Gli ospedali e i centri medici italiani non sfuggono agli attacchi informatici. Il 24% delle strutture sanitarie del nostro Paese sostiene infatti di avere subito attacchi cyber nel 2020. Si tratta nel 33% dei casi di accessi abusivi ai dati, per il 19% di danneggiamenti dei dati o dei sistemi informatici, l’11% è costituito da ransomware e con percentuali inferiori il furto di device, attacco al sito Internet, violazione dei dati e tracciamento illecito.

Sono i numeri principali dell’indagine “Capire il rischio cyber – Il nuovo orizzonte in sanità”, realizzato da Sham, società del Gruppo Relyens, in collaborazione con il Dipartimento di Management dell’Università di Torino. Il report, basato su 68 professionisti di strutture distribuite in 14 regioni italiane, analizza la preparazione e la consapevolezza della sanità italiana che non sottovaluta la minaccia informatica.

C’è l’attenzione ma non la conoscenza reale del rischio

Il cyber risk in sanità è infatti considerato una priorità impattante sui modelli organizzativi e sulle attività da erogare per circa il 60% degli intervistati oltre a un ulteriore 31% che lo ha valutato come parzialmente prioritario.

Nonostante la grande attenzione le strutture sanitarie sono carenti per quanto riguarda la mappatura del rischio effettuata parzialmente dal 49% con solo il 29% che è impegnato in questo tipo di attività. Difficoltà anche per la rilevazione del dato in merito alla eventuale analisi dei rischi potenziali effettuata in modo parziale dal 53% ed effettuata dal 31%. La percentuale di frequenza relativa ai test di vulnerabilità è però limitata al 35% con una significativa risposta “Non so” che arriva al 26%.

C’è l’attenzione ma non la conoscenza reale del rischio e di conseguenza “anche il set informativo relativo al tema della gestione del rischio cyber all’interno dell’organizzazione, si presenta come un’area da migliorare”.

Il 53% dei rispondenti dichiara di non avere o avere solo in parte un piano di gestione contro il 28% che ne ha invece predisposto uno specifico. E a seguito di eventi cyber, il 44% ha implementato azioni di miglioramento interno, mentre il 13% lo ha fatto solo in parte con una percentuale elevata di risposte “Non so”.

Un dato confortante, però, arriva da quel 60% che possiede un sistema di data protection e cybersecurity con il 29% che lo ha fatto in parte.

Per quanto riguarda i sistemi di data protection implementati il 50% afferma che sono certificati secondo linee guida nazionali o internazionali e il 10%, con quota rilevante di “Non so” spiega di avere contratto una polizza assicurativa per cautelarsi dalle conseguenze economiche.

Nel 26% dei casi è la definizione dei profili di autorizzazione degli utenti, per il 22% la gestione dei diritti dell’amministratore, il 10% data loss prevention, 17% password manager, 21% disabilitazione degli account non più utilizzati e per ilre sto antivirus e antispam, firewall e web filtering.

Due nuovi ruoli da inserire nell’organico sanitario

In merito alle nuove figure del Data protection officer (Dpo) e del Chief information security officer (Ciso) l’inserimento della prima raggiunge la vetta dell’85% con la seconda che scende invece al 51%.

“Inoltre – osserva il rapporto – si palesa ancora un basso interesse delle architetture aziendali verso l’adozione di modelli organizzativi certificati per l’information security management”.

Difficoltà anche per la presenza di un team interno cyber strutturato all’interno del contesto aziendale che riscontra solo un 43% complessivo di soddisfazione che somma risposte “Sì” e “in parte”. Ultimo tema affrontato è quello relativo alla formazione degli operatori con il 43% degli intervistati che dichiara di avere investito, il 12% non lo ha fatto e il 37% ha proceduto solo in parte. In questo caso il “Non so” ha valore basso attorno all’8%.

La conclusione del rapporto dice che il tema viene considerato prioritario ma non sufficientemente misurato e gestito. E anche dopo eventi avversi non è sistematico procedere con l’analisi reattiva del caso o con miglioramenti.

Le organizzazioni aziendali, inoltre hanno parzialmente recepito le disposizioni contenute nel Gdpr e i modelli gestionali adottati in tema di information security management sono solo in minima parte certificati o valutati nelle loro performance.

E se da una parte il quadro normativo e le dotazioni hardware sono rigorose o comunque non carenti nelle strutture sanitarie la forte criticità arriva da un insufficiente livello di allerta del personale sanitario.

A mancare è la conoscenza dei rischi racchiusi anche nelle operazioni più banali da parte degli operatori che utilizzano device digitali come strumenti di lavoro. In più, il personale dedicato alla sicurezza informatica è insufficiente e i ruoli legati al rischio cyber non sono sufficientemente definiti all’interno dell’organizzazione sanitaria. La gestione dei sistemi tecnologici necessita di più addetti e con maggiori competenze anche relative alla sicurezza informatica.

Questi nuovi ruoli professionali dovrebbero essere inseriti nell’organico sanitario per informare e dialogare costantemente con i risk manager e con il top management della struttura sanitaria. Formazione continua e chiarezza dei ruoli sono l’investimento più promettente per rafforzare la sicurezza informatica nella sanità italiana perché la consapevolezza e competenza del personale sanitario è l’ambito dove ci sono le maggiori possibilità di miglioramento e dove c’è grande urgenza di azioni correttive.