Ottobre è l’European Cyber Security Month, il mese dedicato alla sensibilizzazione di cittadini, aziende e organizzazioni pubbliche sull’importanza della formazione sul tema della sicurezza informatica. Il fil rouge è la Security Awareness, la consapevolezza sulla crucialità delle giuste pratiche da adottare per non cadere vittime degli hacker.
La sanità è uno dei settori più a rischio di cyber attacchi. I dati sanitari sono quelli più appetibili e redditizi nel dark web perché all’interno delle cartelle cliniche ci sono dati strutturati e trasversali che spaziano dall’anagrafica alle relazioni familiari allo stato di salute e che hanno un valore duraturo nel tempo perché non sono soggetti a molti cambiamenti come invece possono esserlo i dati bancari.
Nel settore sanitario i cyber criminali hanno più vulnerabilità da sfruttare per raggiungere i propri obiettivi: l’aumento dell’uso di dispositivi medici connessi, verifiche insufficienti della sicurezza dei dispositivi medici connessi, l’uso di tecnologie obsolete, la mancanza di preparazione e di cultura sulla cyber security sia tra il personale medico (che, peraltro, ha priorità professionali di altro tipo) sia tra gli utilizzatori finali.
In Italia, secondo il Rapporto Clusit 2023, i cyberattacchi negli ultimi quattro anni sono triplicati ed è cresciuta anche la loro gravità: nell’ultimo anno la gravità è stata valutata come critica nel 78% dei casi e come alta nel restante 22%.
Sono tante le azioni che le organizzazioni, le strutture sanitarie in primis, possono intraprendere per migliorare la propria sicurezza informatica, dalla nomina di un CISO, il responsabile della sicurezza informatica sempre aggiornato, al rinnovamento dell’infrastruttura IT, all’adozione della pratica Zero Trust che prevede di definire a monte quali sono i servizi e le informazioni a cui ogni singolo utente dell’organizzazione può avere accesso, così da permettere l’accesso agli applicativi solo a chi è autorizzato.
Tutti questi accorgimenti sono importanti ma non sono sufficienti e, soprattutto, non sono immediati. Come abbiamo accennato, il tema del mese dedicato alla cyber security è la security awareness: aumentare la consapevolezza delle minacce informatiche e formare gli utilizzatori sulle buone pratiche da adottare per non cadere vittime di un attacco informatico. La formazione è l’azione più facilmente implementabile nell’immediato ed è fondamentale perché subire un attacco informatico vuol dire, per una struttura sanitaria, avere ripercussioni anche sulla sicurezza dei pazienti e sull’erogazione delle cure, come dimostra il report del Ponemon Institute che quest’estate ha raccolto i risultati di interviste fatte a 641 professionisti IT e di sicurezza IT di organizzazioni sanitarie.
Il 70% delle organizzazioni che ha subito un attacco alla propria supply chain ha dovuto interrompere la cura del paziente a fronte di un ritardo delle procedure e dei test diagnostici che hanno comportato:
- aumento della gravità delle malattie (54% degli intervistati);
- maggiore durata della degenza presso la struttura (51% degli intervistati);
- aumento del tasso di mortalità (23% degli intervistati).
Il 67% degli intervistati – a fronte di un attacco BEC e/o un attacco ransomware – ha subito un’interruzione delle cure ai pazienti. Inoltre, gli incidenti BEC (21% degli intervistati) e gli attacchi ransomware (24% degli intervistati) hanno causato un aumento del tasso di mortalità.
Ancora, il 64% delle organizzazioni che ha subito un attacco ransomware ha registrato ritardi nelle procedure e nei test diagnostici che hanno portato a risultati scadenti. Inoltre, 59% di esse hanno dovuto prolungare la durata del ricovero, con impatti notevoli sulla gestione delle risorse e strutture.
Quello relativo alla cyber security è un problema che deve essere affrontato dall’intera organizzazione, non deve essere considerato come di competenza esclusiva del reparto IT perché saper gestire eventuali minacce è responsabilità di tutti e tutti devono essere formati al riguardo. È necessario, oggi, incorporare la cultura della cyber security nelle strutture sanitarie e prevedere corsi di formazione continui all’interno dei processi organizzativi.
La formazione deve avvenire a tutti i livelli, a partire dai dipendenti che utilizzano i sistemi (operatori di cup, accettazione, medici ecc..) fino ad arrivare al management che deve saper prendere scelte strategiche ed economiche al riguardo. Il PNRR prevede finanziamenti per il potenziamento degli strumenti digitali, dell’infrastruttura IT e del fascicolo sanitario, ma non sono compresi gli investimenti per la formazione specifica del personale sanitario. Per questo è importante che il management di una struttura sanitaria scelga di investire strategicamente nella formazione del personale addetto all’utilizzo dei sistemi e nell’aggiornamento dei tecnici informatici addetti al controllo della sicurezza.
La sicurezza è una spesa ma il danno potenziale di un attacco è infinitamente superiore al costo. Un attacco può infatti rendere illeggibili tutti i dati dell’Azienda, può bloccare la produzione, può trafugare dati sensibili o documenti riservati, minacciando di pubblicare su Internet i dati rubati, arrecando oltre a un danno economico diretto, anche un danno di immagine e un procedimento sanzionatorio da parte del Garante per la Protezione Dati Personali. I sistemi informatici sono sempre più sicuri e, proprio per questo, gli attaccanti cercano di ottenere l’accesso trafugando le credenziali degli utenti. Rendere i propri dipendenti consapevoli dei rischi legati al phishing, all’ingegneria sociale, ai trojan e ai ransomware è una delle contromisure più efficaci.
Il rapporto Clusit 2023 evidenzia che il 21% dei data breach è causato da errori umani, il che vuol dire che la sicurezza dei dati dei pazienti dipende soprattutto dalle pratiche del personale utilizzatore. La formazione serve ad assicurarsi che i dipendenti comprendano quanto le loro azioni quotidiane sono fondamentali per mantenere al sicuro i dati dei pazienti e per evitare che i sistemi subiscano attacchi informatici.
Un modo per insegnare agli utilizzatori a proteggersi dagli attacchi di phishing piò essere quello di somministrare loro delle simulazioni di phishing in modo tale da capire anche, allo stato dell’arte, quanto sono consapevoli del rischio, se sono in grado di riconoscerlo, e in che misura, e se sanno difendersi da esso. Il risultato di questo genere di simulazioni è un buon punto da cui partire per strutturare dei corsi di formazione dedicati.
La cyber security è un campo in continua evoluzione che deve stare al passo con le nuove minacce informatiche che emergono ogni giorno per cui è fondamentale inserire la formazione nei processi aziendali come un’attività continua e costante.
Fonti:
-Cyber Security Month: servirebbe un mese di campagna sui rischi cyber per ogni categoria professionale
-Cyber security nella sanità, ecco come impatta sui pazienti quando non c’è
-Cyber security in sanità: attacchi hacker ancora in crescita
-Sicurezza informatica in Sanità: perché è cruciale la formazione degli utenti
-Cosa insegnano gli attacchi ransomware all’industria sanitaria