settore sanitario, cybersecurity sanità

Cybersecurity nel Settore Sanitario: Minacce, Vulnerabilità e Strategie di Difesa per il 2025

A cura di:Redazione Ore

Il settore sanitario è tra i più vulnerabili agli attacchi informatici, con un impatto potenzialmente devastante sulla disponibilità e la sicurezza dei servizi essenziali. Dal gennaio 2022, in Italia si sono verificati in media due eventi cibernetici malevoli al mese contro le strutture sanitarie, e la metà di questi si sono tradotti in incidenti di sicurezza concreti. Le conseguenze di tali attacchi spaziano dalla compromissione della riservatezza dei dati alla sospensione dei servizi, influenzando negativamente l’erogazione delle cure e mettendo a rischio la privacy dei pazienti.

Il settore sanitario italiano si trova di fronte a una crescente minaccia cibernetica, come evidenziato dal rapporto dell’Agenzia per la Cybersicurezza Nazionale “La minaccia cibernetica al settore sanitario“. Questa analisi approfondita esamina le tendenze degli attacchi, le vulnerabilità più comuni e fornisce raccomandazioni cruciali per migliorare la sicurezza informatica nelle strutture sanitarie.

Tendenze degli attacchi cibernetici nel settore sanitario italiano

Gli attacchi al settore sanitario hanno subito un incremento significativo negli ultimi anni. Nel 2022, sono stati rilevati 45 eventi cyber, con un aumento del 50% nel 2023 rispetto all’anno precedente. Tra questi, il 47% ha portato a incidenti confermati, sottolineando la gravità della situazione.

Aumento degli eventi cyber: Nel 2022-2023 si sono verificati 45 eventi cyber significativi, con un incremento del 50% nel 2023 rispetto all'anno precedente. Gli attacchi ransomware rappresentano la minaccia principale, costituendo il 35% degli eventi nel 2023 e il 60% nel 2022.

Le minacce predominanti sono rappresentate dal ransomware, responsabile del 60% degli eventi nel 2022 e del 35% nel 2023. Altri vettori di attacco comuni includono la diffusione di malware via email, lo sfruttamento di vulnerabilità e la compromissione delle credenziali di accesso.

Incidenti cyber nel settore sanitario: interruzione dei servizi, rischio per la privacy dei pazienti e sicurezza delle informazioni mediche, con impatti sulla reputazione e fiducia.

Durante il periodo gennaio-agosto 2024, si è registrato un ulteriore aumento degli eventi cyber, con un picco a luglio dovuto a un attacco alla supply chain che ha compromesso un fornitore di servizi IT, colpendo diverse strutture sanitarie. Gli attacchi ransomware sono rimasti la minaccia principale, seguiti da tentativi di intrusione tramite credenziali e compromissioni malware, in aumento rispetto agli anni precedenti.

Impatto degli attacchi cibernetici sulle strutture sanitarie

Gli incidenti di sicurezza hanno avuto conseguenze gravi e multiformi:

  1. Interruzione dei servizi IT: La maggior parte degli attacchi ha causato blocchi temporanei di uno o più servizi, compromettendo l’operatività delle strutture;
  2. Compromissione dei dati sensibili: Sono stati registrati casi di esfiltrazione di dati, con e senza cifratura, mettendo a rischio la privacy dei pazienti;
  3. Modifiche all’integrità dei dati: Alcuni attacchi hanno alterato l’integrità delle informazioni memorizzate, potenzialmente influenzando la qualità delle cure;
  4. Impatto sulla continuità operativa: L’impossibilità di accedere a sistemi e dati ha compromesso l’erogazione di servizi sanitari essenziali.

Analisi delle vulnerabilità informatiche nel settore sanitario italiano

Le vulnerabilità nelle infrastrutture digitali del settore sanitario derivano principalmente dall’obsolescenza delle tecnologie utilizzate e dalla gestione decentralizzata dei sistemi. Molte strutture sanitarie continuano a utilizzare apparati obsoleti, non più aggiornabili o supportati dai produttori. Inoltre, la gestione delle infrastrutture IT è spesso frammentata, con reparti diversi che adottano soluzioni tecnologiche diverse senza una governance centralizzata. Ciò crea una superficie di attacco ampia e facilmente sfruttabile dagli attaccanti.

Un analisi condotta da ACN su oltre 50.000 indirizzi IP associati al settore sanitario ha rivelato che circa 2.178 di essi espongono quotidianamente servizi su Internet, presentando numerose criticità. Queste vulnerabilità sono state classificate in tre categorie

  1. Servizi e dispositivi esposti incautamente (15% delle criticità);
  2. Software obsoleti o vulnerabili (25% delle criticità);
  3. Configurazioni errate (60% delle criticità).

Fattori di rischio e pratiche errate nel settore sanitario

L’analisi ha identificato tre condizioni critiche che favoriscono gli attacchi informatici:

  1. Gestione decentralizzata dei sistemi digitali: Mancanza di una governance IT centralizzata, che porta a inconsistenze nella sicurezza.
  2. Obsolescenza dei dispositivi: Lunga vita utile degli apparati medicali in contrasto con la rapida evoluzione delle tecnologie di sicurezza.
  3. Carenza di personale specializzato in cybersicurezza: Insufficienza di risorse dedicate alla gestione della sicurezza informatica.

Queste condizioni si traducono in pratiche errate (bad practices) che aumentano il rischio di attacchi:

  • Utilizzo di credenziali deboli o condivise tra più utenti;
  • Mancata implementazione dell’autenticazione a più fattori (MFA);
  • Assenza di una corretta segmentazione della rete;
  • Strategie di backup inadeguate o non regolarmente testate;
  • Patch management inefficace o assente;
  • Esposizione non necessaria di servizi su Internet;
  • Mancanza di sistemi di rilevamento e risposta agli incidenti (EDR/XDR).

10 raccomandazioni per migliorare la cybersicurezza nel settore sanitario

L’ACN ha formulato 10 raccomandazioni chiave per rafforzare la sicurezza informatica nelle strutture sanitarie:

  1. Implementare una gestione robusta delle identità e degli accessi:
    • Adottare policy di password complesse e uniche;
    • Implementare l’autenticazione a più fattori (MFA) per tutti gli accessi critici.
  2. Adottare soluzioni di Network Access Control (NAC):
    • Controllare e limitare l’accesso alla rete basandosi sull’identità e lo stato dei dispositivi.
  3. Segmentare efficacemente la rete:
    • Isolare i sistemi critici e i dispositivi medicali in segmenti di rete separati;
    • Implementare firewall interni per controllare il traffico tra segmenti.
  4. Implementare una strategia di backup 3-2-1:
    • Mantenere tre copie dei dati, su due tipi di supporti diversi, con una copia off-site;
    • Testare regolarmente il ripristino dei backup.
  5. Effettuare regolarmente vulnerability assessment e penetration testing:
    • Identificare e correggere proattivamente le vulnerabilità;
    • Simulare attacchi reali per testare le difese.
  6. Gestire efficacemente le patch di sicurezza:
    • Implementare un processo strutturato di patch management;
    • Prioritizzare gli aggiornamenti di sicurezza critici.
  7. Limitare l’esposizione dei servizi su Internet:
    • Ridurre al minimo i servizi esposti pubblicamente;
    • Utilizzare VPN per l’accesso remoto sicuro.
  8. Implementare sistemi di rilevamento e risposta agli incidenti (EDR/XDR):
    • Monitorare continuamente le attività sospette;
    • Abilitare risposte rapide agli incidenti di sicurezza.
  9. Formare e sensibilizzare il personale sulla cybersicurezza:
    • Condurre programmi di formazione regolari su sicurezza e privacy;
    • Simulare attacchi di phishing per aumentare la consapevolezza.
  10. Sviluppare e testare piani di risposta agli incidenti:
    • Creare procedure dettagliate per la gestione degli incidenti;
    • Condurre esercitazioni periodiche di simulazione di incidenti.

Il settore sanitario italiano si trova ad affrontare una sfida crescente in termini di sicurezza informatica. L’aumento degli attacchi cibernetici, in particolare di tipo ransomware, richiede un approccio proattivo e strutturato alla cybersicurezza. L’implementazione delle raccomandazioni dell’ACN è fondamentale per ridurre il rischio di incidenti e proteggere l’integrità dei servizi sanitari e la privacy dei pazienti.

L’implementazione di queste misure, insieme alla segregazione dei ruoli e all’adozione di processi di gestione del rischio, può ridurre in modo significativo il rischio di attacchi informatici. Inoltre, in caso di incidente, l’ACN consiglia di contattare immediatamente il CSIRT Italia, l’hub nazionale per la gestione delle segnalazioni di incidenti e per il supporto reattivo.

Per costruire un ecosistema sanitario digitale resiliente e sicuro, è necessario:

  • Investire in tecnologie di sicurezza avanzate
  • Formare continuamente il personale sulle best practices di cybersicurezza
  • Collaborare con esperti di sicurezza e condividere informazioni sulle minacce
  • Adottare un approccio di “security by design” nell’implementazione di nuove tecnologie sanitarie
  • Sviluppare una cultura organizzativa che ponga la sicurezza informatica al centro delle operazioni quotidiane

Solo attraverso un impegno continuo e coordinato, il settore sanitario italiano potrà far fronte efficacemente alle sfide del panorama di minacce in continua evoluzione, garantendo la continuità dei servizi essenziali e la protezione dei dati sensibili dei pazienti.

Condividi sui Social Network:

Ultimi Articoli

big data cybersecurity osint

Big Data: Gestione e Analisi dei Dati su Larga Scala

A cura di:Vincenzo Manzo Ore Pubblicato il

Questo articolo è il primo di una serie estratta dal white paper “Big e Fast Data: tra sfida per la sicurezza e privacy”. In questa prima parte esploreremo in dettaglio i Big Data, le loro caratteristiche fondamentali e le implicazioni per il business moderno. Cosa Sono i Big Data: Definizione e Caratteristiche Principali “La definizione…

cyber rime 2025 e sicurezza digitale

Cybercrime 2025: Nuove Sfide per la Sicurezza Digitale

A cura di:Redazione Ore Pubblicato il

Nel panorama sempre più digitalizzato della nostra società, il cybercrime si sta evolvendo con una rapidità allarmante, presentando sfide senza precedenti per la sicurezza informatica globale. Un’analisi approfondita delle più recenti ricerche nel settore rivela non solo tendenze preoccupanti e nuove modalità di attacco, ma anche l’emergere di strutture criminali sempre più sofisticate e organizzate….

Living-off-the-Land Binaries (LOLBins) negli attacchi fileless:

Living-off-the-Land Binaries (LOLBins) negli attacchi fileless: Analisi Tecnica e Implicazioni per la Sicurezza

A cura di:Redazione Ore Pubblicato il

L’utilizzo dei Living-off-the-Land Binaries (LOLBins) emerge come una metodologia particolarmente insidiosa, che sfrutta binari legittimi del sistema operativo per condurre attività malevole eludendo i tradizionali sistemi di rilevamento. Il panorama delle minacce informatiche sta evolvendo rapidamente verso tecniche sempre più sofisticate di evasione e persistenza, con gli attacchi fileless che rappresentano una delle sfide più…

attacchi informatici report semperis, Bruno Filippelli, Sales Director Italia di Semperis

Perché le aziende dovrebbero prepararsi agli attacchi informatici durante le festività

A cura di:Bruno Filippelli Ore Pubblicato il

Gli attacchi informatici non si fermano mai, colpendo con precisione chirurgica nei momenti di maggiore vulnerabilità, come festività, fine settimana ed eventi aziendali cruciali. Il Ransomware Holiday Risk Report di Semperis rivela come i cybercriminali approfittino di queste finestre di distrazione, sfruttando la riduzione del personale nei SOC e falle nei sistemi di sicurezza tradizionali….

La Remediation nella Sicurezza Informatica: sfide e prospettive

La Remediation nella Sicurezza Informatica: sfide e prospettive

A cura di:Veronica Leonardi Ore Pubblicato il

Veronica Leonardi (Chief Marketing Officer e Investor Relator di Cyberoo) ha preso parte al 22° Forum ICT Security con l’intervento “Oggi tutti parlano di identificazione delle minacce, ma della remediation chi se ne occupa?”, affrontando un aspetto spesso trascurato nel panorama della sicurezza informatica: la “remediation”. Mentre l’attenzione generale tende a focalizzarsi sulla rilevazione delle…

Gestione di Identità e Accessi nel Cloud - Carla Roncato, WatchGuard Technologies

Come Implementare una Efficiente Gestione di Identità e Accessi nel Cloud

A cura di:Carla Roncato Ore Pubblicato il

L’adozione di una moderna gestione di identità e accessi (IAM) nel Cloud è un elemento centrale in ogni roadmap di sicurezza e strategia di protezione delle informazioni basata sull’approccio zero trust. Vi sono numerose ragioni convincenti per cui le organizzazioni dovrebbero migrare verso sistemi di identità basati sul Cloud: questi sistemi offrono funzionalità come gestione…