Il consolidamento della sicurezza informatica degli ospedali e degli operatori sanitari può contare su un piano d’azione di livello europeo: il “Piano d’azione europeo sulla sicurezza informatica degli ospedali e degli operatori sanitari” pubblicato lo scorso 15 gennaio dalla Commissione Europea.
Si tratta della prima iniziativa specifica verticale di settore, che punta a implementare le molteplici misure di sicurezza informatica previste dall’UE indicate dalle norme di sicurezza europea.
In Italia, un primo studio sulla sicurezza del settore sanitario è stato pubblicato da ACN, con evidenze di attacchi e raccomandazioni a livello di singola organizzazione.
Il piano europeo presenta, invece, un approccio coordinato e di “sistema” per la prevenzione e contrasto delle crisi di sicurezza nell’itero settore sanitario.
Indice degli argomenti
Il settore sanitario è sotto attacco
Fra le infrastrutture critiche digitali oggetto di attacchi informatici, il settore sanitario ha un triste primato: risulta essere il più colpito e quello dove si registra la maggiore entità dei danni.
I dati sono quelli che emergono dal report ACN dal titolo “La minaccia cibernetica al settore sanitario” che fotografa un andamento degli attacchi dal 2022 al 2024, periodo nel quale sono stati osservati sul territorio italiano una media di “2,6 eventi cyber malevoli al mese ai danni di strutture sanitarie, dei quali la metà circa ha dato luogo a “incidenti”.
Ma gli attacchi al settore sanitario dilagano in tutta Europa, tanto che gli Stati membri hanno segnalato 309 incidenti significativi di sicurezza informatica che hanno interessato il settore sanitario nel 2023, più che in qualsiasi altro settore critico (fonte: EU report).
Per questo motivo, arriva in soccorso proprio la UE con il piano d’azione per la messa in sicurezza di ospedali e operatori sanitari che punta proprio a un deciso miglioramento della postura di sicurezza di tutto il settore sanitario per ottimizzare il rilevamento delle minacce, la preparazione e della risposta alle crisi nel settore sanitario.
Le indicazioni di progressiva attuazione fra il 2025 e il 2026 coinvolgono strumenti, servizi e formazione.
Sanità sicura e resiliente: i report di ACN e Commissione UE
Analizzando il piano d’azione europeo sulla sicurezza informatica di ospedali e operatori sanitari si osservano subito due differenze principali tra questo report e quello dell’ACN. Intanto, l’analisi delle iniziative è proposta con una granularità diversa: il report UE agisce verso l’intero ecosistema sanitario e della sua supply chain, diversamente dal piano ACN che si rivolge alla singola entità.
Inoltre, il piano UE propone azioni “di sistema” invece delle vere e proprie misure singole di sicurezza, proprie del piano ACN.
Analizziamo, quindi, ciascuno dei due piani in dettaglio.
Sanità: attacchi in Italia e contromisure da ACN
Dal report pubblicato dal CSIRT dell’ACN in materia di attacchi al settore sanitario emerge incremento nella frequenza degli eventi cyber, documentati in un totale di 45 casi fra il 2022 e il 2023 con un incremento del 50% rispetto al periodo precedente. Per il 2024 il numero complessivo degli eventi cyber è quasi raddoppiato rispetto al 2023.
Sia per il 2023 che per il 2024 il ransomware ha avuto la maggiore incidenza e diffusione, insieme ai tentativi di intrusione tramite credenziali e le compromissioni da malware (questi ultimi in aumento rispetto al 2022 e 2023).
I maggiori danni son stati riscontrati sia sulla disponibilità dei servizi (a causa della cifratura dei ransomware n.d.r.) sia a livello di integrità a causa della modifica non autorizzata ai dati e sia a livello di riservatezza a causa delle esfiltrazioni di dati avvenute con finalità di riscatto.
Contromisure proposte da ACN
Fra le maggiori cause di successo degli attacchi il CSIRT ACN ha classificato tre principali criticità: dispositivi e servizi esposti on line su web, servizi con vulnerabilità note o obsoleti nella versione software, e configurazioni errate o lontane dalle baseline delle best practice di settore.
Contromisure immediatamente necessarie secondo ACN riguardano la segregazione in rete protetta degli asset/dispositivi critici, il patching per le vulnerabilità note e l’aggiornamento dei sistemi per adottare versioni più aggiornate, ma anche il cambio delle configurazioni dei servizi adottando impostazioni appropriate.
In aggiunta, l’ACN suggerisce di modificare altre tre condizioni critiche spesso caratterizzanti delle strutture sanitarie: la gestione decentralizzata di sistemi digitali, l’obsolescenza dei dispositivi e la cronica carenza di personale di cyber security; rispettivamente, la risoluzione passa per una gestione centralizzata dei sistemi e quindi della corrispondente protezione centralizzata di sicurezza, l’aggiornamento dei dispositivi a nuove versioni o modelli e l’assunzione di personale specializzato in sicurezza che possa attuare prassi professionali, piuttosto che lavorare in condizioni di best effort.
L’ACN riconosce anche l’esigenza di “una governance centralizzata della cyber security e dell’IT, garantendo la separazione di ruoli ottenibile con un approccio programmatico, strutturato e integrato, fondato sulla gestione del rischio”.
Il piano europeo per il settore sanitario
Analizzando in dettaglio il piano UE sono elencati i destinatari delle iniziative globalmente considerati in: ospedali, cliniche, case di cura, centri di riabilitazione e vari operatori sanitari, insieme all’industria farmaceutica, medica e biotecnologica, ai produttori di dispositivi medici e agli istituti di ricerca sanitaria.
Dunque, il richiamo UE si rivolge a un intero mercato, a cui si richiede una maggiore attenzione per la propria postura di sicurezza, come somma della prontezza di ogni entità citata. Ognuna di tali entità eroga servizi a cittadini e quindi alle persone, che sono gli utenti da tutelare, dai rischi di privacy e sicurezza dei loro dati che, in quanto sanitari, sono anche altamente sensibili.
Il piano d’azione UE è strutturato in diverse capacità da potenziare e specificamente quelle di: prevenzione, individuazione attacchi, risposta e recupero da incidenti e sulla deterrenza delle minacce.
Inizialmente l’azione UE punta a coinvolgere diversi stakeholder, per poi arrivare alle entità dirette interessate, ovvero con gli operatori sanitari. L’ecosistema sanitario è ampio e formato dagli Stati membri e la comunità della sicurezza informatica, senza dimenticare la cooperazione internazionale e quella pubblico-privata.
È prevista anche una “call to action” per aziende fondazioni e istituti scolastici per chiamarli ad un impegno comune verso le sfide del settore.
L’ENISA ha come sempre per l’EU un ruolo primario tanto da essere indicata come entità tecnica di riferimento per costituire un centro specificamente dedicato al supporto del settore sanitario, l’European Cybersecurity Support Centre for hospitals and healthcare providers, che dovrà “sviluppare progressivamente un catalogo completo di servizi che risponda alle esigenze degli ospedali e degli operatori sanitari, delineando la gamma di servizi disponibili per la preparazione, la prevenzione, il rilevamento e la risposta.
A tal proposito sono previsti progetti pilota per sviluppare le migliori pratiche per l’igiene informatica e la valutazione dei rischi per la sicurezza, nonché per affrontare la necessità di un monitoraggio continuo della sicurezza informatica, dell’intelligence sulle minacce e della risposta agli incidenti utilizzando soluzioni di sicurezza informatica” (Fonte EU report).
Una prima lista di servizi e capacità necessarie è rappresentata nella figura sottostante.
L’ECCC (Centro Competenza Europeo per la Cyber Security) è chiamato ad aggiornare progressivamente su altre azioni di livello Ue in questo ambito.
Sul fronte della deterrenza le attività di contrasto sono previste a livello di forze di polizia completamente integrate all’applicazione del Cyber Diplomacy Toolbox, che rappresenta una risposta diplomatica congiunta dell’UE alle attività informatiche malevole.
A livello di ogni stato membro sono incoraggiate iniziative di creazione di centri nazionali di supporto alla sicurezza informatica specificamente per ospedali e operatori sanitari, unitamente alla creazione di piani d’azione nazionali incentrati sulla sicurezza informatica nel settore sanitario, senza dimenticare opportune azioni di finanziamento di tali iniziative che non depauperino o sminuiscano l’assistenza essenziale ai pazienti.
Ovviamente, il piano d’azione sarà monitorato nella sua applicazione e nel suo livello di miglioramento continuo.
Il piano è soggetto ad ampie consultazioni delle parti interessate proseguendo sia a livello di Stati membri che dei componenti degli ecosistemi di interesse.
Dopo le consultazioni è prevista la presentazione di raccomandazioni nel quarto trimestre del 2025 per perfezionare ulteriormente il piano d’azione.
