, competenze, budget, organizzazione, cultura e leadership.
In tutti gli aspetti presi in considerazione dall’indagine per un rilevamento efficiente, le percentuali non raggiungono mai la sufficienza. Gli attuali strumenti di rilevamento in ambito Endpoint Detection and Response e Advanced Persistent Threat sono considerati efficienti solo per il 53% degli intervistati. Evidenti le difficoltà anche nel determinare la fonte dell’attacco, individuata solo nel 43% dei casi. Inoltre vengono rilevate criticità anche sul monitoraggio costante dei rischi per le infrastrutture sanitarie e i macchinari diagnostici che nel 67% dei casi non viene eseguito; sul monitoraggio della visibilità dei livelli di rischio dell’organizzazione effettuata (41% degli intervistati); sull’utilizzo di strumenti di analisi del rischio impiegati solo nel 43%.
Le principali lacune sono legate al fatto di non avere un Security Operation Center (67%), non eseguire abbastanza simulazioni di attacchi per comprendere dove rafforzare i processi di resilienza (63%) e non avere piena visibilità sulla catena degli attacchi (59%). Secondo gli intervistati, per il fattore competenze, gli aspetti più efficienti si riferiscono all’impiego di esperti esterni se necessario (67%) e al basso turnover dei dipendenti (66%).
Per i responsabili IT gran parte delle difficoltà sono legate al fatto di non avere un budget dedicato alla cybersecurity determinato in funzione dell’analisi del rischio e basato sul ritorno sugli investimenti in sicurezza come evidenzia il 60% degli intervistati. A queste, si somma l’incapacità di guidare i cambiamenti necessari con il budget attuale, come sottolineato dal 53% degli intervistati.
In questo ambito emergono però anche mancanze legate all’assenza di formazione di leadership nella cybersecurity per le funzioni chiave dell’organizzazione (70%), all’insufficiente riconoscimento del rischio di cybersecurity da parte del consiglio di amministrazione (70%) e al non sentirsi supportati dal governo per migliorare il livello di cybersecurity (66%).
Infine, è difficile migliorare istantaneamente su tutti i fronti; ecco perché la maggior parte delle organizzazioni sanitarie sta cercando di esternalizzare parte delle operazioni di cybersecurity come sottolinea il 79% degli intervistati. Questa è la tendenza futura che emerge chiaramente dai risultati dell’indagine. La sicurezza informatica, inoltre, è un ambito molto complicato che necessita di personale specializzato per colmare lo skill gap di cui risente tutto l’ecosistema sanitario.