Secondo un rapporto dell’Agenzia europea per la sicurezza informatica (ENISA), gli attacchi alle organizzazioni attive nel settore sanitario sono raddoppiati nel primo trimestre del 2023 rispetto allo stesso periodo dell’anno precedente.
Nel solo primo trimestre del 2023 sono state segnalate 40 violazioni della sicurezza informatica nel settore sanitario: un raddoppiamento rispetto ai circa 22 del primo trimestre del 2021 e del 2022. Gli obiettivi di tali attacchi, tuttavia, non erano solo gli ospedali o le strutture sanitarie, ma anche i fornitori di servizi, presi di mira per ottenere accesso ai dati dei pazienti attraverso vie alternative. D’altronde una prospettiva di guadagno tra i 50 e 250 euro per ogni cartella clinica venduta rende creativi. E nel settore sanitario di certo i dati non mancano: secondo le stime di RBC Capital Markets, circa il 30% del volume di dati mondiale è generato dal comparto. Entro il 2025, il tasso di crescita annuale medio del volume di dati nel settore sanitario raggiungerà il 36%, ovvero il 6% in più rispetto al settore manifatturiero, il 10% in più rispetto ai servizi finanziari e l’11% in più rispetto al settore dei media e dell’intrattenimento.
Anche in Italia l’incremento del volume di dati sarà particolarmente rapido. Lo scorso ottobre è stato pubblicato il Decreto sul Fascicolo Sanitario Elettronico (FSE) 2.0, che non solo ne individua e definisce i contenuti ma contempla anche le misure di sicurezza da adottare nel trattamento dei dati personali dei pazienti e le modalità di accesso al Fascicolo da parte sia degli operatori sanitari sia degli stessi assistiti. Entro il 2025 l’85% dei medici di base su tutto il territorio nazionale è tenuto ad alimentare il Fascicolo. Ad oggi sono 57.663.021 i fascicoli sanitari elettronici attivi, 418.608.790 i referti digitalizzati e 12 le Regioni italiane che erogano il servizio al 100% (fonte: Fascicolo Sanitario Elettronico).
Misure per tutelare l’infrastruttura sanitaria
Dal punto di vista metodologico, il primo passo per proteggere un’infrastruttura sanitaria è esaminare e analizzare l’intero sistema, gli asset più sensibili e i rischi ad essi associati. In secondo luogo, è necessario dotarsi di soluzioni di sicurezza (per reti, dispositivi terminali e dispositivi biomedici) tenendo conto delle caratteristiche specifiche dei dati sanitari, alcuni dei quali non possono essere completamente anonimizzati. In tal senso vanno combinati due database: uno anonimizzato e uno in grado di riconoscere i file, da cui la complessità dell’operazione. Infine, la sicurezza del sistema informativo deve essere monitorata costantemente per consentire continui perfezionamenti. La sicurezza gestita in questo caso è una buona alternativa, in quanto può aggregare risorse e compensare la mancanza specialisti in loco.
Anche i possibili punti di accesso, sia interni che esterni, devono essere esaminati. La loro suddivisione in quattro categorie, ovvero persone, software, reti e condizioni fisiche, può facilitare il compito. Le vulnerabilità che rientrano in queste categorie dovrebbero essere risolte rapidamente e la procedura andrebbe duplicata anche presso tutti i partner o fornitori. Questo aspetto è di particolare rilievo, basti pensare ad esempio la campagna di phishing dell’ottobre 2020 condotta ai danni della catena logistica per la distribuzione del vaccino COVID-19. Secondo IBM, le vittime includevano anche organizzazioni internazionali con sede in Germania, Italia, Repubblica Ceca e altri paesi europei.
La protezione degli attori nel settore sanitario non consiste tuttavia solo nel prevenire e combattere gli attacchi informatici, ma anche nel rafforzare le infrastrutture IT/OT per renderle più robuste e affidabili. Gli incidenti di natura non fraudolenta costituiscono il 48% delle segnalazioni.
Le normative calate nel contesto reale
Negli ultimi anni (con la direttiva NIS-2 e il GDPR a livello europeo), sembra che il rischio informatico nel settore sanitario sia stato compreso dalle autorità pubbliche. Lo stesso Ministero della Salute italiano ha pubblicato ad esempio una serie di linee guida sulla sicurezza informatica per gli ospedali, che includono la definizione di un sistema di gestione della sicurezza delle informazioni, la valutazione dei rischi e la definizione di procedure di sicurezza.
In caso di mancata conformità ai requisiti di sicurezza informatica la legge italiana prevede sanzioni penali e amministrative per le violazioni della sicurezza informatica. In particolare, la legge prevede che le violazioni della sicurezza informatica siano punite con la reclusione da sei mesi a tre anni e con una multa da 1.000 a 50.000 euro. Inoltre, le strutture sanitarie coinvolte possono essere soggette a sanzioni amministrative, come la sospensione dell’attività o la revoca dell’autorizzazione sanitaria. Resta da vedere se questo sarà sufficiente come incentivo per l’attuazione concreta di concetti di sicurezza appropriati, dato che le violazioni dei dati nel settore sanitario si sono dimostrate le più costose di tutti i settori negli ultimi dodici anni, con costi medi di circa 300.000 euro solo in Europa.
Il miglior modo per contrastare gli attacchi informatici e prevenire interruzioni dell’operatività, tutelando allo stesso tempo infrastrutture e servizi (e alla fine i pazienti), sembra consistere nel circondarsi di fornitori europei specializzati che possono supportare personale qualificato. Infatti, sebbene le soluzioni di sicurezza informatica nel settore sanitario siano in gran parte simili a quelle in altri settori, le conseguenze di un incidente in questo comparto possono essere molto più drammatiche.
