proteggere i dati per tutelare la salute

La trasformazione digitale ha rivoluzionato il settore sanitario, rendendo i dati un elemento chiave per migliorare l’assistenza ai pazienti. Tuttavia, la crescente quantità di informazioni sensibili conservate nei sistemi informatici delle strutture sanitarie rende il settore un bersaglio privilegiato per gli attacchi informatici.

Scade in questi giorni, il 28 febbraio, un primo importante appuntamento per l’applicazione della Direttiva NIS2 (Network and Information Security 2), un aggiornamento della precedente Direttiva NIS del 2016, ideata dall’Unione Europea per rafforzare la sicurezza informatica a livello europeo. Entro questa data i soggetti che operano in uno dei settori chiave (Energia, Trasporti, Sanitario, Acqua potabile e molti altri) devono completare la registrazione alla piattaforma NIS.

Entro il 28 febbraio i soggetti che operano in Energia, Trasporti, Sanitario, Acqua potabile devono registrarsi alla piattaforma NIS

Per informare e sensibilizzare i soggetti interessati, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha organizzato un tour in diverse regioni italiane. TrendSanità ha intervistato Nunzia Ciardi, Vice Direttore generale di ACN, in occasione della tappa piemontese, nel corso del convegno “La minaccia cibernetica al settore sanitario”, co-organizzato da ACN e dalla Regione Piemonte, rappresentata dal Presidente Alberto Cirio e dall’Assessore alla Sanità, Federico Riboldi. L’obiettivo dell’evento è stato sensibilizzare in particolare dirigenti delle strutture sanitarie sul tema della cybersicurezza, fornendo strumenti utili e diffondendo le linee guida operative specifiche per la sanità redatte da ACN.

Le principali criticità della cybersicurezza in sanità

«Le aziende sanitarie devono attenersi scrupolosamente ai criteri e alle linee guida in materia di cybersicurezza adottati a livello internazionale», ha sottolineato Ciardi. «In questo contesto, l’Agenzia sta fornendo specifiche indicazioni, presentate in diversi incontri regionali, con l’obiettivo di supportare le strutture sanitarie nell’implementazione di misure di sicurezza efficaci».

L’interconnessione dei sistemi sanitari e le infrastrutture obsolete aumentano la vulnerabilità del settore

Un aspetto cruciale riguarda la formazione e la consapevolezza del personale. «Spesso, il punto di vulnerabilità più critico è rappresentato dal comportamento inconsapevole dei dipendenti. La mancata osservanza delle procedure di sicurezza può infatti compromettere anche ingenti investimenti finalizzati alla protezione dei sistemi informatici», ha aggiunto Ciardi.

Un settore particolarmente esposto

La complessità e l’interconnessione dei sistemi sanitari, unita alla presenza di infrastrutture obsolete, accresce la vulnerabilità complessiva del settore. «A complicare ulteriormente il quadro vi è la natura stessa dell’ecosistema sanitario digitale, caratterizzato da un’estrema varietà e interconnessione tra sistemi, alcuni dei quali obsoleti e difficilmente aggiornabili senza interrompere i servizi essenziali», ha spiegato Ciardi.

Un altro fattore critico è la carenza di professionisti specializzati in cybersicurezza. «L’ACN sta cercando di colmare questo gap attraverso collaborazioni con università e istituti di formazione, orientando i giovani verso percorsi professionali sempre più richiesti dal mercato, ma attualmente insufficienti rispetto alle necessità», ha detto Ciardi.

Al contempo, è fondamentale rendere l’applicazione delle misure di sicurezza più agevole per gli operatori sanitari, senza aggravare il loro già elevato carico di lavoro. «La sicurezza informatica, pur essendo essenziale, non deve risultare un ostacolo operativo», ha sottolineato Ciardi «Ad esempio, recenti studi evidenziano che un medico o un infermiere accede in media 80 volte al giorno ai sistemi informatici, spesso per la gestione di pronto soccorso affollati. In questi contesti, l’adozione di strumenti più innovativi, come un riconoscimento biometrico, potrebbe rappresentare una soluzione più efficace rispetto all’uso ripetuto di password complesse, il cui inserimento manuale può indurre a pratiche rischiose, come la condivisione non autorizzata delle credenziali».

L’impatto degli attacchi informatici sulla sanità

Il rischio informatico nella sanità è determinato da una combinazione di fattori. «Da un lato, la natura sensibile dei dati sanitari li rende un obiettivo particolarmente appetibile per i cybercriminali (basti pensare che sul dark web una carta di credito rubata può valere fino a 30 dollari, mentre una cartella clinica completa può arrivare a 1.000 dollari). Dall’altro, la complessità e l’interconnessione dei sistemi sanitari aumenta le vulnerabilità complessive», ha evidenziato Ciardi.

La sicurezza informatica, pur essendo essenziale, non deve risultare un ostacolo operativo

Secondo le recenti statistiche, entro il 2025 il volume complessivo di dati prodotti raddoppierà ogni 24 ore, ponendo una sfida senza precedenti alla cybersicurezza. Gli attacchi informatici contro le infrastrutture sanitarie non sono una minaccia teorica, ma una realtà concreta. «Negli Stati Uniti, nel 2023, un attacco ransomware ha colpito 149 ospedali contemporaneamente in 19 Stati, compromettendo i dati di 5 milioni di cittadini. Tutto questo è stato possibile per una semplice negligenza: una coppia di username e password compromessa e mai aggiornata, senza protezione a doppio fattore», ha raccontato Ciardi. «Ma non è solo un problema di privacy teorica: è una questione di vita o di morte. Uno studio dell’Università del Minnesota ha dimostrato che durante un attacco ransomware, la mortalità nei ricoverati aumenta dal 35% al 41%».

Le strategie di difesa: il ruolo dell’ACN e l’esperienza del Piemonte

Le strategie di difesa dell’ACN si articolano su tre livelli per proteggere le strutture sanitarie da minacce sempre più rilevanti. Il primo livello riguarda la prevenzione e il monitoraggio delle minacce, con l’obiettivo di intercettare precocemente gli attacchi e avvisare le strutture sanitarie, permettendo loro di adottare le necessarie contromisure. Il secondo livello si concentra sul supporto nel ripristino dei servizi: in caso di attacco, l’ACN interviene per garantire la continuità operativa e ristabilire i servizi essenziali nel minor tempo possibile. Il terzo livello è dedicato alla formazione e allo sviluppo di competenze specialistiche, un aspetto cruciale data la carenza di esperti in cybersicurezza.

La tappa torinese del tour ACN si è conclusa con un tavolo tecnico che ha coinvolto esperti di cybersicurezza e rappresentanti delle istituzioni sanitarie piemontesi: Roberto Caramia (Capo delle operazioni CSIRT Italia), Antonino Ruggeri (Responsabile del Controllo di gestione, sistemi informativi logistica sanitaria e coordinamenti acquisti, Regione Piemonte), Simona Iaropoli (Azienda Zero Piemonte), Francesco Pensalfini (Responsabile SC Tecnologie, ASL Città di Torino), Pier Paolo Gruero (Responsabile FO Cybersecurity, CISO, CSI Piemonte) ed Enzo Veiluva (Area Privacy e DPO aziedale CSI-Piemonte).

Proteggere i dati sanitari significa proteggere la salute e la sicurezza dei cittadini

Particolare attenzione è stata data alla gestione e segnalazione degli incidenti, alla luce di due attacchi informatici che hanno colpito negli anni scorsi la ASL Città di Torino e l’Azienda Ospedaliera Universitaria di Alessandria, e che sono stati analizzati anche come esempio di scuola per la capacità di reazione e gestione tempestiva messa in campo dalle strutture piemontesi affiancate dai tecnici di CSIRT Italia (Computer Security Incident Response Team) e ACN.

Cybersicurezza come priorità per il futuro

Proteggere i dati sanitari significa proteggere la salute e la sicurezza dei cittadini. L’aumento degli attacchi informatici richiede una risposta forte e coordinata, che coinvolga istituzioni, strutture sanitarie e operatori del settore. Investire in tecnologie sicure, promuovere la formazione di esperti e sensibilizzare il personale sanitario sull’importanza della cybersicurezza sono passi fondamentali per garantire un sistema sanitario più resiliente e sicuro.