Quando si pensa agli attacchi informatici che colpiscono la sanità, il pensiero va subito ai ransomware, spesso protagonisti delle cronache anche perché possono causare interruzioni di servizio che fanno immediatamente “rumore”. Ma il ransomware non è l’unica minaccia cyber di cui ospedali, cliniche e altre organizzazioni sanitarie devono preoccuparsi. Una nuova ricerca condotta da Censuswide per Kaspersky ha evidenziato che il 73% delle strutture sanitarie italiane di grandi dimensioni (su personale C-Level di realtà da oltre 1.000 dipendenti) ha subìto almeno un incidente di sicurezza informatica nei dodici mesi precedenti.
E non solo: quasi una realtà su quattro (24%) ha sperimentato incidenti o attacchi gravi, che hanno avuto conseguenze rilevanti sul piano operativo e organizzativo. In questo sottoinsieme di aziende sanitarie, la media è di due episodi di interruzione dei sistemi all’anno. II 66% delle organizzazioni ha subito tentativi di furto di dati sensibili o proprietà intellettuale, problemi per cui si è vista un’accelerazione negli ultimi mesi.
I dati di Kaspersky, pur riferiti solo alle realtà di grandi dimensioni, fanno il paio con quelli del Clusit (Associazione Italiana per la Sicurezza Informatica), nel cui più recente report annuale si racconta che nel 2024 sono stati resi noti, a livello globale, 810 cyberattacchi di elevata gravità (+30% rispetto al 2023). Nella sola Italia l'anno scorso ci sono stati 13 attacchi alla sanità gravi o gravissimi e di pubblico dominio, senza contare tutto il sommerso, cioè i tentativi falliti e quelli andati a segno ma non scoperti o non divulgati.
Minacce e conseguenze temute
Tornando allo studio di Kaspersky, la minaccia percepita come più critica è il ransomware, citato tra le prime preoccupazioni dal 31% degli intervistati. Al secondo posto, al 23%, le violazioni “fisiche” alla sicurezza, come gli accessi non autorizzati all’interno delle strutture sanitarie, con annesso il rischio di manomissione di dispositivi medici o di furto di dati direttamente dai terminali.
Al terzo posto le minacce interne, 22%: da un lato le negligenze, le leggerezze, i comportamenti rischiosi per la cybersicurezza ma senza dolo, dall’altro le azioni malevole di dipendenti, ex dipendenti, collaboratori e fornitori. Altri rischi percepiti sono gli accessi non autorizzati ai sistemi informatici, (21%), gli attacchi alla supply chain (17%) e la mancanza di visibilità sui dispositivi connessi (17%).
Quali possono essere le conseguenze di queste minacce? Il 76% ha detto di temere sanzioni per mancata conformità normativa, in particolare a regolamenti sulla protezione dei dati personali come il Gdpr e a norme di sicurezza su dispositivi medici. Quasi altrettanti sono preoccupati di possibili interruzioni dei servizi sanitari erogati (74%), di danni reputazionali (74%) e perdite finanziarie (73%), e ci sono anche diffusi timori per la sicurezza dei pazienti (72%) e la compromissione dei dati clinici (71%).
Gli ostacoli da superare
Per superare queste debolezze, il settore sanitario deve affrontare una serie di ostacoli tra cui, innanzitutto, la difficoltà nel quantificare il rischio informatico, citata dal 34% degli intervistati. Altri problemi sono la rapida evoluzione delle minacce (33%), che rende difficile mantenere i sistemi aggiornati e pronti a reagire, e la carenza di competenze tecniche interne (31%).
Anche il linguaggio tecnico complesso utilizzato nei contesti di cybersecurity (26%) e la difficoltà di bilanciare efficienza operativa e conformità normativa (28%) non facilitano l’adozione di adeguate misure per la riduzione dei rischi. Altri problemi riguardano la catena di fornitura, ovvero la complessità della supply chain (citata dal 41% dei C-level), le vulnerabilità fisiche nei punti d’accesso (37%) e la diffusione di dispositivi medici connessi non sufficientemente protetti (36%).
“Questa ricerca conferma che il settore sanitario è diventato un bersaglio privilegiato per i cybercriminali”, ha commentato Cesare D’Angelo, general manager Italy, France & Mediterranean di Kaspersky. “Proteggere le infrastrutture digitali di queste realtà non è più una scelta, ma una necessità strategica. È fondamentale adottare un approccio proattivo e olistico alla sicurezza, che includa non solo tecnologie avanzate, ma anche formazione e cultura del rischio”.