Il comparto sanitario risulta tra i più colpiti dagli attacchi informatici. È quanto emerge nell’ultimo report realizzato dall’Agenzia per la cybersicurezza nazionale, che custodisce un focus specifico sulla Sanità. Sul tema, ACN sta portando avanti una campagna di sensibilizzazione itinerante che tocca vari enti territoriali italiani.
Diffondere la cultura della sicurezza cibernetica e, al contempo, fornire una serie di strumenti utili e linee guida operative volte a migliorare la cyber resilience delle aziende. Anche nell’ambito della cybersecurity in Sanità sono questi gli obiettivi che l’Agenzia per la cybersicurezza nazionale sta portando avanti, attraverso un doppio binario: la pubblicazione del rapporto “La minaccia cibernetica al settore sanitario” (aggiornato a settembre 2024), congiuntamente alle 12 linee guida di ACN, e la promozione di una campagna di sensibilizzazione itinerante che sta già toccando molti enti territoriali del Paese.
“Quando parliamo o sentiamo raccontare dell’innovazione tecnologica in ambito sanitario, il nostro pensiero corre immediatamente alla salute pubblica e all’utilizzo di nuovi strumenti digitali come l’intelligenza artificiale”, le parole del Direttore Generale dell’Agenzia per la cybersicurezza nazionale, Bruno Frattasi.
Eventi cyber e incidenti in sanità nel 2022 e 2023
Come spiega il rapporto, nel periodo compreso tra il 2022 e il 2023 si è osservato un notevole incremento nella frequenza degli eventi cyber, documentati in un totale di 45 casi. L’analisi del numero di eventi cyber registrati nel 2023 rivela un incremento del 50% rispetto all’anno precedente (2022), rimarcando una preoccupante tendenza in crescita nel comparto. In particolare, è emerso che il 47% di tali eventi cyber sono stati confermati come incidenti.
In merito al principale tipo di cyberattacco in sanità, il report di ACN evidenzia che gli attacchi ransomware risultano essere la minaccia cibernetica più diffusa per il settore, con il 35% degli eventi nel 2023 e il 60% degli eventi nel 2022. Inoltre, l’attività di information disclosure – attraverso cui un attaccante può acquisire informazioni di vario tipo riguardo al server/struttura della vittima – è stata rilevata nel 14% degli eventi nello scorso anno (mentre la diffusione di malware tramite e-mail è emersa dal 10% degli eventi del 2023)
Lo sfruttamento di vulnerabilità ha contraddistinto il 10% degli eventi nel 2023 e il 13% degli eventi nel 2022. Il rapporto “La minaccia cibernetica al settore sanitario” a cura dell’Agenzia per la cybersicurezza nazionale fa poi presente che i ransomware risultano essere la tipologia di incidente più diffusa (costituiscono infatti il 43% degli incidenti nel 2023 e il 67% degli incidenti nel 2022). La diffusione di malware tramite e-mail ha caratterizzato il 15% degli incidenti nello scorso anno. L’esfiltrazione è stata rilevata nel 7% degli incidenti nel 2023 e nel 8% degli incidenti nel 2022 (mentre le compromissioni da malware hanno contraddistinto il 7% degli incidenti nello scorso anno e il 17% degli incidenti nel 2022).
Sensibilizzare sulla cybersecurity in Sanità
“Da gennaio 2022 a giugno 2024 in Italia ci sono stati 26 eventi ransomware nel settore sanitario. Hanno interessato quasi 50 fra strutture, presidi ospedalieri, servizi medici sul territorio”. Così il Sottosegretario alla Presidenza del Consiglio e Autorità delegata per la sicurezza della Repubblica, Alfredo Mantovano, durante il convegno “La minaccia cibernetica al settore sanitario” a Roma presso la sede della Regione Lazio, alla presenza tra gli altri del Direttore Generale di ACN, Frattasi e del Governatore del Lazio, Francesco Rocca.
Seconda tappa a Milano, lo scorso 17 ottobre, nella cornice di Palazzo Lombardia (presente il Governatore della Lombardia, Attilio Fontana). Qui il Vicedirettore generale dell’Agenzia per la cybersicurezza nazionale, Nunzia Ciardi, ha sottolineato l’allarmante aumento delle minacce cyber e la vulnerabilità dei dati sanitari, definendoli tanto preziosi quanto sensibili. “Una cartella clinica può valere tra i 300 e i 1.000 dollari, mentre una carta di credito arriva a 30 dollari. Questo rende l’idea di quanto siano delicate queste informazioni, che comprendono dati finanziari, codici fiscali e dettagli intimi sulle patologie delle persone”, le sue parole.