Quello della sanità nel 2022 è il secondo settore più colpito dagli attacchi informatici. Le tecniche utilizzate nel 45% dei casi non sono state rese pubbliche, mentre nel 33% dei casi si trattava di attacchi malware, sfruttamento di vulnerabilità (11%), compromissione di account (7%) phishing o social engineering (4%). In Italia la tecnica ampiamente più utilizzata per violare le strutture sanitarie è il ransomware. Oltre il 70% degli attacchi globali nel settore sanitario ha avuto impatti gravi (46 per cento) o molto gravi (25 per cento). Soltanto un 29% fa rilevare incidenti con impatti medi, a dimostrazione del fatto che i cyber attacchi in questo settore possono seriamente mettere a repentaglio la salute delle persone. Nel nostro Paese, i cyber attacchi nel settore sanità negli ultimi quattro anni sono praticamente triplicati, passando dal 3% del 2018 ai 9% del 2021 e 2022, con una severity che nell’ultimo anno è critica nel 78% dei casi e alta nel restante 22%.
Questi sono alcuni dati condivisi da Claudio Telmon, membro del comitato direttivo di Clusit, in apertura del tavolo di lavoro Cybersecurity organizzato nell’ambito di FORUM Sanità 2023 (Roma, 25 e 26 ottobre 2023).
Al tavolo erano presenti i principali Direttori aziendali, Chief Information Security Officer (CISO) e Data Protection Officer (DPO) delle aziende sanitarie italiane per discutere e confrontarsi sulle principali vulnerabilità dell’infrastruttura del Sistema Sanitario Nazionale e sugli strumenti di analisi degli incidenti di cybersecurity, come del rafforzamento delle capacità tecniche di difesa cyber in materia di valutazione e audit continuo del rischio, e della security awareness all’interno delle strutture sanitarie.
La direttiva NIS 2
Il framework in cui si è mosso il dibattito è l’entrata in vigore, il 17 gennaio 2023, della Direttiva NIS 2 (Direttiva UE 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 sulla sicurezza delle reti e delle informazioni).
La NIS 2propone un ampio insieme di misure volte ad aumentare il livello di sicurezza delle reti e dei sistemi informativi dei soggetti erogatori di servizi essenziali, per garantire servizi di importanza vitale per l’economia e la società dei Paesi dell’UE. Essa punta ad assicurare che gli Stati membri siano adeguatamente preparati e pronti a gestire e rispondere ad attacchi contro i sistemi di informazione attraverso la designazione di autorità competenti, la creazione di gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT), e l’adozione di strategie nazionali per la sicurezza della rete e dei sistemi informativi. Stabilisce inoltre la collaborazione a livello dell’Unione europea, sia strategica che tecnica. Infine, introduce l’obbligo per gli operatori di servizi essenziali e i fornitori di servizi digitali di adottare le misure di sicurezza appropriate e di segnalare all’autorità nazionale competente il verificarsi di incidenti gravi. Gli Stati membri possono prevedere che la direttiva si applichi a enti della pubblica amministrazione a livello locale; istituti di istruzione, dove si svolgano attività di ricerca critiche; enti della Pubblica Amministrazione che svolgano le loro attività nei settori della sicurezza nazionale, della pubblica sicurezza o della difesa.
Gli Stati membri provvedono a fare in modo che i soggetti essenziali e importanti adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete, che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché a prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi. Tenuto conto delle conoscenze più aggiornate in materia, nonché dei costi di attuazione, le misure assicurano un livello di sicurezza dei sistemi informatici e di rete adeguato ai rischi esistenti. Nel valutare la proporzionalità di tali misure, si tiene debitamente conto del grado di esposizione del soggetto a rischi, delle dimensioni del soggetto e della probabilità che si verifichino incidenti, nonché della loro gravità, compreso il loro impatto sociale ed economico.
Entro il 17 ottobre 2024, la Commissione europea adotterà atti di esecuzione che stabiliscano i requisiti tecnici e metodologici per quanto riguarda i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network, nonché i prestatori di servizi fiduciari.
La Commissione può adottare atti di esecuzione che stabiliscano i requisiti tecnici e metodologici, nonché, se necessario, i requisiti settoriali relativi alle misure per quanto riguarda i soggetti essenziali e importanti.
La sicurezza delle infrastrutture sanitarie
Abbiamo chiesto a Nicola Mugnato, founder e Chief Technology Offcier di Gyala,vendor italiano specializzato in cybersecurity, presente ai lavori, come la definizione di un quadro strategico europeo stia favorendo una maggiore sicurezza delle infrastrutture digitali in campo sanitario, ovvero uno dei temi fondanti per la rivoluzione che attende e sta investendo il nostro Sistema Sanitario Nazionale. “Sicuramente ci apprestiamo a cavalcare una chance unica, proprio perché c’è una convergenza di necessità e dall’altra parte di disponibilità di risorse e soprattutto di volontà di migliorare il Sistema Sanitario Nazionale, non solo dal punto di vista dei servizi sanitari erogati, ma anche dal punto di vista della digitalizzazione delle informazioni delle strutture che vengono utilizzate per erogare questi servizi. C’è la possibilità di migliorare quello che è il livello di sicurezza di questo tipo di infrastrutture, non solo dal punto di vista della protezione dei dati come è accaduto in passato grazie all’introduzione del GDPR, ma anche dal punto di vista dell’infrastruttura IT e OT che eroga i servizi. Questo è il punto su cui dobbiamo assolutamente lavorare e migliorare”.
Ma l’Italia è in grado oggi di concepire il salto necessario e già avvenuto in altri settori, come è accaduto nel caso del passaggio alla digitalizzazione di quello bancario? La sanità italiana da sempre viaggia ad esempio sull’organizzazione e su una divisione a livello regionale. Spiega ancora Nicola Mugnato, “Addirittura ricorderei che il nostro Paese ha pensato e agito a livello di singole ASL. Quindi, la sanità è stata ancora più parcellizzata. Oggi abbiamo la possibilità di rivedere le strutture e i sistemi di sicurezza, perché abbiamo delle normative che danno delle linee guida molto chiare. In particolare, le linee guida dell’ACN, che indicano come debba funzionare un sistema di sicurezza delle informazioni. In questo modo viene definito un sistema di gestione della sicurezza che non è solo tecnologia, e non è solo policy e documentazione, come nel caso del GDPR. Si tratta di costituire un’organizzazione, con ruoli e responsabilità ben definiti. Occorre lavorare su più fronti. Da un lato quello organizzativo, dall’altro quello documentale-procedurale e infine quello tecnologico. Nella parte diciamo di organizzazione, ci metto anche ovviamente la formazione di tutti i dipendenti, a tutti i livelli. In più dal punto di vista strettamente procedurale e tecnologico, vengono definite delle metodologie per fare prevenzione, per essere pronti alla gestione di un potenziale incidente e per avere la possibilità di recuperare la disponibilità dei servizi”.
E allora la domanda corre d’obbligo. Alla luce di queste considerazioni, ma anche sulla base degli obiettivi da conseguire, quanto è importante poter contare su una cabina di regia unica? La risposta di Nicola Mugnato non lascia spazio ad interpretazioni, “Perché un sistema del genere possa funzionare ci vuole un forte commitment. Questo commitment non può che arrivare ovviamente dai direttori generali delle ASL, dai responsabili nazionali e regionali della sanità. In questo momento io lo vedo, lo percepisco almeno per le strutture sanitarie che supportiamo. La fase di cambiamento la si avverte nel metodo organizzativo. Quindi resto convinto, che con le giuste risorse e con il corretto commitment, la riforma del Sistema Sanitario Nazionale sia un progetto assolutamente realizzabile”.
L'articolo Sanità, attacchi malware nel 33% dei casi. Nicola Mugnato di Gyala: “Garantire la sicurezza dell’ingegneria clinica è la sfida dell’oggi” proviene da FPA.
0 Commentaires