categoria: Distruzione creativa
Non solo coronavirus, ai cyber criminali piacciono parecchio i dati sanitari
L’autore di questo post è Gianvittorio Abate, amministratore delegato di Innovery, system integrator internazionale, nato in Italia, specializzato nel comparto di cybersecurity –
Non è solo il coronavirus a destare preoccupazione in queste ore. Quanto può costare alla sanità pubblica una scarsa sicurezza informatica? Difficile avere un dato preciso perché in questo campo la cybersecurity si applica ancora meno che in altri settori sensibili. Per avere un’idea di quanto sia sottovalutato il problema basta citare una delle ultime ricerche Netics: quasi il 20% delle strutture sanitarie non avrebbe le capacità di rispondere velocemente a un attacco hacker, dove per velocemente si intendono almeno 4 ore. Un tempo interminabile per una procedura chirurgica in corso, ma anche solo per chi debba sapere quale terapia somministrare a un paziente.
È lo stesso personale medico che pecca di conoscenza sul tema, non percependo la gravità che possono comportare questi attacchi: stando allo studio, il 46,7% dei medici (di medicina generale) non sembra preoccuparsi dei rischi derivanti da un attacco informatico. Inoltre il 60% dei dottori non realizza quotidianamente il backup dei dati contenuti nei server degli ambulatori e spesso vengono utilizzati programmi non ufficiali comunicazione di risultati clinici ai pazienti, mettendone a repentaglio la privacy.
La sottovalutazione di questo pericolo non è data solo da una carenza di attenzione o di risorse, seppure siano un problema serio: a livello di direzione centrale di ASL e Ospedali, solo il 4,3% del budget informatico è destinato alla sicurezza, inoltre la spending review della Pubblica Amministrazione del 2018 ha effettuato un taglio della spesa informatica per la Sanità di circa 160 milioni di Euro in 3 anni. A sommarsi a questo grave deficit di budget vi è anche la mancanza di una cultura generale sul tema sicurezza informatica, che porta spesso gli operatori a nascondere i limiti del sistema a livello digitale.
Resta comunque difficile quantificare i danni causati da attacchi informatici, anche quando parliamo di attacchi potentissimi come Wannacry: quello che è stato definito come un virus che ha cambiato la percezione della sicurezza nella Sanità, che secondo alcune stime ha prodotto danni per 4 miliardi di euro colpendo 150 nazioni. E parliamo di un singolo attacco. Si trattava di un sistema estremamente articolato e complesso, ma anche altri attacchi più piccoli possono avere effetti analoghi come: furto, perdita o corruzione dei dati clinici dei pazienti, interruzione dei servizi di Assistenza Sanitaria, controllo di medical devices utilizzati dai pazienti, furto o inquinamento dei risultati della ricerca scientifica, perdita della reputazione e della credibilità delle Strutture Sanitarie.
Il rapporto Clusit 2019 ha dato un importante contributo per chiarire quanto il settore sanitario sia effettivamente sempre più a rischio: proprio la Sanità infatti è diventato il campo più bersagliato a livello globale. I motivi sono innumerevoli: in primis l’imprevedibilità. Non essendo banche, attività commerciali o economiche in senso classico, sono state sottovalutate come obbiettivi, ma ora i criminali informatici si sono accorti che spesso si tratta di facili bersagli, che possono dimostrarsi molto proficui. La situazione è talmente compromessa dalla mancanza di risorse dedicate e di sistemi di analisi e monitoraggio di cybersecurity che gli attacchi informatici in atto vengano scoperti a volte dopo un periodo di 18 mesi (o più) dal loro esordio.
Dopo questa premessa rimane difficile fare una stima sui costi che le diverse violazioni provocano al sistema sanitario. Il motivo è che le stime di questi attacchi hanno spesso forbici molto larghe, i costi delle perdite nel 2019, secondo un report IBM, variavano da 40 a 450 milioni.
Secondo altri dati citati da Cybersecurity360 il singolo colpo messo a segno da un criminale digitale vale 150 dollari, mentre se il bersaglio è in ambito sanitario la cifra sale sopra i 400 dollari. Facile dunque capire perché i delinquenti del nuovo millennio abbiano deciso di muoversi verso la Sanità, almeno finché non si applicheranno nuovi protocolli, continueranno in questa direzione. Ma se è vero, come anticipa un’indagine dell’Osservatorio Information Security e Privacy del Politecnico di Milano, che a fine del 2019 poco più di un’azienda italiana su due aveva completato il processo di adeguamento della Gdpr; erano il 24% nel 2018, una maggior accortezza su questa tema potrebbe non arrivare nell’immediato.
Analizzando i dati è chiaro il motivo per cui, dal 2011 al 2016, gli attacchi nel settore Sanità sono aumentati del 102,78%. Questo comporta ovviamente un aumento dei costi della sicurezza informatica: più si alzano le percentuali e la complessità degli attacchi, più si alza il budget della difesa, che porta i costi a raggiungere livelli insostenibili. Infatti sebbene il 45% delle aziende abbia aumentato gli investimenti in quest’area, non sempre questi riescono a portare i benefici sperati.
Infine non bisogna dimenticare che i dati personali interessano anche le organizzazioni terroristiche, motivo per il quale è ancora più importante tutelare queste informazioni. Per sollevare il problema, così riporta la relaziona annuale dei Servizi di sicurezza interna italiani, i casi di hacktivism più rilevanti negli anni scorsi hanno riguardato l’avvio, ovvero il proseguimento, di una serie di operazioni, tra cui “#OpBlackWeek”, con la pubblicazione on line di dati esfiltrati da sistemi di istituzioni operanti nei settori dell’Istruzione, del Lavoro, della Sanità, dei Sindacati, delle Forze dell’ordine, dei Comuni e delle Regioni”.
Un tema che sottolinea nuovamente l’importanza della cyber sicurezza in ambito sanitario ed evidenzia non solo la necessità di effettuare investimenti mirati, ma anche di aumentare la consapevolezza di medici, infermieri e personale IT delle Strutture Sanitarie attraverso un’informazione/formazione mirata e l’utilizzo di simulazioni in grado di mimare un attacco informatico; incrementare quantità e qualità delle risorse deputate alla cyber security in Sanità attraverso investimenti mirati; reperire figure professionali qualificate, attraverso un’analisi del rischio e l’implementazione d soluzioni customizzate, siano in grado di prevenire, identificare e rispondere in tempi brevi a queste minacce.