Cyber security nella sanità, ecco come impatta sui pazienti quando non c’è

Il Ponemon Institute – in collaborazione con Proofpoint – ha rilasciato, nelle ultime settimane, un report che raccoglie i risultati delle interviste fatte a 641 professionisti IT e di sicurezza IT di organizzazioni sanitarie.

L’impatto della mancata cyber security nel settore sanitario

Secondo quanto si evince dal report, l’89% delle organizzazioni intervistate ha subito un numero medio di 43 attacchi informatici negli ultimi 12 mesi. Inoltre, il costo più alto di un singolo cyber attack, negli ultimi 12 mesi, è compreso tra 10.000 e oltre 25 milioni di dollari.

Ancora, il costo totale medio più alto, per attacco informatico, è stato pari a 4,4 milioni di dollari, inclusivo di tutte le spese dirette di cassa, costi diretti ed indiretti di lavoro, i costi generali e opportunità commerciali perse.

In particolare, è interessante evidenziare che, nella maggior parte dei casi, un cyber attack ha compromesso la produttività delle organizzazioni sanitarie che si è tradotta in un una perdita finanziaria media di 1,1 milioni di dollari.

Fonte: Cyber Insecurity in Healthcare Report– Ponemon Institute.

Tipologia di cyber attack

Il report analizza i seguenti quattro tipi di attacchi informatici ed il relativo impatto sulle organizzazioni sanitarie in termini di sicurezza dei pazienti ed erogazione di cure.

1. Compromissione del cloud – Il 65% degli intervistati afferma che le proprie organizzazioni sono vulnerabili a una compromissione del cloud. Inoltre, un altro 54% rivela che, negli ultimi due anni, le proprie organizzazioni hanno subito almeno una compromissione del cloud.
2. Ransomware – Il 72% degli intervistati ritiene le proprie organizzazioni vulnerabili a un attacco ransomware. Inoltre, questa tipologia di attacco preoccupa il 60% degli intervistati, considerando che il 41% di essi, negli ultimi due anni, ha subito una media di tre attacchi di questo tipo.
3. Attacchi alla Supply chain – Il 71% degli intervistati afferma che le proprie organizzazioni sono vulnerabili a un attacco alla supply chain ed il 50% rivela di aver subito, negli ultimi due anni, una media di quattro attacchi.
4. Compromissione delle email aziendali (Business Email Compromise – BEC) /spoofing phishing – Gli attacchi alle email avvengono attraverso una vasta gamma di tattiche tra cui: spoofing, phishing e social engineering. Il 64% degli intervistati afferma che le proprie organizzazioni sono vulnerabili a un incidente BEC ed il 51% ha dichiarato di aver subito una media di 3,5 attacchi BEC negli ultimi due anni.

Cosa insegnano gli attacchi ransomware all’industria sanitaria

Impatto sulla sicurezza dei pazienti e sull’erogazione delle cure

Il report descrive come gli attacchi informatici hanno impattato sulla sicurezza dei pazienti e sull’erogazione delle cure.

• Il 70% delle organizzazioni che ha subito un attacco alla propria supply chain ha dovuto interrompere la cura del paziente a fronte di un ritardo delle procedure e dei test diagnostici che hanno comportato:
  • Aumento della gravità delle malattie (54 % degli intervistati).
  • Maggiore durata della degenza presso la struttura (51 % degli intervistati).
  • Aumento del tasso di mortalità (23% degli intervistati).
• Il 67% degli intervistati – a fronte di un attacco BEC e/o un attacco ransomware – ha subito un’interruzione delle cure ai pazienti. Inoltre, gli incidenti BEC (21% degli intervistati) e gli attacchi ransomware (24% degli intervistati) hanno causato un aumento del tasso di mortalità.

Ancora, il 64% delle organizzazioni che ha subito un attacco ransomware ha registrato ritardi nelle procedure e nei test diagnostici che hanno portato a risultati scadenti. Inoltre, 59% di esse hanno dovuto prolungare la durata del ricovero, con impatti notevoli sulla gestione delle risorse e strutture.

• Il 67% degli intervistati ritiene che le tecnologie cloud, mobile, big data e IoT aumentano i rischi per le informazioni e la sicurezza dei pazienti.

Fonte: Cyber Insecurity in Healthcare Report– Ponemon Institute.

AAA presa di consapevolezza cercasi

Il Ponemon Institute report evidenzia la presa di consapevolezza dei punti di cedimento del settore sanitario. Ovvero:

• I dispositivi medici non sicuri e le app mobili sono considerati tra le principali cause dei problemi di cybersecurity nel settore sanitario – Le organizzazioni sanitarie, in media, hanno più di 26.000 dispositivi connessi alla rete. Il 64% degli intervistati afferma di essere preoccupato per la sicurezza dei dispositivi medici, mentre un altro 59 % afferma di essere preoccupato per le app mobili non sicure.

Fonte: Cyber Insecurity in Healthcare Report– Ponemon Institute.

• Le organizzazioni utilizzano una combinazione di approcci in termini di gestione degli accessi e delle identità a livello di cloud. Il 60% degli intervistati afferma che le proprie organizzazioni utilizzano una combinazione di soluzioni, tra cui: interfacce di gestione delle identità separate per gli ambienti cloud e locali; interfaccia di gestione delle identità unificata per ambienti cloud e locali; distribuzione di Single Sign-On.

Fonte: Cyber Insecurity in Healthcare Report– Ponemon Institute.

• La mancanza di una cultura della cybersecurity mette a rischio le organizzazioni sanitarie e i pazienti – Mentre i dispositivi medici non sicuri sono considerati la principale minaccia alla sicurezza informatica, solo circa il 51% degli intervistati afferma che la propria organizzazione considera la prevenzione e la risposta a un attacco a questi dispositivi come parte della propria strategia di cybersecurity. Inoltre, meno della metà degli intervistati afferma di aver documentato le misure per prevenire e per rispondere a un attacco BEC (48% degli intervistati) e/o attacchi alla supply chain (44% degli intervistati). La maggior parte delle organizzazioni si concentra sulle misure per prevenire e per rispondere alle compromissioni del cloud (63% degli intervistati) e/o agli attacchi ransomware (62% degli intervistati).

Fonte: Cyber Insecurity in Healthcare Report– Ponemon Institute.

• La mancanza di competenze interne, di personale e di collaborazione con altre funzioni costituiscono le principali sfide in termini di cyber security – Il 53% degli intervistati afferma che le proprie organizzazioni non dispongono di competenze tecniche interne e un altro 46% afferma di non avere personale sufficiente. Inoltre, secondo il 50% degli intervistati, la mancanza di un approccio sinergico e di collaborazione tra l’IT e le altre funzioni influisce negativamente sull’efficacia della strategia di cyber security.

Fonte: Cyber Insecurity in Healthcare Report– Ponemon Institute.

• Garantire la sicurezza senza diminuire la produttività: fattore essenziale per la strategia di cyber security delle organizzazioni sanitarie – È fondamentale per le organizzazioni sanitarie avere una forza lavoro produttiva e, al tempo stesso, proteggere efficacemente le informazioni altamente sensibili e riservate dei pazienti. La perdita di produttività – come già evidenziato – si traduce in un costo più elevato quando si risponde a un attacco informatico. Inoltre, il report rivela che, per proteggere gli utenti più a rischio – senza ridurre la produttività degli altri utenti – le organizzazioni sanitarie attuano le seguenti misure:
  • Controlli di accesso adattivi (79% degli intervistati).
  • Controlli di autenticazione avanzati prima di accedere ai dati e alle applicazioni nel cloud (78% degli intervistati).
  • Gestione delle identità in conformità agli standard (74% degli intervistati).
• I programmi di formazione e di sensibilizzazione, unitamente al monitoraggio dei dipendenti, costituiscono le principali strategie per ridurre il rischio interno – I dipendenti negligenti rappresentano un rischio significativo per le organizzazioni sanitarie. Il 59% degli intervistati afferma che le proprie organizzazioni adottano misure per gestire la inadeguata consapevolezza dei rischi cyber da parte dei dipendenti. Inoltre, il 63% afferma di svolgere regolarmente programmi di formazione e sensibilizzazione.
• Il 60% degli intervistati afferma che le proprie organizzazioni utilizzano la threat intelligence come parte della propria strategia di cyber security – Le tipologie di threat intelligence comunemente utilizzate dagli intervistati sono: il traffico di rete (57% degli intervistati), il traffico firewall/IPS (53% degli intervistati), i dati del dark web (46% degli intervistati) e il comportamento degli utenti (44% degli intervistati).)

Fonte: Cyber Insecurity in Healthcare Report– Ponemon Institute.

Conclusione

La cyber security, come si evince dal Ponemon Institute report, è un’esigenza strategica per tutte le organizzazioni del settore sanitario e non può essere ulteriormente procrastinata. Essa consiste in una serie di azioni per :salvaguardare le organizzazioni da attacchi informatici interni ed esterni; garantire la disponibilità di servizi medici; mantenere la riservatezza; assicurare il corretto funzionamento dei sistemi, delle apparecchiature mediche e l’integrità dei dati dei pazienti; rispettare le normative del settore.

Si raccomanda di evitare di considerare la cyber security come un problema puramente tecnico che solo i reparti IT possono affrontare dato che la sicurezza e la gestione del rischio è responsabilità di tutti e nessuno può essere lasciato indietro.

Oggigiorno è quanto mai necessario incorporare la cultura della cyber security in tutta l’organizzazione, nella gestione del rischio, nella governance e nelle strutture di continuità aziendale delle strutture sanitarie, quale priorità strategica assoluta per la sicurezza dei pazienti e la continuità delle cure.

Ovvero, si tratta di implementare i principi di risk management, business continuity e cyber security al fine di migliorare le conoscenze del contesto in cui ci si trova ad operare e dotare delle competenze necessarie tutto il personale per essere in grado di affrontare le sfide contingenti e future e garantire la cyber resilience.