Come garantire la sicurezza informatica delle strutture sanitarie?
La trasformazione digitale nel settore sanitario ha rivoluzionato il modo in cui vengono erogate e gestite le cure. Tuttavia, questa crescente digitalizzazione ha anche esposto le strutture sanitarie a rischi maggiori.
Infatti, secondo l'ANSSI, nel 2023 gli ospedali rappresentavano il 10% delle vittime di attacchi ransomware in Francia.
Questa situazione ha indotto la Corte dei conti a occuparsi della questione e a redigere una relazione intitolata «La sicurezza informatica delle strutture sanitarie», pubblicata nel gennaio 2025.
Mette in luce le attuali lacune in materia di sicurezza informatica nel settore sanitario e propone alcune soluzioni per porvi rimedio.
Strutture sanitarie e sicurezza informatica: un quadro preoccupante
L'evoluzione digitale e le sue conseguenze
Negli ultimi anni, le strutture sanitarie hanno adottato strumenti digitali per ottimizzare le proprie attività.
Le nuove tecnologie sono presenti in tutti i reparti e a tutti i livelli delle strutture sanitarie, dalle apparecchiature di diagnostica per immagini ai software di gestione ospedaliera.
Sebbene questi progressi siano fondamentali per migliorare la qualità dell'assistenza sanitaria, aumentano anche l'esposizione agli attacchi informatici.
Le strutture sanitarie gestiscono dati sensibili, in particolare informazioni personali e mediche dei pazienti, che sono particolarmente ambite dai criminali informatici.
La riservatezza, l'integrità e la disponibilità di questi dati devono essere garantite per assicurare la fiducia dei pazienti e il corretto funzionamento dei servizi.
Ad esempio, un attacco informatico ai danni di un ospedale può compromettere l'accesso alle cartelle cliniche elettroniche, ritardando così diagnosi e cure.
Una vasta gamma di minacce informatiche
La relazione della Corte dei conti individua diversi tipi di attacchi informatici che potrebbero prendere di mira i sistemi informatici delle strutture sanitarie:
- I ransomware: questi programmi maligni crittografano i dati delle vittime e chiedono un riscatto per ripristinarne l'accesso. Questi attacchi possono paralizzare completamente un ospedale.
- Violazioni dei dati: il furto di cartelle cliniche può comportare gravi conseguenze, che vanno dall'usurpazione d'identità al ricatto.
- Gli attacchi DDoS (Distributed Denial of Service): mirano a rendere indisponibili i servizi online delle istituzioni, paralizzando di fatto una parte di essi.
- Attacchi di phishing: tentativi di compromettere il personale ospedaliero per accedere alla rete informatica o sottrarre dati personali.
- Defacement di siti web: una tecnica spesso utilizzata dagli hacktivisti per diffondere un messaggio politico con forte risonanza mediatica.
Il sistema sanitario francese nel mirino?
Secondo l'ENISA,la Francia è il paese più colpito all'interno dell'Unione europea dagli attacchi informatici nel settore sanitario in senso lato (ospedali, laboratori, mutue, industria farmaceutica, ecc.), come illustra l'infografica qui sotto.
Fonte: ENISA. Mappa degli incidenti di sicurezza informatica registrati nel settore sanitario da gennaio 2021 a marzo 2023
Una constatazione che va tuttavia relativizzata per almeno due motivi. In primo luogo, la Francia dispone di un numero maggiore di strutture sanitarie rispetto agli altri paesi, ampliando così il campo d’azione.
Inoltre, dal 2016 le strutture sanitarie francesi hanno l'obbligo di segnalare qualsiasi incidente grave in materia di sicurezza informatica, cosa che non avviene necessariamente in tutti i paesi europei.
Resta comunque il fatto che la sicurezza informatica nel settore sanitario è una questione importante nel nostro Paese.
Valutazione della sicurezza informatica nelle strutture sanitarie
Le principali lacune individuate
La Corte dei conti evidenzia diverse carenze strutturali e organizzative che espongono le strutture sanitarie a gravi rischi informatici:
- Una governance carente
Molte strutture non dispongono di una strategia chiara in materia di sicurezza informatica. Questa mancanza di governance deriva spesso dal fatto che tali questioni non vengono considerate prioritarie, a scapito di altre esigenze di bilancio e operative. Inoltre, le linee guida nazionali non sono sempre adeguate alle esigenze specifiche degli ospedali locali.
- Risorse umane limitate
Le strutture sanitarie soffrono di una grave carenza di specialisti in sicurezza informatica. I team responsabili dei sistemi informativi sono spesso sottodimensionati e non sufficientemente formati per far fronte alle minacce attuali. Gli ospedali faticano ad attrarre figure professionali che potrebbero aspirare a uno stipendio molto più elevato in un altro settore. Di conseguenza, il 5% dei posti nei reparti informatici degli ospedali è vacante.
- Sistemi obsoleti
Molte aziende continuano a utilizzare apparecchiature e software obsoleti. Questi sistemi, che non ricevono più aggiornamenti, presentano vulnerabilità che possono essere sfruttate dai criminali informatici.
Fonte: Corte dei conti
- Una sensibilizzazione insufficiente
Il personale ospedaliero, sia amministrativo che medico, non è sempre a conoscenza delle buone pratiche in materia di sicurezza informatica. Ciò può tradursi in comportamenti rischiosi, come l'uso di password deboli o il clic su link di phishing.
Le conseguenze delle falle nella sicurezza
Gli attacchi informatici nel settore sanitario possono avere conseguenze di vasta portata:
- Interruzione dei servizi : l'indisponibilità dei sistemi può costringere una struttura a chiudere alcuni servizi essenziali come il pronto soccorso, a ritardare cure vitali, a posticipare i ricoveri, ecc.
- Interruzione dell'assistenza: con un sistema informatico fuori uso, è molto difficile per il personale ospedaliero continuare a garantire la sicurezza dei pazienti presenti nella struttura. Come si fa, ad esempio, a sapere quale paziente si trova in quale stanza?
- Perdita di fiducia : a seguito di un attacco informatico che ha causato una fuga di dati, i pazienti e i partner potrebbero mettere in dubbio la capacità della struttura di proteggere informazioni per loro natura estremamente riservate.
- Gestione amministrativa e finanziaria: il blocco dei sistemi può impedire ai servizi amministrativi di gestire i movimenti finanziari essenziali della gestione quotidiana (fatture, buste paga, ecc.).
- Costi finanziari elevati : secondo le stime fornite dagli ospedali che hanno subito attacchi informatici, il costo totale di un attacco informatico può arrivare fino a 20 milioni di euro, tenendo conto della perdita di ricavi operativi.
Va precisato che il costo degli attacchi informatici viene talvolta coperto dall’ARS attraverso il fondo di intervento regionale, ma che ciò non avviene in modo sistematico. Alcuni ospedali vittime di tali attacchi possono quindi trovarsi in una situazione finanziaria molto complessa dopo un attacco informatico.
Come migliorare la sicurezza informatica delle strutture sanitarie?
Rafforzare la governance
È indispensabile istituire una governance chiara e centralizzata della sicurezza informatica.
Ciò comprende la nomina di un responsabile della sicurezza dei sistemi informativi (RSSI) in ogni struttura, nonché l'elaborazione di piani strategici adeguati.
I responsabili della sicurezza informatica devono disporre di un'autorità sufficiente per imporre cambiamenti e garantire l'attuazione delle politiche di sicurezza.
Aumentare le risorse umane e tecniche
È fondamentale che le strutture sanitarie investano sia nell'assunzione di personale qualificato per garantire la protezione dei sistemi, sia nel rinnovo delle attrezzature informatiche obsolete.
Ovviamente, in entrambi i casi, l'aspetto finanziario è un fattore tanto determinante quanto limitante in un contesto di bilancio molto complesso.
Promuovere una cultura dell'audit e della collaborazione
È necessario effettuare verifiche periodiche per individuare eventuali lacune e monitorare i progressi compiuti.
Allo stesso tempo, un miglior coordinamento tra le strutture sanitarie può rappresentare un fattore determinante per la resilienza e una soluzione per far fronte alla carenza di risorse finanziarie.
Sensibilizzare il personale alla sicurezza informatica
Infine, la formazione del personale è fondamentale per ridurre i comportamenti a rischio. È necessario condurre campagne di sensibilizzazione mirate per instillare una vera e propria cultura della sicurezza informatica all'interno dei team.
Questo è il senso della soluzione AvantdeCliquer che propone una sensibilizzazione continua e attraverso l'azione per imparare a sventare i tentativi di phishing.
La Corte dei conti sottolinea infatti che il phishing rappresenta, a seconda degli anni, la prima o la seconda causa degli incidenti segnalati al Cert Santé.
Ora più che mai, l'individuo deve quindi essere posto al centro della protezione dei sistemi digitali nelle strutture sanitarie.
Scopri di più sull'offerta Avantdidedicata al settore sanitario.
Conclusione: la necessità di un accompagnamento a lungo termine
La sicurezza informatica è una questione fondamentale per il settore sanitario. Sebbene le strutture sanitarie debbano ancora colmare numerose lacune, la relazione della Corte dei conti fornisce raccomandazioni concrete per rafforzare la loro resilienza di fronte alle minacce informatiche.
La continua digitalizzazione dei servizi sanitari richiede un impegno costante in materia di sicurezza informatica. Ciò comporta, in particolare, la necessità di fornire un sostegno finanziario a lungo termine alle strutture sanitarie.
Un impulso già avviato dal programma «Cyberaccelerazione e resilienza delle istituzioni» (CaRE), che prevede uno stanziamento di 750 milioni di euro a favore della sicurezza dei sistemi informatici dal 2023 al 2027.
Tenendo presente, come sottolinea la Corte dei conti, che «la conclusione del programma CaRE non segnerà la fine delle esigenze di messa in sicurezza dei sistemi informativi delle strutture ospedaliere».
Responsabili IT, responsabili della sicurezza informatica, responsabili della protezione dei dati: richiedete una dimostrazione gratuita della soluzione completamente automatizzata per la sensibilizzazione sul phishing:
