Sanità: Come proteggere un settore vulnerabile agli attacchi informatici
In Italia, come nel resto del mondo, il settore della sanità e la sua catena di approvvigionamento sono obiettivi privilegiati per i cybercriminali. Secondo l’ultimo rapporto Clusit, i cyber attacchi ai danni del comparto sono cresciuti nel 2023 fino a quasi raddoppiare rispetto al 2018. Tuttavia, almeno per il primo trimestre del 2024, si è assistito a un calo del tasso di incremento di tali attacchi verso l’Italia rispetto al totale internazionale. Inoltre, sempre secondo Clusit, nel primo trimestre dell’anno il livello di severità degli attacchi ai danni del settore sanitario italiano è risultato “critico” nel 40% dei casi (contro il 37% del 2023) o “elevato” nel 53% (47% l’anno scorso).
Nonostante gli sforzi dell’Agenzia per la Cybersicurezza Nazionale (ACN), l’introduzione della normativa NIS e ora NIS2, il GDPR e direttive specifiche impongano rigorosi obblighi di protezione di dati e risorse di organizzazioni essenziali per il Paese, come le aziende operanti nella sanità, la progressiva digitalizzazione del settore a dispetto degli importanti problemi di obsolescenza di macchinari e infrastrutture, rende il settore sanitario una vittima ideale.
Sanità italiana: una quantità di dati in continua crescita
Con il PNRR lo Stato sta investendo massicciamente nella digitalizzazione della sanità italiana, con un focus particolare sul Fascicolo Sanitario Elettronico (FSE), perno di un sistema informativo sanitario più efficiente, in grado di raccogliere, elaborare e analizzare grandi quantità di dati per migliorare la programmazione e la gestione dei servizi sanitari. Il progetto è ancora agli inizi.
Nonostante gli sforzi e gli investimenti, la diffusione della Cartella Clinica Elettronica (CCE) nelle strutture sanitarie italiane, fondamentale per alimentare il FSE, è infatti ancora limitata. Con la progressiva introduzione di un crescente numero di dispositivi, attività e processi di lavoro digitali per garantire un funzionamento efficiente dei servizi a cui si aggiungono la telemedicina, l’intelligenza artificiale (IA), la robotica e i dispositivi connessi, si amplifica la superficie di attacco dell’intero comparto, anche in termini di rischio di compromissione di un volume di dati destinato a crescere esponenzialmente.
Anche la catena di approvvigionamento del settore sanitario diventa sempre più complessa e digitalmente connessa. Questa complessità può essere sfruttata dai criminali informatici per procacciarsi accesso ai dati o interrompere le attività in corso, abusando di potenziali vulnerabilità nella catena. In Italia ad esempio lo scorso luglio secondo il CSIRT di ACN il numero degli incidenti informatici è aumentato a causa di un attacco di tipo supply chain a un fornitore di servizi IT, con effetti su molteplici soggetti appartenenti al settore sanitario, risultato a sua volta il più impattato nel Paese.
Tutti i fornitori del settore, dai grandi ai piccoli, possono tramutarsi in strumento per accedere ai target designati dai criminali informatici. L’area di rischio non comprende solo i dati medici e i dispositivi, ma anche le infrastrutture per la gestione tecnica centralizzata (CTM) e sistemi di gestione degli edifici (BMS), responsabili della gestione dei meccanismi antincendio, degli accessi, della videosorveglianza, dell’energia e molto altro. Anche piccole interruzioni o guasti di questi sistemi possono avere gravi conseguenze.
I potenziali rischi per i pazienti sono altrettanto preoccupanti: un attacco informatico può interferire con i sistemi informatici delle strutture sanitarie e con dispositivi come i robot chirurgici. Ciò può causare ritardi nei trattamenti e negli interventi medici e, in ultima analisi, mettere in pericolo la vita dei pazienti.
Quattro vettori dei rischi informatici nel settore sanitario
Le possibili vie di accesso all’infrastruttura IT nel settore sanitario possono essere suddivise in quattro vettori. Il primo è il fattore umano. In questo caso, sono coinvolte persone come medici, infermieri, personale amministrativo o pazienti che cadono vittima di truffe come la “CEO fraud”, in cui gli aggressori si fingono dirigenti e richiedono con urgenza documenti spesso riservati o dati di accesso.
Il secondo vettore sono le applicazioni software. In questo caso, gli aggressori sfruttano intenzionalmente vulnerabilità o software obsoleti su computer o dispositivi medici connessi alla rete e a Internet con credenziali generiche facilmente reperibili. Un altro importante vettore di attacco è la rete stessa. Gli attacchi Distributed Denial-of-Service (DDoS) sono particolarmente popolari, in quanto sovraccaricano rapidamente le risorse di rete e paralizzano così i server di un ospedale. Infine, c’è il vettore fisico, in cui viene attaccato direttamente l’hardware di dispositivi medici o IT.
Indipendentemente dal vettore di attacco impiegato, il ransomware rappresenta attualmente la più comune “minaccia virale” nel settore sanitario. Per questo motivo, nel comparto aumentano le preoccupazioni per la sicurezza dei dati e per l’affidabilità dei servizi.
Limitazione dei danni e aumento della capacità di rilevamento
La vita dei pazienti di una struttura sanitaria dipende in larga misura dalle prestazioni e dalla disponibilità dell’infrastruttura di rete oltre che dalle informazioni trasmesse attraverso di essa. Oltre a rispettare le normative europee come NIS2 e GDPR, le strutture sanitarie devono prepararsi ad affrontare incidenti di cybersecurity con la consapevolezza che prima o poi saranno vittime di un attacco. Pertanto, devono adottare misure organizzative e tecniche adeguate, per minimizzare le conseguenze di un guasto o di un’interruzione delle proprie attività, valutando in tal senso anche le linee guida promosse dall’ACN.
Tra le misure di riduzione del rischio vi è innanzitutto un audit per valutare la propria superficie di attacco e identificare le risorse e gli asset più sensibili da proteggere. In questo contesto, l’approccio Zero Trust innalza la postura difensiva e contribuisce a ridurre il rischio che attacchi informatici a tali risorse vadano a buon fine. Anche attraverso verifiche sistematiche e continue delle identità degli utenti e dei diritti di accesso, oltre che con la cifratura, è possibile minimizzare i potenziali danni in caso di compromissione dei dati.
Inoltre, le soluzioni XDR (“eXtended Detection and Response”) e EDR (“Endpoint Detection and Response”) sono componenti essenziali della strategia di difesa informatica. Consentono agli ospedali e agli studi medici di beneficiare di tecnologie avanzate per il rilevamento, la risposta e la mitigazione degli incidenti di sicurezza, limitando così le conseguenze di un potenziale attacco informatico.
Formazione del personale medico
La modernizzazione tecnologica del settore sanitario deve essere accompagnata da una formazione del personale. Dipendenti informati, in grado di riconoscere le minacce, contribuiscono in modo significativo alla sicurezza delle strutture sanitarie: i dipendenti consapevoli dei rischi sono più in grado di riconoscere tecniche dannose (come il phishing o i deepfake) ed evitano di cadere in trappole simili.
Conclusione
Strategie di cybersecurity adeguate e la formazione del personale rappresentano un fattore chiave per minimizzare il rischio di compromissioni o guasti ai sistemi ospedalieri. In questo modo si garantisce non solo la sicurezza della rete, delle infrastrutture e dei dati, ma anche (e soprattutto) la salute dei pazienti.
Country Manager Italy, Stormshield
