cybersicurezza

Ospedali sotto attacco cyber: perché sono vittime perfette

Negli ultimi mesi gli attacchi informatici ai danni degli ospedali di tutto il mondo sono aumentati esponenzialmente, al punto tale da farne entità più colpite da ransomware. Alla base di questa escalation, vulnerabilità troppo spesso ignorate nonché il fatto che i dati sanitari sono ormai merce preziosissima

20 Ott 2021
Martina Rossi

Hermes Bay

Virginia Sacco

junior analyst Hermes Bay

sanità regione lazio ransomware - consenso informato

Il settore ospedaliero ha fatto registrare, soprattutto dall’inizio della pandemia da Covid-19, un interesse crescente da parte dei cybercriminali in relazione al furto di dati e agli attacchi informatici.

Ospedali sotto attacco: il pericolo viene dal ransomware

Uno degli esempi più eclatanti in tal senso riguarda un grave impatto cinetico, nello specifico il decesso di una neonata causato da complicazioni dovute all’interruzione dell’afflusso di ossigeno al cervello, dovuto ad un attacco ransomware che ha colpito lo Springhill Medical Center, in Alabama.

WHITEPAPER
Smart Working: lo stato dell’arte e cosa succede con la fine dello stato di emergenza
Risorse Umane/Organizzazione
Smart working

Morte da ransomware, quale risarcimento danni: cosa ci insegna la causa in Alabama

La madre della vittima ha intentato una causa contro la struttura per non aver dichiarato di essere sotto attacco informatico mentre l’ospedale si è difeso affermando che, secondo la legge locale, non esiste alcun obbligo legale di informare il paziente a tal riguardo e, di rimando, ha negato di aver causato la morte della bambina. Dopo quasi due anni dall’inizio della pandemia da Covid-19, risulta evidente che tra tutti gli obiettivi che un hacker può colpire, gli ospedali restino un bersaglio che vale la pena proteggere in modo molto accurato in quanto gli eventuali impatti cinetici hanno risvolti direttamente sulla salute e sulla vita dei cittadini.

Il precedente: Wannacry

Negli scorsi anni non sono mancati episodi analoghi a quello dell’Alabama, sebbene caratterizzati da epiloghi meno drammatici. Nel 2017, infatti, il ransomware Wannacry ha colpito ben 63 presidi sanitari del Regno Unito e le relative unità chirurgiche causando l’annullamento di quasi 20.000 appuntamenti, tra i quali un centinaio di pazienti con necessità di intervento urgente[1]. Nel 2019, l’American Medical Collection Agency, che fornisce servizi finanziari a una serie di strutture mediche statunitensi, è stata ugualmente vittima di un massiccio furto di dati dai propri server per un totale di oltre 24 milioni di file e cartelle cliniche sottratte[2].

Anche uno dei più importanti complessi sanitari italiani, l’Ospedale San Giovanni di Roma, è stato oggetto dell’intrusione di un ransomware che avrebbe creato danni all’attività della struttura senza tuttavia causare una sospensione dei ricoveri poiché i tecnici della sicurezza informatica della struttura e della polizia postale sono stati in grado di reagire prontamente[3].

Le vulnerabilità ignorate

Appare quindi evidente che la vulnerabilità delle strutture ospedaliere è troppo spesso ignorata, o quantomeno andrebbe incrementata la difesa cibernetica in maniera sostanziale, in maniera tale da scongiurare o bloccare potenziali attacchi che causerebbero non solo danni economici e reputazionali, ma anche sanitari e legati alla salute.

Sulla base dei dati raccolti da Sham in collaborazione con il Dipartimento di Management dell’Università di Torino è possibile evidenziare come, da Wannacry passando per Netwalker e altri tipi di ransomware, circa il 24% delle strutture ospedaliere abbia dichiarato di aver subìto attacchi informatici. Di questi, solo il 19% riguarda il danneggiamento di dati e dei sistemi informativi mentre il 33% aveva come obiettivo l’accesso a dati e informazioni. Le principali vulnerabilità del settore risiedono, molto spesso, nell’assenza di un Security Operation Center e nel ridotto numero di vulnerability assessment e penetration test condotti[4]. La prevenzione, tramite verifiche e test periodici frequenti, in tal senso, risulterebbe essenziale nel ridurre profondamente la percentuale di attacchi subiti e le vulnerabilità che le strutture sanitarie presentano.

I dati sanitari, merce preziosissima

Anche per tali ragioni negli ultimi mesi gli attacchi informatici ai danni delle strutture ospedaliere di tutto il mondo sono aumentati esponenzialmente, al punto tale che la società di sicurezza informatica Check Point ha stimato che con l’aggravarsi della pandemia le aziende ospedaliere siano le entità più colpite da ransomware. Come se non bastasse, gli ospedali sono diventati un obiettivo ideale per gli attacchi hacker dal momento in cui i dati sanitari che trattano rappresentano una merce preziosissima. A tale riguardo, è sufficiente pensare al fatto che tale tipologia di dato personale consente alle multinazionali farmaceutiche di orientare le proprie scelte di mercato, così come spostare l’asse di scelte commerciali anche di tipo assicurativo in virtù dei dati anagrafici e personali resi pubblici in rete una volta esfiltrati. Il Financial Times ha recentemente pubblicato un articolo dal titolo How much is your personal data worth? consentendo a tutti gli effetti di calcolare il valore economico dei propri dati personali: i dati di una donna in attesa del primo figlio hanno un valore stimato di circa $ 0,102, mentre quelli di un diabetico arrivano a valere fino a $ 0,267 e il costo aumenta proporzionalmente in base all’aggravarsi delle patologie, al variare della professione, dell’età e dello stato civile del soggetto[5]. Anche Kaspersky stima che il valore di ciascuna cartella clinica esposta al dark web possa arrivare sino a 25 euro[6].

Conclusioni

Gli ospedali sono strutture estremamente complesse ma risulta che abbiano tra le peggiori performance in termini di investimenti informatici. Meno del 10% del fatturato annuo viene infatti dedicato alla sicurezza IT e le cui ripercussioni disastrose di tale scelta fanno sì che, semplicemente per accorgersi dell’avvenuta violazione dei sistemi in uso, si impieghino più di 200 giorni e per porvi rimedio ne servano quasi altri 100, con un costo medio per incidente di 9,23 milioni di dollari.

Dal momento che un’altissima percentuale di attacchi cyber è agevolata dal comportamento umano, soprattutto per quanto riguarda i ransomware, ogni struttura dovrebbe lavorare sull’awareness dei propri dipendenti, predisponendo degli adeguati corsi di formazione per il personale, al quale impartire nozioni e regole di comportamento, prime tra tutte le raccomandazioni del Garante per la Protezione dei Dati Personali, del Regolamento UE 2016/679 e delle norme di Business Continuity, così come allo stesso modo dedicare maggiori investimenti al reparto IT ospedaliero. La possibilità, quindi, che gli attacchi informatici ai danni delle strutture ospedaliere si riduca notevolmente, risulta un potenziale su cui si dovrebbe investire in maniera sostanziale, in maniera tale da salvaguardare non solo la sicurezza e l’affidabilità degli ospedali, ma rappresentando anche una garanzia per evitare perdite economiche importanti.

  1. https://www.corriere.it/tecnologia/cyber-cultura/17_maggio_17/attacco-wannacry-hacker-hanno-creato-guida-che-spiega-come-pagare-riscatto-bitcoin-5ba623a4-3aef-11e7-9025-2aac070422f5.shtml
  2. https://www.firecompass.com/blog/american-medical-collection-agency-amca-data-breach-why-it-happened-what-can-you-learn-24-million-customers-affected/
  3. https://www.corrierecomunicazioni.it/cyber-security/attacco-ransomware-allospedale-san-giovanni-di-roma-danni-alloperativita/
  4. https://salutedigitale.blog/2021/07/13/italia-un-ospedale-su-quattro-ha-subito-un-attacco-informatico/
  5. https://ig.ft.com/how-much-is-your-personal-data-worth/?ft_site=falcon#axzz2WDzN1Z8V
  6. https://edge9.hwupgrade.it/news/security/quanto-valgono-i-nostri-dati-sul-web-secondo-kaspersky-bastano-pochi-centesimi-per-una-carta-d-identita_94439.html
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 3