![\"Riusciranno](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/\/shutterstock-1053072032-1-300x100.jpg\" "\\"Immagine")
<\/p>\n<\/p>\n
Tra il 2020 e il 2021 il volume degli incidenti di sicurezza nelle strutture sanitarie ha subito un'impennata: l\u2019incremento \u00e8 stato del 35% negli Stati Uniti, del 45% in Spagna e fino al 50% in Germania e Francia... Una situazione critica, considerando che questi ambienti sensibili impiegano in media 28 giorni per tornare a una normale operativit\u00e0. Perch\u00e9, nonostante il sostegno e l'assistenza offerti principalmente dai governi, i centri ospedalieri continuano ad essere vulnerabili?<\/strong><\/p>\n L\u2019analisi e l\u2019opinione degli esperti su un fenomeno che preoccupa sia i professionisti della salute che l'opinione pubblica.<\/p>\n <\/p>\n La vulnerabilit\u00e0 delle strutture sanitarie \u00e8 emersa chiaramente con la pandemia da Covid-19 all'inizio del 2020. Da allora, gli ospedali subiscono quasi quotidianamente attacchi informatici che li paralizzano, indipendentemente dalle dimensioni o dalla posizione geografica. Tuttavia, la vulnerabilit\u00e0 delle strutture sanitarie non \u00e8 una novit\u00e0, al contrario: \u00e8 fonte di grande preoccupazione per i professionisti da oltre un decennio.<\/strong>\u00a0La prima iniziativa dedicata alla sicurezza informatica nelle strutture sanitarie \u00e8 stata lanciata in Francia nel 2011, nella citt\u00e0 di Le Mans, dove, con l'obiettivo di incontrarsi e confrontarsi, \u00e8 stato organizzato il primo Congresso Nazionale sulla Sicurezza dei Sistemi Informativi Sanitari su iniziativa di Vincent Trely<\/strong>, RSSI della Clinica universitaria di Le Mans. Nel 2013, sempre in Francia, la Legge sulla programmazione militare (LPM) introduceva il concetto di OIV (organismi di importanza vitale), un acronimo che classifica un gruppo di aziende e organizzazioni essenziali per la sopravvivenza della nazione. Anche se l'elenco non sar\u00e0 reso pubblico, alcuni dei principali ospedali vengono inclusi fin da subito. Nello stesso anno, l'American Association Hospital (AHA) inizia a pubblicare avvisi e report<\/a> sugli attacchi informatici che stavano colpendo le strutture sanitarie negli Stati Uniti. Alcuni anni dopo, nel luglio 2016, a livello europeo entra in vigore la direttiva NIS (Network and Information Security<\/em>), destinata a essere aggiornata in seguito con la sua seconda versione, NIS2. Questa prevede, in particolare, un inasprimento delle misure di sicurezza informatica per gli operatori appartenenti a settori chiave, attraverso l'introduzione della nozione di OSE (operatori di servizi essenziali), un nuovo acronimo che si aggiunge a quello di OIV.<\/p>\n La consapevolezza del problema non \u00e8 affatto recente, soprattutto tra gli esperti del settore sanitario (come gli RSSI e l'ANSSI).\u00a0Ma \u00e8 sufficiente per garantire una protezione efficace contro le minacce informatiche?<\/strong>\u00a0Purtroppo, la crisi sanitaria e l'ondata di attacchi informatici contro gli ospedali hanno rapidamente infranto questo ottimismo. Secondo l'analista statunitense Brett Callow<\/strong>, tra il 2020 e il 2021, si sono registrati circa 170 attacchi ransomware che hanno interessato quasi 1.800 cliniche e strutture sanitarie <\/a>negli Stati Uniti. In Francia, nel 2021, l'ANSSI riportava in media un incidente a settimana in un'istituto sanitario, rivelando che ben 27 strutture erano state colpite da attacchi informatici nello stesso anno. Un triste primato.<\/p>\n In risposta a questi nuovi attacchi, il settore si sta mobilitando nuovamente: a partire da febbraio 2020, diverse aziende private specializzate in sicurezza informatica hanno iniziato a offrire assistenza gratuita alle strutture sanitarie. Allo stesso tempo, l'ENISA ha avviato la pubblicazione di una guida contenente dieci migliori pratiche da adottare nelle strutture sanitarie per contrastare efficacemente le minacce informatiche. Inoltre, nel marzo 2020, oltre 3.000 professionisti del settore si sono uniti nella COVID-19 Cyber Threat Coalition, con l'obiettivo di condividere analisi e indicatori di compromissione, producendo e distribuendo gratuitamente flussi di Threat Intelligence all'interno della comunit\u00e0. Nel settembre 2020, lo Stato francese ha istituito un fondo di 136 milioni di euro nell'ambito del piano France Relance, dedicato a potenziare la sicurezza delle infrastrutture critiche, inclusi gli ospedali. Alcuni mesi dopo, il ministero della Salute ha incrementato questo budget di ulteriori 350 milioni di euro destinati agli ospedali. Ad aprile e giugno 2021, il governo tedesco ha emanato un'ordinanza che obbliga i fornitori di servizi che operano con infrastrutture critiche, tra cui gli ospedali, a rafforzare le misure di sicurezza informatica. Nel frattempo, le autorit\u00e0 francesi hanno aggiunto 135 gruppi ospedalieri alla lista degli operatori di servizi essenziali (OSE). Infine, nell'agosto del 2022, il governo francese ha comunicato un incremento di 20 milioni di euro per l'ANSSI, con l'obiettivo di potenziare il supporto alle strutture sanitarie.<\/p>\n Di fronte alle minacce informatiche, le strutture ospedaliere non sono dunque sole. Ma \u00e8 sufficiente?<\/p>\n <\/p>\n Ma perch\u00e9 le strutture sanitarie rimangono vulnerabili nonostante tali risorse, supporto e iniziative? Il motivo risiede nel fatto che la superficie di attacco degli ospedali \u00e8 considerevole<\/strong>.<\/p>\n Il rinnovamento delle attrezzature informatiche negli ambienti sanitari presenta alcune difficolt\u00e0,<\/strong>\u00a0poich\u00e9, sebbene un sistema informatico tradizionale venga aggiornato ogni cinque anni, i dispositivi medici possono presentare criteri di redditivit\u00e0 che si estendono fino a quindici anni. Di conseguenza, i sistemi attualmente integrano tecnologie obsolete che non sono pi\u00f9 supportate. \"Questi investimenti, che ammontano a diverse decine o centinaia di migliaia di euro, si distribuiscono su un arco di dieci o quindici anni<\/em>\", spiega Charles Blanc-Rolin<\/strong>, ex responsabile della sicurezza informatica di un\u2019istituzione sanitaria e responsabile di progetto per la sicurezza digitale nel settore della sanit\u00e0 elettronica presso il GCS Pays de la Loire.\u00a0\"Non \u00e8 raro imbattersi in sistemi Windows o Windows XP, che non sono pi\u00f9 supportati dal 2014 e talvolta anche in versioni pi\u00f9 vecchie per le quali non sono disponibili patch di sicurezza. Ci troviamo di fronte a veri e propri \"colabrodo\" <\/em>e sistemi altamente vulnerabili<\/em>, a cui si aggiunge l'obbligo del marchio CE per il produttore. Ci\u00f2 rappresenta un ulteriore vincolo per l'istituzione sanitaria, che non pu\u00f2 apportare modifiche al dispositivo, come un aggiornamento delle patch di sicurezza, senza perdere il marchio CE<\/em>.\" Per evitare il rischio di utilizzare sistemi operativi non aggiornati, le politiche di sicurezza informatica devono invece essere adattabili, come sottolinea Charles Blanc-Rolin: \"\u00c8 fondamentale implementare un piano di continuit\u00e0 operativa e di ripristino delle attivit\u00e0, ma \u00e8 altrettanto cruciale disporre di procedure di emergenza. Attualmente, si stanno introducendo numerosi strumenti di sicurezza, ma si rischia di trascurare le basi e la necessaria flessibilit\u00e0.<\/em>\u00a0\"<\/p>\n Non \u00e8 raro imbattersi in sistemi Windows o Windows XP, che non sono pi\u00f9 supportati dal 2014 e talvolta anche in versioni pi\u00f9 vecchie per le quali non esistono nemmeno patch di sicurezza.<\/em><\/p>\n Parallelamente, da oltre un decennio gli ospedali sono sottoposti a una rapida digitalizzazione<\/strong> che genera ulteriori vincoli.\u00a0Jean-Sylvain Chavanne<\/strong>, responsabile della sicurezza informatica della Clinica universitaria di Brest e del Gruppo Ospedaliero del Territorio della Bretagna Occidentale, spiega: \"Per fare un esempio<\/em>, il perimetro da proteggere per l'ospedale universitario di Brest comprende 140 applicazioni aziendali, 350 server virtuali, 6.000 postazioni di lavoro, 10.000 dispositivi connessi alla rete, 20.000 apparecchiature biomediche (come pompe per siringhe, MRI, camere iperbariche\u2026) e 2,7 petabyte di dati grezzi da salvaguardare. Si tratta di un campo di applicazione decisamente molto ampio. Parallelamente, a partire dagli anni 2010, i centri ospedalieri hanno avviato una rapida digitalizzazione, finanziata da una serie di bandi ma senza budget dedicati alla manutenzione. Di conseguenza, gli ospedali si trovano a dover colmare gradualmente un pesante debito tecnico.<\/em>\" A seguito della digitalizzazione, le strutture sanitarie sono state ulteriormente indebolite dalla diffusione massiccia dei dispositivi connessi<\/strong>. La medicina e le sue pratiche sono in continua evoluzione, e settori come l'imaging medico, l'ospedalizzazione a domicilio e l'identificazione dei pazienti sono stati profondamente trasformati da queste innovazioni, come sottolinea Charles Blanc-Rolin. \"Grazie a nuovi strumenti, come i braccialetti RFID per il monitoraggio dei pazienti, \u00e8 ora possibile tracciare con precisione la loro posizione all'interno dell'ospedale, ottimizzando cos\u00ec il percorso di cura. Occorre quindi gestire con attenzione questi nuovi strumenti digitali, garantendo sicurezza senza generare nuovi oneri tecnologici<\/em>.\" La proliferazione di questi dispositivi nei servizi sanitari ha portato a un'espansione incontrollata della superficie di attacco, un problema che Jean-Sylvain Chavanne analizza attraverso tre rischi principali: \"Il primo consiste nella mancanza di controllo sugli oggetti connessi implementati all'interno del sistema informatico ospedaliero. Basti pensare a un fornitore che si collega alla rete senza implementare alcuna misura di sicurezza. Il secondo rischio risiede nelle relazioni contrattuali. In assenza di contratti con subappaltatori o fornitori, non vi \u00e8 alcun obbligo di garantire le misure di sicurezza, come ad esempio l'aggiornamento dei software necessari. L'ultimo rischio \u00e8 costituito dai software integrati, che agiscono come autentiche \"scatole nere\". Se non sappiamo cosa contengono, non possiamo gestire la sicurezza n\u00e9 risolvere le vulnerabilit\u00e0. Lo scorso dicembre, abbiamo affrontato il problema di Log4Shell, che ci ha obbligati a contattare 200 fornitori di dispositivi medici per accertarci che il loro software contenesse questa vulnerabilit\u00e0.<\/em>\u00a0\"<\/p>\n A partire dagli anni 2010, i centri ospedalieri hanno avviato una rapida digitalizzazione, finanziata da una serie di bandi che per\u00f2 non prevedevano alcun budget per la manutenzione. Di conseguenza, gli ospedali si trovano a dover colmare gradualmente un pesante debito tecnico.<\/em><\/p>\n T<\/strong>uttavia, il fattore umano rappresenta anch'esso un elemento di vulnerabilit\u00e0 all'interno degli ospedali.<\/strong> Sottoposte a una carenza di personale, le squadre informatiche si concentrano principalmente sull'obiettivo di fornire le informazioni rapidamente, rischiando talvolta di trascurare regole di sicurezza fondamentali. In questo scenario, i team di Sicurezza dei sistemi informatici (SSI) delle strutture ospedaliere svolgono un ruolo cruciale nel sensibilizzare il personale, esaminando e mettendo in discussione alcune libert\u00e0 d\u2019azione che, secondo Jean-Sylvain Chavanne, non dovrebbero essere concesse ai professionisti della salute, evidenziando la necessit\u00e0 di rivedere e ristrutturare tali pratiche: \"Attualmente, i nostri sistemi di sicurezza riescono a bloccare un'email di spam ogni 50 secondi e un virus ogni ora. Occorre sensibilizzare ed educare il personale sulla necessit\u00e0 di limitare l'uso dei software che gestiscono i dati sanitari. Ad esempio, i professionisti della salute non dovrebbero accedere alle informazioni diagnostiche dei pazienti dai propri telefoni personali. Per questo motivo, ribadiamo costantemente le buone pratiche nel corso dell'anno.\"<\/em>\u00a0Un personale medico costantemente sotto pressione, spesso portato a prendere scorciatoie per concentrarsi sul proprio compito di cura, deve essere sensibilizzato sull'importanza della sicurezza informatica. Una sfida significativa per i Responsabili della Sicurezza Informatica, ispirati dalla comunicazione di un noto direttore ospedaliero ai propri collaboratori, consiste nell'affrontare problematiche come l'obsolescenza del materiale, la necessit\u00e0 di rafforzare la cultura del rischio e le sfide nel reclutamento, tutte fondamentali per garantire una sicurezza informatica efficace nelle strutture ospedaliere.<\/p>\n <\/p>\n Di fronte a queste diverse difficolt\u00e0, Charles Blanc-Rolin sottolinea che la sicurezza delle strutture sanitarie \u00e8 fondamentale per proteggere i dati dei pazienti e garantire loro assistenza.<\/strong> \"Gli attacchi informatici, in particolare quelli che utilizzano il ransomware, possono paralizzare un ospedale e compromettere seriamente le possibilit\u00e0 di cura dei pazienti, costringendo i medici a ricorrere a misure di emergenza, in assenza di accesso ai dati e alle informazioni diagnostiche. Ma il vero pericolo risiede nel deterioramento della qualit\u00e0 delle cure, che pu\u00f2 compromettere la sicurezza dei pazienti.<\/em>\"<\/p>\n I professionisti della salute, privati dell'accesso ai dati e alle diagnosi, saranno costretti a ricorrere a misure d'emergenza. Tutto ci\u00f2 comporta un abbassamento della qualit\u00e0 delle cure, che pu\u00f2 compromettere la sicurezza dei pazienti.<\/em><\/p>\n Peraltro, i dati sanitari costituiscono un'ulteriore opportunit\u00e0 per i criminali informatici. Al di l\u00e0 del carattere personale dei dati basilari, come nome, cognome e data di nascita, queste informazioni possono rivelare aspetti molto pi\u00f9 intimi, portando a scenari di estorsione estremamente inquietanti per le vittime stesse. \u00c8 quanto accaduto ai pazienti dell'azienda finlandese Vastaamo nel corso del 2020, quando una violazione dei dati ha esposto informazioni sensibili riguardanti il monitoraggio psichiatrico di ben 25 centri del gruppo, colpendo duramente la loro privacy e sicurezza. Come riportato da Wired<\/em><\/a>, 30.000 pazienti hanno ricevuto una richiesta di riscatto da pagare entro 24 ore per non incorrere nella divulgazione. Un'evoluzione nelle modalit\u00e0 di attacco informatico, in cui il riscatto \u00e8 prevalentemente rivolto alle aziende: in questo caso si sono trovati i pazienti nel mirino. Le oltre 25.000 denunce presentate alle autorit\u00e0 fanno di questo attacco informatico il pi\u00f9 grande procedimento penale della storia finlandese. Pochi mesi dopo, l'Autorit\u00e0 finlandese per la protezione dei dati ha inflitto all'azienda una multa di 608.000 euro per violazione del Regolamento generale sulla protezione dei dati. Purtroppo, anche altri paesi europei hanno subito la stessa sorte, come la Francia, dove nello stesso periodo sono state sottratte 500.000 cartelle cliniche da un gruppo di laboratori a ovest del Paese. Secondo uno studio americano<\/a> pubblicato nel marzo 2022, i dati sanitari valgono 25 volte di pi\u00f9 di una carta di credito<\/strong>.<\/p>\n Se da un lato le informazioni sanitarie rappresentano un'opportunit\u00e0 finanziaria per i criminali informatici, dall'altro diventano obiettivi strategici per i governi. Durante la crisi sanitaria, la sottrazione di dati relativi allo sviluppo dei vaccini \u00e8 diventata cruciale per alcuni paesi privi delle risorse necessarie per la ricerca e lo sviluppo. Secondo il Wall Street Journal,<\/em>\u00a0non meno di sei aziende farmaceutiche, <\/a>tra cui Johnson & Johnson e Novavax Inc, sono state prese di mira contemporaneamente da attivisti informatici nordcoreani. Alla fine del 2020, lo stesso gruppo, spacciandosi per un'agenzia di reclutamento, avrebbe contattato i dipendenti di Astrazeneca con false offerte di lavoro con l'obiettivo di introdurre nell'azienda file contenenti codici malevoli. Nello stesso anno, in Francia, su 24 incidenti registrati nel settore sanitario, sette riguardavano l'industria farmaceutica, stando a quanto dichiarato da Charlotte Drapeau<\/strong>, responsabile dell'ufficio Salute e Societ\u00e0 dell'ANSSI. Una tendenza di fondo secondo l'HIPAA Journal<\/em>: il numero di violazioni significative riguardanti il furto di dati sanitari<\/a> \u00e8 passato negli Stati Uniti da 368 nel 2018 a 714 nel 2021.<\/p>\nIniziative per affrontare le minacce informatiche<\/h2>\n
Perch\u00e9 gli ospedali sono ancora vulnerabili<\/h2>\n
Charles Blanc-Rolin<\/strong>, responsabile di progetto per la sicurezza digitale nel settore della sanit\u00e0 elettronica presso il GCS Pays de la Loire<\/pre>\n<\/blockquote>\n
Jean-Sylvain Chavanne<\/strong>, RSSI Clinica universitaria di Brest<\/pre>\n<\/blockquote>\n
Minacce informatiche in espansione: un rischio crescente per i dati sanitari<\/h2>\n
Charles Blanc-Rolin<\/strong>, responsabile di progetto per la sicurezza digitale nel settore della sanit\u00e0 elettronica presso il GCS Pays de la Loire<\/pre>\n<\/blockquote>\n