Sanità: spesa ICT in aumento. Ma la sicurezza rimane un problema
Cresce la spesa Ict in Sanità anche se per ora si avvertono solo i primi deboli effetti dell’arrivo dei fondi del PNRR. L’Agenzia per l’Italia Digitale ha pubblicato la seconda edizione del report sulla “Spesa ICT nella Sanità Territoriale” che stima per il 2022 una cifra come 874,6 milioni di euro di spesa ICT per un tasso di crescita del 14%, rafforzando il trend già osservato l’anno precedente “per effetto dell’esigenza di intraprendere i nuovi progetti digitali a supporto della nuova situazione indotta dalla pandemia e non solo”.
Sono i primi effetti del PNRR in aggiunta agli stimoli derivanti dagli Accordi Quadro Consip di sanità digitale mentre a fine anno dovrebbe arrivare anche l’assegnazione del bando per Cloud Italia.
Partono nuovi progetti
Effettuata tra il mese di ottobre e quello di dicembre del 2021, l’indagine ha coinvolto le strutture sul territorio: Asl, Aziende Ospedaliere, AO Universitari, Policlinici e Istituti di Cura a Carattere Scientifico, per un totale di 153 enti intervistati, il 76% di tutte le strutture pubbliche sanitarie italiane.
La voce di maggiore incidenza della spesa è relativa alla manutenzione hardware e software dei sistemi che registra un calo progressivo passando dal 48% del consuntivo del 2019 al 41% del 2022.
“Mentre nel 2020 per rispondere all’emergenza è possibile che le aziende abbiano proceduto con estensioni di progetti all’interno dei contratti già esistenti (si pensi all’attivazione delle visite in remoto), a partire dal 2021 è evidente lo spostamento di parte della spesa verso l’acquisto di licenze, di servizi di sviluppo e di hardware che fa pensare a progetti in piattaforme e soluzioni in gran parte nuove, a testimonianza di come l’esigenza di intraprendere un processo di digitalizzazione si stia progressivamente concretizzando in progettualità”.
Il rapporto di 53 pagine prende in esame i vari aspetti della spesa, segnala la crescita della telemedicina, Business Continuity e Disaster Recovery ma conferma le carenze in ambito sicurezza.
Poco si muove per la security
“Le misure adottate in ambito cybersecurity non mostrano alcun miglioramento rispetto alla scorsa rilevazione ed evidenziano ancora un quadro complessivo poco soddisfacente sull’effettiva maturità delle aziende sanitarie di rispondere e gestire le minacce cyber”.
Solo il 14% del campione ha un team dedicato alla security con un ufficio autonomo all’interno dell’It o una Direzione Sicurezza aziendale che si occupa della governance e di dettare le policy. Nel 63% dei casi la cybersecurity è gestita dal dipartimento informatico ridotto nei numeri e per il 14% è affidata a operatori privati o pubblici (6%).
Si conferma l’adozione non strutturata di vulnerability assessment o penetration test. Altro tema importante è rappresentato dal fattore umano, uno dei principali elementi di rischio, quando gli utenti non sono stati adeguatamente formati sui rischi correlati agli attacchi cyber e sulle modalità di attuazione. Le policy maggiormente adottate sono quelle relative alla modalità di accesso a sistemi e dati tramite password, 82%, seguita dalle policy generali e specifiche, rispettivamente 68% e 63%.
Andiamo male anche per quanto riguarda la formazione. Le simulazioni di phishing sono in crescita ma dal 7% del 2020 sono arrivate al 31% del campione. Analoga sorte per le esercitazioni di sicurezza che il 20% delle aziende dichiara di aver effettuato nel 2021 (solo 3% nel 2020).
“Il livello di adeguamento da parte di aziende sanitarie e ospedaliere rispetto alle misure minime e regole tecniche dettate da Agid in materia di sicurezza informatica non mostra miglioramenti, se non in misura limitata, rispetto alla scorsa rilevazione”.
Security by Design
Le aziende intervistate confermano di essersi adeguate alle misure minime dettate da Agid per quanto riguarda il backup dei dati, sull’adozione di difese contro i malware e l’uso appropriato dei privilegi di amministratore, meno elevata ma comunque sufficiente l’adozione di misure per l’inventario di dispositivi e di software per la protezione delle configurazioni standard su dispositivi e per la protezione dei dati.
Così come rilevato nella scorsa edizione del sondaggio, le aziende non hanno invece adottato misure adeguate sia per quanto riguarda la valutazione e correzione continua delle vulnerabilità sia per l’adozione di linee guida per lo sviluppo sicuro del software, ovvero la cosiddetta “security by design”.
Anche rispetto all’implementazione di un Piano di Disaster Recovery e di Business Continuity non si evidenziano progressi significativi rispetto al 2019. Il Piano di Business Continuity è adottato dal 29% delle aziende, percentuale rimasta invariata rispetto alla scorsa edizione e il Disaster Recovery è patrimonio del 36% del campione.
“Questi dati sono preoccupanti se si considera l’elevata criticità dei sistemi informativi di aziende sanitarie e ospedaliere, che richiederebbe l’adozione di un approccio che sia in grado di garantire maggiormente la continuità di funzionamento e il ripristino di sistemi”. Però oltre il 65 % del campione prevede di adottare un piano di Business Continuity o di Disaster Recovery.
Se poi dovesse succedere qualcosa il 25% potrebbe recuperare i dati tra le 10 e le 24 ore e il 14% oltre le 24 ore con il rischio blocco delle attività. Solo il 23% rimane entro una e quattro ore.
La spesa destinata alla cybersecurity, pur essendo in crescita nel periodo 2019 – 2022, non è adeguata se confrontata con l’inasprimento delle minacce cyber a cui il settore sanitario è esposto.
Inoltre, il 34% delle aziende intervistate non ha un budget dedicato alla sicurezza. Per il 2020 si parla di 15,7 milioni di euro, pari ad appena il 2,3% della Spesa Ict, un dato relativamente basso se si confronta con una media italiana del 5-10%. La previsione è però di un aumento anche in termini di incidenza sulla spesa ICT, che in previsione dovrebbe rappresentare il 4,1%, una quota ancora inferiore all’incidenza media della spesa negli altri settori, ma che comunque rappresenta un segnale di crescita positivo.
“I risultati della ricerca evidenziano come le aziende sanitarie ed ospedaliere non abbiano ancora conseguito una piena conformità alla normativa. In particolare, maggiori gap sono riscontrati nell’implementazione delle soluzioni di data protection e nella progettazione di applicazioni e database con logica security by design”. E nelle conclusioni si afferma che “Il livello di maturità della sanità pubblica territoriale nel percorso di digitalizzazione è ancora distante da una situazione ottimale”.
Ancora limitati sono gli investimenti verso l’introduzione di soluzioni digitali che puntino su tecnologie innovative data-driven e anche l’evoluzione verso il cloud, che potrebbe consentire un’accelerazione verso un percorso di modernizzazione di architetture e sistemi, è ancora ai primi passi, in ritardo rispetto alle altre amministrazioni.