l'indagine

La cybersecurity degli ospedali ai tempi del covid: problemi e soluzioni

Sistemi operativi obsoleti, scarsa protezione dei dispositivi e monitoraggio dei rischi, budget dedicato alla cybersecurity insufficiente, assenza di cultura della sicurezza: sono le principali cause di vulnerabilità e inefficienza in sanità. Come mitigare i rischi e garantire livelli minimi di efficienza

12 Apr 2022
Ottavia Gruppillo

Managing Editor, Verduci Editore

Photo by Ashkan Forouzani on Unsplash

Tra i molti suoi effetti, la pandemia ha messo in luce come la sanità di per sé sia estremamente frammentata e vulnerabile.

Il forte stress che ha colpito il personale medico, l’esigenza di velocizzare e intensificare il processo di trasformazione digitale ritenuto ormai indispensabile e la necessità di rispondere prontamente all’emergenza hanno certamente messo a dura prova tutti i servizi sanitari.

Ospedali sotto attacco cyber: perché sono vittime perfette

Le strutture sanitarie ai tempi del covid-19: un terreno fertile per i cybercriminali

Sebbene nel 2021 si siano verificati vari attacchi informatici mirati non solo al furto di dati, ma anche all’interruzione dei servizi ospedalieri, questo non ha migliorato le prestazioni delle strutture italiane che anzi risultano esibire tra le peggiori performance in termini di investimenti informatici. Meno del 10% del fatturato annuo viene infatti destinato alla sicurezza IT, senza contare che per accorgersi di una violazione nei sistemi in uso si impiegano più di 200 giorni.

candidatura
Passione per la cybersecurity? Candidati per la squadra di IT & Cyber Security Governance di P4I!
Sicurezza
Cybersecurity

Praticamente, in circa due anni sono state colpite e danneggiate ben 35 strutture. La criminalità informatica ha preso di mira questo settore: solo ad aprile 2021 sono stati rilevati in Italia circa 7 mila attacchi con il rischio sia di perdere informazioni che di interrompere la fruizione dei servizi normalmente erogati.

Figura 1. Panoramica delle minacce alla sicurezza informatica rilevate nel settore sanitario (Bitdefender).

Tuttavia, vi sono anche altri fattori che hanno contribuito a rendere la Sanità un terreno fertile per gli hacker e i cyber criminali.

Ad esempio, non bisogna dimenticare che con la pandemia le aziende sono ricorse non solo alla remotizzazione del lavoro, ma anche alla dematerializzazione dei sistemi informativi trasferiti nel cloud e al conseguente moltiplicarsi dei punti di ingresso che non ha fatto altro che agevolare un’ingente quantità di campagne di attacco.

D’altro canto, l’aumento dello smart working ha permesso sì di incrementare i livelli di produttività, salvaguardando la continuità operativa dei dipendenti, ma a venire meno è stata l’esposizione agli attacchi informatici.

La pandemia ha evidenziato quindi l’esigenza impellente di includere la resilienza dei sistemi sanitari fra le dimensioni chiave per la valutazione della loro performance, in termini di accessibilità, qualità delle cure ed efficienza.

Valutazione dell’efficienza della sicurezza informatica nel settore sanitario: il caso italiano

L’indagine “Healthcare Cybersecurity” realizzata lo scorso maggio 2021 da Bitdefender ha infatti cercato di valutare lo status di efficienza della sicurezza informatica in ambito sanitario durante l’emergenza COVID-19.

Nell’analisi è stato direttamente coinvolto il personale sanitario proveniente sia da strutture pubbliche (85%) che da strutture private (15%) di medie-grandi dimensioni. Sono stati coinvolti anche i responsabili delle decisioni IT nell’ambito della sicurezza informatica per valutare appunto le lacune e/o gli ostacoli per il raggiungimento della completa efficienza.

Risulta importante sottolineare che per valutare il livello di efficienza, le strutture sanitarie debbano garantire la funzionalità di sei fattori quali protezione, rilevamento, risposta, competenze, budget, organizzazione, cultura e leadership.

Figura 2. I 6 Pilastri (Fattori) per una Cybersecurity efficiente in Sanità (Bitdefender).

• L’efficienza complessiva della Protezione è al 57%.

Per valutare il fattore della Protezione gli elementi più efficienti sono: l’uso di soluzioni per la tutela degli endpoint (74%), la visibilità sugli asset da proteggere (67%) e l’uso di una soluzione per la gestione delle password (66%).

I principali ostacoli alla funzionalità e all’efficienza sono legati all’uso di sistemi operativi obsoleti o addirittura non supportati come sostiene il 64% degli intervistati e la mancanza di livelli di protezione adeguati per i dispositivi medici secondo le regolamentazioni UE, come sottolinea il 59% dei partecipanti.

• L’efficienza complessiva per il Rilevamento è al 44%.

Il Rilevamento è piuttosto complicato in quanto solo nel 43% dei casi si riesce a determinare la fonte dell’attacco.

Altre criticità segnalate riguardano il monitoraggio dei rischi per le infrastrutture sanitarie che nel 67% dei casi non viene eseguito, il monitoraggio della visibilità dei livelli di rischio effettuata solo nel 41% dei casi e lo scarso utilizzo di tool di analisi del rischio.

• L’efficienza globale per le attività di Risposta è al 49%.

La prontezza della Risposta riesce a rispettare il “Perimetro di Sicurezza Informatica” e il GDPR nel 61% dei casi, vedendo la capacità di recupero dopo un attacco ransomware pari al 60%. A seguito di un incidente di cybersecurity, le percentuali di un piano di risposta invece iniziano a calare (56%).

Le principali carenze si ritrovano nel fatto di non avere un Security Operation Center (67%), di non eseguire abbastanza esercitazioni e/o simulazioni di attacchi (63%) e non avere piena visibilità sulla catena degli attacchi (59%).

• L’efficienza globale per le Competenze è al 46%.

Anche le Competenze svolgono un ruolo chiave in quanto a causa del basso turnover dei dipendenti, molte volte si deve ricorrere all’impiego di esperti esterni. Purtroppo, l’insufficienza del personale specializzato in cybersecurity è da sempre una lacuna denunciata dal 74% degli intervistati. Non sono da meno il sovraccarico di lavoro a cui è sottoposto il personale (64%) e la difficoltà nel reperire personale qualificato tramite nuove assunzioni (64%).

•L’efficienza complessiva in ambito di Budget è al 53%.

Secondo gli intervistati, nonostante vi sia un rischio piuttosto basso di tagli al budget (66%), le maggiori problematiche sono legate al fatto di non avere un budget dedicato alla cybersecurity come sostiene il 60%.

• L’efficienza complessiva per Organizzazione, Cultura e Leadership è pari al 44%.

L’inclusione della cybersecurity ogni volta che si introducono nuove soluzioni IT è un punto ritenuto efficiente (61%), mentre il 70% degli intervistati ritiene che vi sia una totale assenza di formazione in termini di riconoscimento del rischio di cybersecurity. Il 66% dichiara addirittura di non sentirsi supportati dal governo per migliorare il livello di cybersecurity.

  • L’efficienza complessiva per la sicurezza informatica in ambito sanitario è pari al 49%.

Tra tutti i sei fattori richiesti per la cybersecurity, il più efficiente, seppur presenti risultati al di sotto della sufficienza, è la Protezione (57%) seguita dal Budget (53%).

Investimenti e risorse da implementare per un’efficiente healthcare cybersecurity

Da una ricerca Gartner su scala globale emerge come la telemedicina stia diventando la priorità in termini di investimenti nel 61% dei casi, seguita dalla gestione dei dati e relativa analisi per il 46%, mentre la sicurezza IT arriva subito dopo con il 42%.

Figura 3. Piani mirati di spesa per il 2021 (Gartner).

Conclusioni

Sistemi operativi non supportati o obsoleti, limitati livelli di protezione per i dispositivi medici, scarso monitoraggio dei rischi per le infrastrutture sanitarie e i dispositivi di diagnostica, insufficiente budget dedicato alla cybersecurity, assenza di cultura per la cybersecurity da parte del personale e dei vertici sono i principali punti che rendono il sistema sanitario vulnerabile e inefficiente.

In questo scenario, la direttiva NIS 2 fornisce un contributo importante poiché rafforza gli obblighi in termini di regolamentazione cyber in campo sanitario. Questo ci permette di individuare delle potenziali condotte da perseguire, ma occorre comunque delineare un piano d’intervento e delle soluzioni per mitigare i rischi e garantire perlomeno un livello minimo di efficienza.

Tecnologie capaci di individuare eventuali anomalie, approcci di security-by-design per progettare prodotti sicuri e affidabili, rapporto virtuoso tra settore pubblico/privato per l’innovazione tecnologica e la condivisione del sapere e incremento delle competenze e formazione potrebbero essere alcuni investimenti consapevoli e mirati per cui optare.

Anche i fondi stanziati dal PNRR in sanità incoraggiano l’ampliamento di risorse a disposizione, tra cui la telemedicina per la gestione dei pazienti cronici, l’utilizzo di tool di monitoraggio real-time sia dei pazienti sia degli investimenti in modo tale da poter verificare che le risorse economiche impiegate possano effettivamente implicare investimenti in grado di migliorare l’efficienza e la performance del sistema sanitario nella sua interezza.

WHITEPAPER
Il Manifatturiero diventa Intelligente grazie all'ERP. Un caso concreto
ERP
IoT
@RIPRODUZIONE RISERVATA

Articolo 1 di 4