Questo è il quadro italiano, aggiornato a settembre, che arriva per il settore “Healthcare” da Clusit, l’Associazione per la sicurezza informatica nata nel 2000 nell’Università di Milano impegnata con le oltre 600 organizzazioni aderenti nel monitorare la cybersicurezza globale. Un panorama in evoluzione, con l’Italia che mostra un’impennata degli incidenti cyber complessivi: +40% nei primi sei mesi dell’anno, quasi quattro volte più che nel resto del mondo.
L’ambito della salute è tra quelli nel mirino e nel nostro Paese i cyber attacchi a strutture sanitarie negli ultimi quattro anni sono triplicati, con il 71% di livello critico. Fino a settembre scorso le aggressioni andate a buon fine nel 2023 in Italia contro strutture sanitarie pubbliche e private e monitorate da Clusit – che considera solo le più rilevanti – sono state dieci, condotte da gruppi cybercriminali e in prevalenza con malware.
A spiegare l’impatto è Sofia Scozzari, consigliere Clusit: «La sanità dev’essere particolarmente attenzionata perché lì serve una doppia protezione: le aziende sono chiamate a tutelare non solo i propri dati ma anche quelli super sensibili dei loro pazienti. In più, non possono fermarsi: se anche tutti i dati sono preservati ma si bloccano i servizi per un certo periodo, gli utenti rischiano la salute e la vita». Ne dà conto la cronaca: la sanità modenese si sta ancora riprendendo dall’attacco ransomware del 28 novembre che ha messo sotto scacco l’Azienda Usl, l’ospedale di Sassuolo e l’azienda ospedaliero-universitaria, costringendole a tornare alle reti locali, alle ricette cartacee e alla “biro” per risolvere almeno le urgenze. Con buona pace di moltissime prestazioni, dalle mammografie alle analisi di laboratorio.
Il mese prima era toccato all’Azienda ospedaliera universitaria integrata di Verona: copiati 612 GB di dati, finiti nel dark web. E se l’attacco non ha bloccato l’operatività dell’ospedale, le centinaia di migliaia di documenti “piratati” hanno danno agli hacker l’assist per chiedere un riscatto di 10 bit coin, pari a 366mila dollari. Sono solo due esempi: prima c’era stato, tra gli altri, il caso-scuola dell’Asl 1 Abruzzo, messa in ginocchio a maggio da un attacco massiccio in seguito al quale oltre 500 GB di dati sono stati rilasciati via via nel dark web. Dati ultra sensibili come informazioni su pazienti con Hiv e interruzioni volontarie di gravidanza, alla mercé del migliore offerente o di altri gruppi criminali.
E allora cosa fare? È fondamentale – raccomandano gli esperti Clusit – che le strutture sanitarie investano in sensibilizzazione e formazione del personale e che mettano in campo figure specifiche come i Cifo, i Chief Information Security Officer. Insomma, puntare su tecnologie e digitalizzazione impone un parallelo rafforzamento di meccanismi e capacità di difesa proprio perché amplia l’esposizione al cybercrimine. «L’auspicio – spiega il presidente Clusit Gabriele Faggioli – è che il Pnrr, che nel complesso alloca circa 45 miliardi per la transizione digitale, possa rappresentare per l’Italia l’occasione di mettersi al passo. Da noi gli incidenti cyber totali in 5 anni sono aumentati del 300% e nei primi sei mesi 2023 era andato a segno il 9,6% degli attacchi mondiali. Serve una governance stringente in ottica cyber security di tutti i progetti di digitalizzazione, supportata da visione politica, e valorizzazione delle competenze».
Non siamo all’anno zero: il Pnrr destina alla cybersicurezza 623 milioni di cui circa la metà riservati alla Pubblica amministrazione. E l’impianto normativo è in via di potenziamento con la direttiva Ue Nis2 mentre l’Italia nel 2021 si è dotata dell’Agenzia per la cybersicurezza nazionale.
In questo quadro secondo Faggioli «il settore sanitario è sempre più consapevole dei rischi, soprattutto dopo gli attacchi sferrati quando gli ospedali erano sotto pressione per il Covid. Ma oggi, con gli investimenti in arrivo da Pnrr sulle infrastrutture sanitarie digitali e su progetti come il Fascicolo sanitario elettronico e la telemedicina, bisogna accelerare. Servono persone e competenze. Perché se potenzio e amplio il raggio d’impiego delle tecnologie, qualcuno deve saper usarle e proteggerle».