Cybersicurezza in sanità: mai abbassare la guardia, a costo di essere impopolari
Gli ultimi dati mostrano che ovunque nel mondo, anche in ambito sanitario, gli attacchi informatici sono aumentati. Se nel 2020 erano 1.874, nel 2024 sono quasi raddoppiati, raggiungendo quota 3.541. E la gran parte di questi, circa nove su dieci, è di tipo cybercrime, con l’intento di rubare dati, che è il motivo principale che spinge gli hacker ad attaccare le reti sanitarie. A tracciare la panoramica della sicurezza informatica in sanità è Vittoria Maria Di Fiore, dirigente responsabile dei Sistemi Informativi e responsabile della sicurezza della ASST Ovest Milanese, che spiega l’importanza della prevenzione e di sensibilizzare il personale sanitario.
Dottoressa, qual è lo scenario attuale degli attacchi informatici?
Il rapporto CLUSIT riferito all’anno 2024 restituisce un quadro preoccupante: il trend di crescita 2023-2024 è al +27%. Inoltre, l’86% degli attacchi nel 2024 è stato di tipo cybercrime, mentre l’8% è stato rappresentato da attacchi dimostrativi, per esempio con il blocco di siti. Due incidenti su tre avvengono negli USA/Europa e non è da sottovalutare che il 50% degli attacchi ha un livello di severità medio/grave. L’Italia è in linea con tutti questi trend: nel 2020 avevamo avuto 48 incidenti noti, che sono saliti a 357 nel 2024, con un +15% tra 2023-2024. Anche da noi la tipologia maggiore di attacco è il cybercrime (78%), e nel 53% dei casi si è trattato di attacchi medio/gravi.
Perché attaccare le reti sanitarie?
A livello di cybercrime globale, al terzo posto per numero di attacchi vi è il settore healthcare, preceduto da target multipli – settore manifatturiero insieme a trasporti e altro – e da settori governativo e militare. Lo scenario degli attacchi è condizionato dalla situazione geopolitica mondiale, per cui la problematica è ormai sistemica. La sanità è presa di mira per la preziosità dei dati che tratta e una cartella clinica è facilmente vendibile nel dark web. Ecco perché i dati sanitari, che sono sensibili e riguardano milioni di persone, sono appetibili, mentre è difficile che si blocchi un sito ospedaliero per attivismo. Durante la pandemia di Covid, poi, le organizzazioni sanitarie sono diventate più vulnerabili perché ci si era totalmente dedicati all’emergenza e dunque si è abbassata la guardia creando condizioni favorevoli per gli attaccanti.
Come vengono attaccate le reti e come ci si accorge degli attacchi?
Le tipologie di attacco sono diverse, ma uno su tre è perpetrato con malware, con cui un virus si diffonde nei sistemi e cifra i dati. Poi c’è il phishing in cui l’utente, ignaro, fornisce informazioni personali. Purtroppo non esiste un manuale per proteggersi e cosa fare varia da situazione a situazione. I segnali per capire che si è stati attaccati arrivano da una serie di analisi che registrano anomalie su pc o server, ma sta di fatto che quando ciò viene rilevato l’attacco è già in atto e le azioni da compiere sono volte a mitigare l’impatto e ridurre il più possibile il numero di sistemi compromessi. Il segreto è intervenire il prima possibile attivando alert nei casi di comportamenti anomali o dubbi, anche se le tempistiche di esecuzione del danno sono rapidissime. Per cui la sicurezza al 100% non esiste, ma è un continuo gestire situazioni, senza mai sottovalutarle.
Come proteggersi dagli attacchi?
I servizi informativi devono garantire la continuità operativa e si gioca molto di prevenzione. Prima di tutto è importante conoscere sé stessi, a livello di postazioni di lavoro e pc, ma anche delle apparecchiature che sono imprescindibili per la pratica clinica, pur non rientrando nel mondo prettamente informatico. Tutti questi dispositivi sono vulnerabili, perché il loro aggiornamento non sempre va di pari passo con la sicurezza, così come l’attenzione va posta alla supply chain. Molti attacchi sono partiti da soluzioni tecnologiche di fornitori esterni, per questo è d’obbligo richiedere il rispetto dei requisiti di sicurezza già prima di acquisire una soluzione, dettando vincoli e non sottovalutando nulla, e avere anche il coraggio di privilegiare la tutela dei dati anche a fronte di progetti importanti che non sempre nascono secondo completi criteri di sicurezza. Come secondo punto, poi, va promossa di continuo una cultura della sicurezza, perché l’attenzione di medici e infermieri è rivolta al paziente, non alle tecnologie ed è dunque fondamentale comunicare, spiegare, illustrare continuamente come i sistemi e gli strumenti informatici funzionano, d’altro canto è dimostrato che una componente fondamentale della sicurezza è anche l’utente e l’uso che ne fa delle tecnologie. Altrettanto importante è la ‘zero trust’, ovvero non concedere nessuna fiducia e non arrivare ad alcun tipo di compromesso nel trattare soluzioni tecnologiche in modo da non svantaggiare la protezione di dati, informazioni, infrastrutture e continuità operativa.
Come vede lo scenario futuro?
Gli attacchi non sono destinati a diminuire perché siamo sempre più interconnessi e questo è un substrato su cui di fonda il meccanismo di attacco. C’è una condivisione di informazioni, con qualunque mezzo, di difficile controllo. Poi c’è un altro elemento fondamentale che è l’Intelligenza artificiale, che interviene nel bene e nel male anche nella cybersicurezza: nel bene perché potenzia i sistemi di analisi, che aiutano a monitorare meglio e con maggiore finezza e a cogliere eventuali comportamenti anomali, e nel male, perché l’IA viene usata per dare maggiore potenza ai malware.