La strada è ancora lunga. L’Healthcare Cybersecurity Global Trends di Bitdefender fotografa la situazione della cybersicurezza nella sanità italiana e ne evidenzia i punti di debolezza. Presentata da Denis Valter Cassinerio, Regional Sales Director Sud Europa, all’evento organizzato dal Clusit, l’indagine in Italia ha raccolto i pareri per l’85% di aziende pubbliche e il 15% private con il 77% dei rispondenti che lavorano nell’IT e l’8% nell’ingegneria clinica e la presenza di strutture di dimensioni particolarmente rilevanti visto che il 40% ha più di 500 posti letto.

L’importanza della cybersecurity è confermata dal dato che la piazza al terzo posto a livello mondiale fra gli investimenti che nel 61% dei casi sono indirizzati verso telemedicina e virtual care delivery, big data (46%) e sicurezza per il 42%. Le sfide sono tante e riguardano l’integrazione di strumenti e necessità che devono combinare la cura del paziente con la sicurezza delle informazioni e quella dei dispositivi che devono garantire la vita del paziente.

Il quadro è peggiorato

Per questo c’è la necessità di conciliare la medicina virtuale con un numero impressionante di oggetti e dispositivi medici smart che allargano la superficie di attacco e hanno poca o nulla interoperabilità tra loro, sistemi operativi diversi e bios datati. Il quadro è peggiorato da una situazione di enorme tensione sul fronte della sicurezza dovuta a un continuo ricorso a phishing mirato e ransomware e alla mancanza di soluzioni efficienti di sicurezza e protezione, rilevamento e analisi.

A livello mondiale il phishing con il 57% è il preferito dagli hacker seguito dal credential harvesting attacck (21%) e a pari merito da ransomware (Wannacry soprattutto) o altri malware e social engineering con il 20%. L’Italia non fa eccezione. La telemetria di Bitdefender mostra un quadro sempre più preoccupante di attacchi al sistema sanitario. Non tutti sono sui giornali ma frequenza e volume (mai sotto i settemila attacchi negli ultimi mesi con punte fino a 10,9 in gennaio) tende a non scendere sotto una certa soglia, rispettando peraltro alcuni ambiti stagionali. Il furto delle informazioni e delle credenziali è al primo posto e il ransomware segue.

Con uno sguardo generale il dato sul livello medio della protezione si ferma al 57% con punte che arrivano al 76% nell’ambito della protezione dei punti terminali di elaborazione “dove – commenta Cassinerio – c’è un buon livello di preparazione così come buona visibilità degli asset. C’è la sufficienza nell’ambito della gestione della protezione degli account (67%) con logiche di password molto interessanti (66%), ma valori non pienamente sufficienti nella protezione dei processi di telemedicina (59%)”.

Un dato migliore ci si poteva aspettare per l’adeguamento ai protocolli Agid, le misure minime di sicurezza (56%), e poi, prosegue il manager di Bitdefender, ci sono problemi nella messa in sicurezza della superficie di attacco (56%) e molto bassi sono gli elementi protection layer in particolare riguardo i dispositivi medici (41%), per non parlare della presenza di sistemi operativi datati (36%).

Nella Detection il livello medio scende e si passa al 44% e gli istituti sanitari dimostrano di avere lacune dove ci sono attacchi di tipo persistente (54%) andando ancora più in difficoltà quando si tratta di identificare l’indicatore di compromissione e di attacco (49%) “temi legati a una profonda conoscenza della cyber”, osserva Cassinerio.

I problemi sono ancora maggiori nel momento in cui bisogna determinare le sorgenti dell’attacco (43%) e quando si a verificare lo stato di rischio, anche utilizzando protocolli o strumenti messi a disposizione dalla PA, si inizia ad avere valori molto bassi (36%) in particolare negli strumenti per l’analisi del rischio nella visibilità del risk level o la possibilità di capire quotidianamente il livello di pericolo e dare la priorità alle risorse per ritornare a uno stato di sicurezza accettabile. Ancora peggio (33%) per i dispositivi di natura diagnostica dove non si capisce dove è il rischio quali sono le particolare problematiche si devono affrontare.

Insufficiente (49%) è anche la risposta delle strutture sanitarie a un eventuale attacco. Se si arriva al 60% in caso di attacco ransomware e velocità di risposta si scende al 56% per quanto riguarda il piano di risposta agli incidenti e al 50% per i tempi di risposta del “perimetro di sicurezza cibernetica”. Valori ancora più bassi, arriviamo al 37% per gli attacchi simulati che dovrebbero verificare l’efficienza del sistema e rafforzare i processi di resilienza e (33%) per l’esistenza di un Security operation center.

Altro problema, che riguarda l’IT in generale, è quello degli skill dove l’efficiency rate è del 46%. In questo caso, spiega Cassinerio, si assiste a un turnover relativamente basso (66%), alla presenza di consulenti (67%), ma alla convinzione che il livello della formazione del personale non sia adeguato (47%) così come la quantità del personale dedicato alla sicurezza (46%). Sul fronte budget la media è del 53% con il 66% che sostiene come una volta approvato non ci sono rischi di tagli con una pianificazione che di solito non supera l’anno, ma anche se c’è l’ok non sempre i fondi sono pronti per essere utilizzati (50%), sintomo di difficoltà in ambito amministrativo.

“Il percorso da fare – commenta in fine Cassinerio – è ancora lungo e tortuoso. C’è la necessità di un approccio più specifico per ogni elemento anche per la tensione fra ingegneria clinica e II. La tendenza comunque è di esternalizzare gli skill e i servizi nell’ambito sanitario per quanto riguarda la sicurezza. Tutti fanno o faranno outsourcing e chi risponde no è solo perché in questo momento lo sta pianificando”.