Attacchi cyber, sanità sempre più nel mirino
I dati Acn segnalano un incremento degli incidenti informatici del 358% tra il 2023 e il 2024. La dinamica non si arresta nei primi mesi dell'anno in corso: a rischio i servizi alla salute e i dati dei pazienti. L'esperto a Nursind Sanità: "Ecco le misure per ridurre le vulnerabilità"
I dati più freschi dicono che il settore sanitario in Italia ha subito 11 incidenti informatici nel solo mese di maggio, il 58% in meno dei 26,3 occorsi in media nel semestre precedente. Ma c’è poco da stare allegri, perché i trend a lungo termine indicano una crescita allarmante e, peraltro, ad ogni incidente possono essere associate diverse forme di minaccia. Ad esempio, per citarne qualcuna, sempre su maggio si sono verificate quattro compromissioni di caselle email, due esfiltrazioni e due esposizioni di dati, ma anche due spear phishing (phishing mirato, basato su una comunicazione ben profilata sull’utente colpito). I dati arrivano dall’Agenzia per la cybersicurezza nazionale, ossia l’autorità italiana in materia di prevenzione e difesa dagli attacchi informatici.
L’Acn ha dedicato anche un report specifico alle vulnerabilità informatiche che riguardano il comparto salute e che copre il periodo da gennaio 2023 a marzo 2025. Negli anni 2023 e 2024, si è osservato un evidente incremento nella frequenza degli eventi cyber, per un totale di 84 casi. E nel 2024 si è registrata un’impennata del 111% (57) rispetto all’anno precedente (27). Ovviamente non tutti gli eventi informatici sono incidenti, ma nel 2024 circa il 96% degli eventi cyber è stato confermato come incidente; dunque la sovrapposizione è quasi compiuta. Tanto che l’incremento degli incidenti tra il 2023 e il 2024 è stato pari al 358%.
Gli attacchi ransomware (attacco con presa in ostaggio dei dati e richiesta di riscatto) risultano essere tra le minacce cibernetiche più diffuse per il settore, con l’11% degli eventi nel 2024 e il 36% degli eventi nel 2023. Le attività di esposizione dati e intrusione tramite credenziali valide sono state rilevate nel 15% degli eventi nel 2024. L’esfiltrazione si è verificata nel 14% degli eventi del 2023, invece le compromissioni da malware hanno caratterizzato il 13% degli eventi nel 2024. Nei primi tre mesi dell’anno in corso, infine, si sono registrati 21 eventi cyber, di cui 11 catalogati come incidenti. Per comprendere la dinamica, basti ricordare che nello stesso periodo dell’anno scorso gli eventi erano stati appena dieci e soltanto sei gli incidenti.
Si tratta di attacchi che possono non solo interrompere i servizi e compromettere la privacy dei pazienti, ma anche mettere a rischio la sicurezza delle informazioni mediche sensibili. Non a caso, è ormai diffuso il fenomeno delle cartelle sanitarie in vendita nel dark web. Secondo l’Acn, “i tentativi di attacco spesso hanno successo poiché alcune pratiche di sicurezza, anche elementari, vengono ignorate o mal implementate. Nella maggior parte dei casi, ciò è frutto di scarsa attenzione agli aspetti di sicurezza connessi alla gestione di sistemi digitali, o di una carente formazione specifica sulla cybersicurezza del personale impiegato in ospedali, centri medici, cliniche e altre strutture sanitarie”.
Ma cosa si sbaglia negli enti della salute? E perché ci si espone al rischio informatico? Diversi reparti, sostiene l’Agenzia per la cybersicurezza, ottengono hardware, software e servizi It da fornitori esterni senza una gestione centralizzata. Poi il personale It gestisce la sicurezza informatica senza avere risorse dedicate. E infine pesa l’obsolescenza degli apparati informatici, non aggiornabili o supportati, che continuano a essere utilizzati. Acn non ha dati disaggregati sulla provenienza degli attacchi, che peraltro è spesso difficile da determinare in modo preciso. Ovviamente, sulle cronache finiscono soprattutto le minacce cyber provenienti da soggetti statali di Paesi come Russia, Cina, Iran o Corea del Nord, ma la verità è che un’ampia parte degli eventi rimane senza origine certa.
Dal canto suo, l’Italia ha introdotto quasi un anno fa nel proprio ordinamento la legge 90 dedicata alla cybersecurity. Una normativa d’avanguardia che tra l’altro allarga gli obblighi di notifica degli incidenti cyber al Csirt (Computer security incident response team, la struttura tecnico-operativa dell’agenzia). E Acn conferma a Nursind Sanità quanto esposto nella Relazione annuale al Parlamento 2024: si tratta di una modalità di puntuale interlocuzione tra l’ente di Corso Italia e il soggetto esposto alla potenziale minaccia, prima del tutto assente nel sistema. Uno strumento che rappresenta una forma non alternativa bensì ulteriore rispetto agli alert generali. Altro tema rilevante “riguarda il rafforzamento della resilienza delle Pa, attraverso l’istituzione di una struttura interna alle amministrazioni dedicata alla sicurezza cibernetica, presso la quale individuare la figura del referente per la cybersicurezza”. Una direttrice cui, tuttavia, le aziende sanitarie fanno fatica ad adeguarsi.
Poi c’è il nodo sempre più cruciale dell’intelligenza artificiale. Secondo Acn, “l’Ia, attraverso la capacità di elaborare rapidamente un’ingente mole di dati, presenta enormi potenzialità per migliorare il rilevamento delle minacce cyber”. HyperSoc è una struttura integrata per la protezione degli asset strategici nazionali, che fornisce servizi di potenziamento delle capacità di monitoraggio e analisi di eventi di sicurezza dei soggetti aderenti. Proprio dentro HyperSoc esiste un’infrastruttura di High performance computing (Hpc), cioè un sistema di calcolo a elevate prestazioni che permette di rafforzare i servizi cyber nazionali anche tramite strumenti basati su intelligenza artificiale e machine learning.
“La minaccia prevalente è il ransomware che ormai in molti conoscono, ma sta crescendo il Ddos (Distributed denial-of-service, ndr), che satura i sistemi e li rende inaccessibili con un sovraccarico di richieste, un’arma sempre più usata in ambito governativo e in contesti di cyber guerra”, sottolinea a Nursind Sanità Pasquale Draicchio, cyber risk manager per l’Italia di Relyens, gruppo mutualistico europeo di riferimento nei settori dell’assicurazione e della gestione dei rischi in sanità. L’esperto aggiunge: “Il tema dei fornitori è cruciale: il fatto di avere una supply chain allarga la superficie di attacco e moltiplica le vulnerabilità. Dunque, servono misure di sicurezza già a livello contrattuale ed è importante che tali misure siano implementate a livello tecnico”.
Quindi pesa ancora “la carenza di personale con il corretto know-how: da un lato vi è scarsa sensibilizzazione degli operatori sanitari alla sicurezza informatica, che rappresenta un’ulteriore vulnerabilità che espone a possibili attacchi cyber; dall’altro, le strutture sanitarie hanno dipartimenti It, ma con competenze It, appunto, mentre quelle in cybersecurity sono un’altra cosa”, riflette Draicchio. E chiosa: “Il reclutamento è difficile e serve formazione ad hoc non solo per gli operatori It e per il personale sanitario ma, come richiede la direttiva Ue Nis 2, anche per i dirigenti, per fornirgli metodi e strumenti utili per la corretta gestione del rischio cyber”.
Secondo il manager, è importante poi “avere il controllo su apparecchiature e sistemi che spesso sono obsoleti, mettendoli in sicurezza o dismettendoli ove necessario. In generale, sono necessari sia sistemi di patch management, con aggiornamenti automatici in base a tempistiche definite per sanare le vulnerabilità e minimizzare i rischi, sia backup regolari, disconnessi dalla rete e inseriti in un luogo fisico diverso da quello di produzione dei dati. Senza dimenticare le procedure di roll-back con cui si testa il corretto funzionamento di questi backup per poterli poi ripristinare”. Draicchio chiude: “I punti critici sono quasi sempre legati alle connessioni da e verso l’esterno, ossia tramite internet, il canale di accesso prediletto dal cyber criminale. Ecco perché serve una mappatura dei servizi e dei dispositivi esposti” ed è opportuno “avvalersi di aziende esterne che abbiano le giuste competenze a partire dall’analisi del contesto, la definizione del perimetro dei dispositivi e la valutazione risk-based sulle corrette procedure e misure da implementare per la tutela dei dati”.
Sempre più vicini ai nostri lettori.
Segui Nursind Sanità anche su Telegram