La cybersecurity awareness come prima difesa contro i crimini informatici nel settore sanitario

Ad ottobre 2021, un manifesto emesso dal “Groove Cyber Crime Group”, un gruppo di criminali informatici, ha chiamato a raccolta altri gruppi simili al fine di colpire gli Stati Uniti e i suoi alleati. Tra questi è comparsa anche l’Italia, con minacce rivolte alle strutture sanitarie nazionali.
Già nel 2020, il numero degli attacchi al settore sanitario era salito del 42% rispetto all’anno precedente e, secondo il Dipartimento della Salute e dei Servizi alla Persona degli Stati Uniti, ogni mese erano state violate oltre 1 milione di cartelle cliniche dei pazienti.
Ad inizio dicembre 2021, poi, gli analisti di Kaspersky riportavano che in quell’anno le violazioni dei dati sanitari erano aumentate di una volta e mezza rispetto al 2019, prevedendo, per il 2022, che il vettore di attacco avrebbe continuato inesorabilmente ad espandersi per via dello spostamento online di una sempre maggiore quantità di dati dei pazienti e della crescente adozione di soluzioni di telemedicina.
A causa del Covid-19, dunque, pur in ritardo rispetto ad altri settori, il mondo sanitario ha forzatamente accelerato il processo di digitalizzazione, che ha incluso il telelavoro o lo smart working, un maggior utilizzo del cloud, l’avvento del BYOD (“Bring Your Own Device”) e l’aumento della “Shadow IT”. In un simile contesto, tenere sotto controllo le risorse, i fornitori e i dispositivi è diventata una sfida quasi impossibile.
Pertanto, una variazione così significativa, pur dettata dalle inevitabili necessità sanitarie di una situazione che ha chiuso gli uffici, riempito gli ospedali e trasformato la sanità, per molte casistiche, in una forma di telemedicina costante, ha portato ad una maggiore esposizione agli attacchi informatici. È infatti aumentata la superficie d’attacco e la manifestazione di fragilità rispetto ai rischi informatici, anche a causa di alcune criticità strutturali di quel mondo. Secondo lo studio “Healthcare Cybersecurity” del 2021, realizzato da Bitdefender, l’efficienza delle strutture sanitarie italiane per affrontare i rischi di sicurezza informatica raggiunge solo il 49%, mentre il 93% delle aziende del settore ha subito attacchi informatici in passato ed il 64% ritiene probabile, se non altamente probabile, un attacco informatico nel prossimo futuro.

Inoltre, il “Cost of a Data Breach Report 2021”, commissionato da Ibm al Ponemon Institute, illustra come il costo medio di una violazione di dati sia salito a 4,24 milioni di dollari (il 10% in più rispetto al 2020 perché all’aumento del lavoro da remoto non è corrisposta un’altrettanto rapida diffusione di adeguate misure di sicurezza), una cifra che “esplode” fino a 9.2 milioni nel settore sanitario, risultato il più danneggiato da una violazione per l’11° anno consecutivo.

Si tratta di numeri decisamente preoccupanti per il valore dei dati custoditi e trattati in tale ambito, considerando anche che la quantità di dati generati dalle tecnologie pare destinata ad un ulteriore aumento. Con esso, dunque, deve crescere di pari passo la necessità di inserire ogni operazione all’interno di un contesto costellato di adeguate misure di sicurezza, con particolare riguardo alla già citata "awareness".