Le organizzazioni sanitarie sono particolarmente vulnerabili e prese di mira da cyber criminali e attori statali ostili poiché possiedono molteplici informazioni di alto valore monetario e strategico per l’intelligence. I dati target includono informazioni sanitarie protette dei pazienti, informazioni finanziarie come numeri di carta di credito e di conto bancario, informazioni personali come codici fiscali, passaporti, carte d’identità, ecc.
Gli innumerevoli attacchi cyber alle strutture sanitarie nel periodo del Covid-19 hanno creato serie problematiche alle infrastrutture con conseguenti fughe di notizie e danni di immagine irreparabili. In tale contesto si muovono le normative nazionali unitamente alla direttiva NIS (Network and Information Security), cioè una direttiva che contiene una serie di misure legislative che hanno lo scopo di creare un livello comune, quanto più elevato possibile, di sicurezza delle reti e in generale dei sistemi informativi all'interno dell'Unione Europea.
Gli ultimi due anni sono stati contrassegnati da numerosi attacchi cibernetici alle strutture sanitarie nazionali ed europee. Da un rapporto della Polizia di Stato è emerso un quadro davvero preoccupante in quanto gli attacchi informatici alle strutture sanitarie sono aumentanti di circa il 112% nel 2020 rispetto al 2019 ed il target dei criminali informatici riguarda soprattutto l’acquisizione di informazioni sensibili e attacchi cyber ai dispositivi medici.
Tali dispositivi, che spesse volte aiutano i medici a salvare vite umane, rappresentano una zona di attacco da parte di hacker e comprendono sistemi quali: server, terminali informatici in uso ai reparti di degenza, dispositivi di diagnostica per immagini, desktop, chioschi self service, software gestionali, sistemi di archiviazioni e trasmissione immagini (PACS), cloud pubblici, sistemi di fatturazione ecc..
La minaccia cyber non è assolutamente una novità nel settore sanitario e già nel 2008 l’Unione Europea inserì le strutture sanitarie nelle categorie a rischio previste dalla Direttiva 2008/114/CE.
Il rischio cibernetico è sempre più attenzionato dalle istituzioni europee e la direttiva NIS ha come principale obiettivo il rafforzamento della sicurezza informatica di ogni Stato Membro. Tra i compiti principali dove la direttiva trova applicazione rientra anche il settore sanitario, in quanto servizio essenziale per la popolazione e richiama l’attenzione alla gestione e prevenzione del rischio.
Da non trascurare un altro dispositivo di legge dell’Unione Europea, il Regolamento UE 2016/679 (GDPR), che riveste particolare importanza nell’ambito della sicurezza informatica, il quale stabilisce una serie di misure preventive utili ad evitare attacchi cibernetici. La direttiva UE 2016/680 è un altro dispositivo che contiene molteplici assetti riguardanti la protezione dei dati personali quando avviene il trattamento da parte degli organi investigativi, per l’esecuzione di sanzioni penali e per la salvaguardia delle minacce alla pubblica sicurezza.
Infine sono da riportare anche le linee guida dell’European Data Protection Board o Comitato Europeo per la Protezione dei Dati che vanno ad integrare le disposizioni del GDPR in materia di Data Breach, dove ogni struttura sanitaria oggetto di attacco cibernetico è tenuta a notiziare i propri pazienti della perdita o del furto delle informazioni in loro possesso.
Purtroppo la disorganica applicazione della Direttiva NIS a livello locale e la mancanza di cooperazione nel processo di comunicazione utile all’approccio cibernetico hanno rafforzato l’idea di una Direttiva NIS 2 in settori particolari come la produzione dei dispositivi medici e l’inserimento della crittografia e dei controlli di sicurezza anche sui fornitori al fine di minimizzare e prevenire i rischi informatici.
Anche se presenti molte disposizioni di legge in materia, l’applicazione pratica ancora non risulta ottimale stando a quanto riporta l’International Association of Insurance Supervisors (IAIS) e la principale causa è l’errata capacità di misurare l’esposizione al rischio.
Le organizzazioni sanitarie devono affrontare continuamente minacce informatiche in evoluzione che possono mettere a rischio la sicurezza dei pazienti. Le strutture sanitarie non dovrebbero considerare la sicurezza informatica come un problema puramente tecnico che rientra esclusivamente nel dominio dei loro dipartimenti IT.
È fondamentale che le organizzazioni sanitarie considerino la sicurezza informatica come una priorità strategica per la sicurezza del paziente al fine di una corretta gestione del rischio per garantire una continuità aziendale utile anche alla Governance. L'adeguamento delle iniziative di sicurezza informatica aiuterà le organizzazioni sanitarie a proteggere la privacy dei pazienti e garantirà anche la continuità dell'erogazione efficace di cure di alta qualità minimizzando e prevenendo i potenziali rischi per le organizzazioni.
I consulenti della Dogma S.p.A. hanno l’esperienza e la competenza per effettuare una giusta consulenza sul Cyber risk assessment nella gestione del rischio cyber nelle strutture sanitarie al fine di evitare ingenti danni reputazionali e/o finanziari a seguito di attacchi cibernetici da parte di cyber criminali.
Autore: Dott. Claudio Lisi
Senior Security Manager UNI 10459:2017 III° livello
Area Manager Dogma S.p.A.
Un sito non basta a risolvere ogni dubbio e soprattutto a far fronte a tutte le necessità. Utilizza il form qui a lato o la CHAT per contattarci, prenotare un appuntamento e chiederci informazioni.