Dall’ultimo rapporto Clusit sulla sicurezza ICT relativa al settore Healthcare emergono dati allarmanti circa il livello di protezione delle strutture sanitarie pubbliche e private dalle azioni degli hacker. Tuttavia, nonostante ciò, è possibile correre ai ripari ed iniziare a proteggersi. Vediamo in questo articolo quali sono dalle informazioni in nostro possesso, le tipologie di cyber attacchi e le principali azioni per migliorare la cyber security nel contesto sanitario.
1. La cyber sicurezza nel settore sanitario: i numeri
Nei primi 3 mesi del 2023 gli attacchi globali alle organizzazioni del settore sanitario sono stati il 17% del totale (contro il 12% del 2022) e il 71% ha avuto un impatto “critico”. Anche la situazione italiana appare particolarmente preoccupante in quanto gli attacchi alle strutture sanitarie sono triplicati negli ultimi 4 anni.
Queste sono alcune delle informazioni riportate dall’ultimo rapporto di Clusit, l’Associazione Italiana per la Sicurezza Informatica, sulla cybersicurezza del settore sanitario.
Quello che preoccupa maggiormente per il settore Healthcare italiano è che la totalità degli attacchi è riconducibile a cybercrime, per lo più di entità grave o altamente critica.
Le modalità di attacco favorite sono il malware (33%) seguito dallo sfruttamento delle vulnerabilità note (17%) e dal furto di identità e dati personali (9%).
Vedremo più nel dettaglio nei prossimi capitoli quali sono le tipologie di attacchi in questione, le sfide per la messa in sicurezza del settore sanitario italiano e quali sono le soluzioni che le strutture possono adoperare per proteggersi.
2. Gli attacchi cyber più comuni al sistema sanitario
Nel capitolo precedente abbiamo visto qual è la situazione italiana della cyber sicurezza delle strutture sanitarie. Vediamo adesso in che modo i cyber criminali attaccano il sistema sanitario pubblico e privato e a quale tipo di informazioni sono interessati.
La maggior parte delle strutture sanitarie è esposta a differenti tipologie di attacchi informatici tra cui ransomware, attacchi alla propria supply chain, compromissione del cloud ed email phishing.
Il primo caso, quello del ransomware, è il più comune e diffuso.
Basti pensare che, secondo il report di Clusit, i ransomware nell’anno 2018 rappresentavano il 23% di tutti i malware, nel 2019 sono diventati quasi la metà (46%) e nel 2020 sono arrivati al 67%. Nel primo trimestre del 2023, sempre secondo il rapporto, rappresenterebbero la quasi totalità degli attacchi cyber.
Questa tipologia di virus è chiamata così perché capace di rendere inaccessibili i dati dei computer che infetta. Gli hacker sfruttano questo meccanismo di blocco per chiedere un riscatto (ransom) in cambio del rinnovato accesso ai dati bloccati.
Un esempio recente (Maggio 2023) è stato l’attacco ransomware all’Azienda Asl 1 dell’Abruzzo che si è vista pubblicati online più di 360 GB di dati di utenti, tra referti e cartelle cliniche.
Lo stesso è accaduto un mese dopo all’Ospedale Vanvitelli di Napoli. Ad aggravare la situazione degli attacchi alle due strutture il fatto che, pur trattandosi di attacchi ransomware, in entrambi i casi non è stato chiesto un riscatto ma è avvenuta la diretta pubblicazione dei dati sensibili online (fatto ancora più gravoso).
Vediamo nel prossimo capitolo quali sono i punti deboli del sistema sanitario, quelli che maggiormente andrebbero protetti, supervisionati ed implementati.
3. Le sfide della cyber security per il sistema sanitario
Quali sono, dunque, le sfide che il settore sanitario dovrebbe affrontare per mettersi in sicurezza?
Per prima cosa, dotarsi di tecnologie maggiormente all’avanguardia. Molti sistemi utilizzati nel settore sanitario sono spesso obsoleti (computer con software Microsoft 97 o XP, ad esempio) e non aggiornabili a livello di sicurezza.
Questi dispositivi sono un ottimo punto di accesso per gli hacker, che sfruttano in questo modo vulnerabilità note per penetrare nei sistemi sanitari con ransomware e, più in generale, malware e mandare in tilt l’intero sistema.
In secondo luogo, dovrebbero essere costantemente controllati e verificati dal punto di vista della sicurezza tutti i dispositivi connessi alla rete della struttura, in particolar modo gli IoMT, ovvero tutti i dispositivi medici collegati alla struttura o a un operatore sanitario tramite Internet.
Le organizzazioni sanitarie si stanno sempre più dotando di tecnologie diffuse, quali la connessione wi-fi per migliorare l’esperienza dei pazienti e del personale sanitario. Tuttavia, rispetto ad altri settori, quello sanitario presenta una forte inesperienza in relazione alle tematiche e alle best practices riguardanti il cyber risk, sia a livelli apicali che a livelli operativi.
Per questo motivo la terza grande sfida per il settore sanitario in termini di cyber risk consiste nella formazione a tutti i livelli aziendali sul risk management, in modo da garantire una preparazione di tutto il personale a tali situazioni, soprattutto in termini preventivi.
Vedremo nei prossimi capitoli qual è la situazione dal punto di vista legislativo in Italia, ovvero chi “paga” per gli incidenti informatici e in che modo e quali sono le soluzioni assicurative e informatiche per mettere in sicurezza la propria struttura sanitaria.
4. La situazione dal punto di vista legislativo
In caso di attacco hacker ad una struttura sanitaria sono previste dal recente GDPR una serie di pesanti sanzioni di tipo economico e penale che vanno a discapito della struttura stessa e, soprattutto delle figure apicali che la governano.
Infatti, il mancato rispetto di quanto previsto dalla Normativa GDPR in caso di data breach dal quale emerga una non adeguata attivazione delle misure tecniche e organizzative volte a ridurre o eliminare il rischio di attacchi cyber comporta gravi sanzioni per le seguenti figure:
▪ Amministratori Delegati
▪ Presidenti di C.d.A.
▪ Consiglieri di Amministrazione
▪ Dirigenti
▪ Responsabili del trattamento dei dati (DPO)
▪ Medici
Più nel dettaglio, l’art. 83 del GDPR prevede:
▪ sanzioni economiche fino a 10 milioni o il 2 % del fatturato annuo per inosservanze più lievi
▪ sanzioni economiche fino a 20 milioni o il 5% del fatturato annuo per i casi più gravi
▪ sanzioni penali fino a un massimo di 6 anni di reclusione
▪ richieste di risarcimento danni da parte dei diretti interessati
▪ costi per il ripristino e messa in sicurezza dei dati sottratti
Da questo si evince, dunque, quanto sia importante prevenire questa tipologia di situazioni e proteggersi nel modo più adeguato.
5. Le nostre soluzioni informatiche e assicurative
Expèrtas aiuta attivamente le aziende del settore sanitario a proteggersi dal rischio informatico e lo fa con una collaborazione attiva e costante tra il suo team di risk management e quello IT specializzato nella protezione e nella gestione del rischio in ambito cyber.
Il nostro comparto IT conduce un Security Assessment, ovvero una verifica del livello di sicurezza del sistema informatico aziendale, volta a verificare la capacità di resistere ad un attacco esterno finalizzato alla violazione dei dati. Il Security Assessment prevede 3 fasi:
▪ Studio preliminare
▪ Test di penetrazione
▪ Relazione finale
Al termine delle 3 fasi di studio e analisi della situazione del cliente verranno proposte delle soluzioni assicurative sviluppate ad hoc dai nostri esperti di risk management. Anche in questa fase è previsto un approfondito studio della situazione del cliente, costituito da 3 fasi:
▪ Intervista e analisi dell’Azienda
▪ Ricerca delle più idonee soluzioni assicurative
▪ Proposta con primarie Compagnie
Le soluzioni proposte vanno ad assicurare i seguenti punti critici:
▪ Perdita o diffusione non autorizzata di dati elettronici o di informazioni di terzi di cui l’assicurato sia giuridicamente responsabile
▪ Violazione del GDPR
▪ Inosservanza delle misure tecniche ed organizzative preventive, volte a limitare o attenuare il potenziale danno
▪ Attività investigativa circa l’origine e le cause dell’evento
▪ Servizio di prima assistenza
▪ Comunicazione agli interessati e agli organi di controllo
▪ Difesa legale conseguente ad una azione da parte degli
organi di controllo
▪ Indennizzo per il ripristino dei dati perduti o danneggiati
▪ Diaria da interruzione di attività a seguito di un cyber attacco
▪ Ransomware (riscatto)
▪ Trasferimento fraudolento di fondi
Se vorrai approfondire con noi l’argomento e ricevere una prima consulenza gratuita senza impegno potrai trovarci ad Arezzo, al 18° Forum Sanità, allo stand 107 dal 21 al 24 Novembre al Centro Affari e Congressi.
Per ulteriori contatti e approfondimenti scrivici all’indirizzo email commerciale@expertas.it
Bibliografia
