Dopo il Lazio è toccato anche alla Toscana. Dopo l’attacco che ha paralizzato i sistemi informatici della Regione è stato il turno della Toscana dove, nella notte tra il 17 e il 18 agosto, i server dell’Agenzia regionale di sanità (Ars) sono stati attaccati da un virus che ha distrutto dati epidemiologico-statistici.

Il danno, assicurano, è stato però minimo ma riporta l’attenzione sulla cybersecurity nella Sanità, un settore dove sono presenti centinaia di datacenter e dove non abbondano le competenze informatiche. Carenza di investimenti, professionalità e formazione sui dipendenti sono i punti deboli di un settore vitale dove, secondo il Clusit, il 55% degli attacchi a tema Covid-19 è stato perpetrato a scopo di cybercrime, per estorcere denaro.

Che il problema in questi anni non sia all’ordine del girono lo conferma la carenza di dati. L’analisi più recente è dell’Agid che, nell’ambito del Piano triennale per la Pa afferma riguardo la sanità territoriale.

“L’indagine evidenzia un quadro ancora poco incoraggiante dal punto di vista dei modelli di governance e delle azioni intraprese. La presenza di un’unità organizzativa dedicata alla gestione della tematica rappresenta una rarità e nel 70% dei casi sono le risorse del dipartimento informatico, mediamente costituito da team numericamente contenuti, a occuparsi della gestione della Cybersecurity; nel 27% dei casi a queste si affiancano dei fornitori esterni, e solo nel 14% delle aziende è presente un ufficio autonomo all’interno dell’It o una Direzione sicurezza aziendale”.

I dati dell’Agid sulla sanità territoriale

Il Risk assessment è stato effettuato dal 62%, ma un terzo del campione lo ha fatto con una cadenza non predefinita e il 33% non lo ha fatto per nulla. La maggioranza ha adottato policy per l’utilizzo di strumenti informatici, sono aumentate le ore di formazione, ma qualche lacuna c’è anche per quanto riguarda l’adozione delle misure minime previste dall’Agid con adeguamento per quanto riguarda il back up dei dati, l’adozione di difese contro i malware, l’uso appropriato dei privilegi di amministratore, l’inventario di dispositivi e di software e la protezione delle configurazioni standard su dispositivi e per la protezione dei dati.

Inadeguata è considerata la valutazione e correzione continua delle vulnerabilità, ma ancora più carente risulta l’adozione di linee guida per lo sviluppo sicuro del software, la “security by design”. Solo il 29% delle aziende intervistate ha già adottato un Piano di Business Continuity, mentre nel caso del Disaster recovery si arriva al 38%. In generale la spesa Ict della sanità territoriale è stata rilevata in crescita ma circa il 50% della spesa è destinata alla manutenzione hardware e software e all’assistenza e presidio delle applicazioni. In pratica si spende ancora troppo per fare funzionare ciò che già esiste, mentre il 38% della spesa è per i servizi Ict e il resto per l’acquisto di licenze software (4%), hardware (7%) e servizi di sviluppo software (5%).

Pompieri e prevenzione

Urge correre ai ripari e non solo con l’intervento dei pompieri, leggi aziende specializzate nella sicurezza, che corrono a tappare i buchi quando però l’attacco è già scattato. Secondo uno studio di Ibm passano più di duecento giorni da quando l’azienda subisce l’attacco a quando se ne accorge. Un periodo di tempo biblico per un’azienda di qualsiasi tipo e in particolare per l’ambito sanitario dove fioccano i dati sensibili. Bisogna lavorare sulla prevenzione aumentando gli investimenti e facendo crescere le professionalità anche se, soprattutto in quest’ultimo caso ci vuole tempo.

Dal punto di vista dei soldi la parola magica è Pnrr. Il Piano è invocato da Carlo Nicora, vicepresidente della Fiaso, Federazione delle aziende sanitarie e ospedaliere che afferma “Abbiamo espresso soddisfazione per la recente istituzione della Agenzia nazionale per la cybersicurezza e sappiamo che il Pnrr prevede risorse importanti per la digitalizzazione. Noi siamo sempre più convinti che quelle risorse saranno una grande opportunità per imprimere una accelerazione alla digitalizzazione, anche in sanità, se metteremo al primo posto l’attenzione alla sicurezza come elemento strutturale e imprescindibile”.

Nella parte relativa alla sanità del Piano si parla infatti di “Potenziare e innovare la struttura tecnologica e digitale del Ssn a livello Centrale e Regionale” anche se non ci sono dettagli particolari sulla sicurezza informatica, mentre nella sezione riguarda la Pubblica amministrazione si fa riferimento “all’immissione di nuovo personale sia nelle aree di pubblica sicurezza e polizia giudiziaria dedicate alla prevenzione e investigazione del crimine informatico diretto contro singoli cittadini, sia in quelle dei comparti preposti a difendere il paese da minacce cibernetiche. Infine, sono irrobustiti gli asset e le unità cyber incaricate della protezione della sicurezza nazionale e della risposta alle minacce cyber”.

Per quanto riguarda la formazione di nuovi esperti potrebbero arrivare dagli Its. Questa è la proposta del deputato Dem, Serse Soverini, allo studio dell’esecutivo, dopo l’attacco hacker alle banche dati sanitarie della regione Lazio. Il percorso è già nel Dna degli Its: “Si tratta di moduli formativi di 2mila ore. – ha spiegato Soverini- Di queste, 1.200 ore potrebbero svolgersi in aule e laboratori innovativi. Le restanti 800 ore nelle amministrazioni pubbliche, dagli enti locali ai ministeri”.

In pratica i vincitori di un concorso sarebbero avviati all’Its per poi a fine corso entrare a fare parte della Pa. Gli Its che si occupano di Ict sono una decina in Italia; e il 20% degli 1,5 miliardi in arrivo dall’Ue dovrà essere usato per lo sviluppo del digitale