Indice dell'articolo

Il settore sanitario, a livello globale, risulta essere tra quelli maggiormente colpiti da attacchi cyber alle infrastrutture digitali”. Inizia così il report dell’Agenzia per cybersicurezza nazionale che, a partire da gennaio 2022, ha contato mediamente almeno due eventi cyber malevoli al mese ai danni di strutture sanitarie, dei quali la metà circa ha dato luogo a “incidenti di sicurezza” con un impatto effettivo sui servizi sanitari erogati, sia in termini di disponibilità sia di riservatezza, causandone il blocco.

Il verdetto dell’Agenzia è impietoso. “Le analisi sugli incidenti mostrano che i tentativi di attacco spesso hanno successo poiché alcune pratiche di sicurezza, anche elementari, vengono ignorate o mal implementate. Nella maggior parte dei casi, ciò è frutto di scarsa attenzione agli aspetti di sicurezza connessi alla gestione di sistemi digitali, o di una carente formazione specifica sulla cybersicurezza del personale impiegato in ospedali, centri medici, cliniche e altre strutture sanitarie”.

Come ha sottolineato la vicedirettrice generale dell’Agenzia Nunzia Ciardi, “l’attacco a una una infrastruttura sanitaria, non compromette soltanto dati e numeri, ma la vita delle persone. In una singola infrastruttura sanitaria italiana attaccata tempo addietro hanno dovuto sospendere per più di tre settimane le radioterapie ai malati oncologici che hanno perfino dovuto cambiare distretto per continuare la cura“. E i dati sanitari sul dark web valgono più delle carte di credito.

I numeri degli attacchi


Fra il 2022 e il 2023 ci sono stati 45 casi documentati con un aumento del 50% rispetto all’anno precedente. Gli attacchi ransomware sono i più diffusi con il 35% degli eventi nel 2023 e il 60% nel 2022, l’attività di information disclosure è stata rilevata nel 14% degli eventi nel 2023, la diffusione di malware tramite e-mail arriva al’10% degli eventi, mentre lo sfruttamento di vulnerabilità ha caratterizzato il 10% degli eventi nel 2023 e il 13% nel 2022. Inoltre, nel periodo da gennaio ad agosto 2024, il numero complessivo degli eventi cyber è aumentato rispetto allo stesso intervallo del 2023. Si è inoltre registrato un aumento degli incidenti, con un picco significativo osservato nel mese di luglio, dovuto a un attacco supply chain che ha coinvolto un fornitore di servizi It, generando impatti sui clienti del settore sanitario.

La predominanza degli attacchi di tipo ransomware – commenta il report – potrebbe far pensare ad impatti esclusivamente sulla disponibilità dei servizi. In realtà le evidenze riscontrate nelle attività del Csirt Italia sono più complesse. Se è vero, infatti, che negli ospedali gli impatti maggiori si sono registrati principalmente sulla disponibilità dei servizi, a causa della cifratura dei file, è altresì vero che sono stati rilevati anche altri impatti sulle infrastrutture It: esfiltrazioni di dati, non sempre ai fini di riscatto, modifiche ai dati (e quindi perdita dell’integrità, con conseguente impossibilità per gli operatori sanitari di utilizzare alcuni macchinari) e cancellazioni di file”.

Gli impatti si sono tradotti nel blocco temporaneo dell’erogazione di almeno un servizio nella maggioranza dei casi, con variazioni nella distribuzione che vanno dal blocco di tutti i servizi It al blocco di uno o due servizi, all’esfiltrazione dei dati con e senza cifratura fino alla modifica all’integrità dei dati.

Cosa fare

A seconda delle criticità rilevate bisogna evitare l’esposizione di alcuni servizi su Internet, aggiornare il software o modificare le configurazioni del servizio. La maggior parte delle criticità riscontrate rientrano nel terzo gruppo, il più grave.

Gli attacchi informatici, spiega l’Acn, sono sostanzialmente favoriti da tre condizioni di criticità che caratterizzano la quasi totalità delle strutture sanitarie. Gestione decentralizzata di sistemi digitali: reparti e/o uffici diversi, all’interno della stessa struttura, hanno la possibilità di approvvigionamento di hardware, software e servizi It da società terze in maniera autonoma, senza una It unica centrale e senza una politica comune. In questo modo è possibile avere un reparto con hardware e software diverso dagli altri o gestito in maniera differente.

Poi c’è l’obsolescenza dei dispositivi: gli apparati medicali, spesso molto costosi, hanno una vita utile estremamente più lunga rispetto alle tecnologie di sicurezza e di It in generale: apparati obsoleti dal punto di vista informatico, non più aggiornabili o non più supportati dai produttori rimangono in uso perché la manutenzione evolutiva è giudicata troppo onerosa. Una manna per il cybercrime.

A tutto questo si aggiunge la carenza quantitativa e qualitativa di personale dedicato alla cybersicurezza, un problema che non riguarda solo la sanità vista la mancanza in generale di skill e personale specializzato.

Per ovviare a questa difficile situazione, l’Agenzia nazionale per la cybersicurezza ha elencato una serie di best practices da adottare. Un elenco di 12 operazioni che vanno dall’implementazone dell’autenticazione multifattore alla creazione di una password policy che rispetti le best practices in uso fino alla creazione di un asset inventory dei dispositivi con relativa versione del software e del firmware in uso.

È chiaro – ribadisce il report – che tali raccomandazioni risultano più efficaci e gestibili ove assicurata una governance centralizzata della cybersecurity e dell’It, garantendo la separazione di ruoli, ottenibile con un approccio programmatico, strutturato e integrato, fondato sulla gestione del rischio. Infatti, solo attraverso la definizione di un corretto assetto organizzativo, in termini di ruoli e responsabilità, ed efficienti processi di sicurezza sarà possibile, insieme all’adozione di soluzioni tecnologiche, ridurre il rischio di rimanere vittime di incidenti informatici”.

Il commento finale è direttore dell’Acn Bruno Frattasi: “Abbiamo predisposto delle linee guida con indicazioni riguardo la minaccia informatica sulle strutture sanitarie. Una minaccia che ha molte facce sfrutta anche la non consapevolezza del rischio cibernetico da parte degli operatori sanitari. Quindi richiede un investimento nella cultura della sicurezza informatica. Questo manuale non individua soltanto rischi e difetti di sicurezza, ma indica delle buone prassi, e, che, seguite, potranno garantire una migliore difesa dei sistemi digitali sanitari“.