Secondo il sottosegretario Alfredo Mantovano, Autorità delegata per la sicurezza della Repubblica, in Italia non è ancora “pienamente diffusa la consapevolezza della gravità degli attacchi cyber e quindi della necessità di dotarsi di tutte le contromisure necessarie”. Il sottosegretario è intervenuto oggi alla tavola rotonda sulla minaccia cibernetica al settore sanitario organizzata presso la Regione Lazio. Il convegno è stato l’appuntamento per la presentazione del rapporto “La minaccia cibernetica al settore sanitario – Analisi e raccomandazioni”, che copre il periodo che va da gennaio 2022 ad agosto 2024, realizzato dall’Agenzia per la cybersicurezza nazionale.

Il rapporto

Il settore sanitario è particolarmente esposto agli attacchi cibernetici. E il terzo settore più colpito dopo quello manifatturiero e la vendita al dettaglio. A partire da gennaio 2022, si sono verificati in media due eventi cyber al mese contro strutture sanitarie a livello nazionale, metà dei quali hanno causato incidenti di sicurezza, cioè eventi con impatti effettivi sui servizi, come blocchi operativi e violazioni della privacy. Tra il 2022 e il 2023, sono stati documentati 45 eventi cyber, con un aumento del 50% rispetto all’anno precedente. Gli attacchi ransomware hanno rappresentato il 35% degli eventi nel 2023 (60% nel 2022), mentre attacchi tramite email e sfruttamento di vulnerabilità hanno coperto rispettivamente il 10% degli eventi. Nel 2023, il 43% degli incidenti ha coinvolto ransomware (67% nel 2022), e altri tipi di incidenti includevano malware via email (15%) e l’esfiltrazione di dati (7%). Da gennaio ad agosto 2024, si è osservato un aumento complessivo degli eventi cyber, con un picco a luglio dovuto a un attacco alla supply chain che ha colpito un fornitore di servizi IT. Gli incidenti hanno comportato blocchi temporanei di vari servizi e esfiltrazioni di dati. Le criticità principali che favoriscono questi attacchi includono la gestione decentralizzata dei sistemi digitali, l’obsolescenza dei dispositivi medici e la carenza di personale dedicato alla cybersicurezza. Gli incidenti hanno causato gravi conseguenze, come il blocco di terapie intensive, pronto soccorso e altri reparti cruciali.

Il fatturo umano

Mantovano ha messo in evidenza che “il fattore umano è insostituibile: basta pensare alle vulnerabilità, tutt’altro che rare, legate a comportamenti scorretti da parte dei singoli operatori. Per esempio, si cessa di utilizzare una dotazione informatica e si trascura di chiudere quella postazione che rimane aperta e quindi molto più esposta alla penetrazione dell’hacker. La sicurezza”, ha osservato citando il ddl cyber che prevede obblighi e sanzioni anche per le Asl, “non si realizza per legge, né può essere garantita affidandoci passivamente a soluzioni tecnologiche e ingegneristiche. Cammina sulle gambe e sulle braccia delle donne e degli uomini che ne sono responsabili e sulla loro determinazione nel proteggere la propria comunità”.

Le linee guida

L’Agenzia per la cybersicurezza nazionale ha “predisposto delle linee guida con indicazioni riguardo la minaccia informatica sulle strutture sanitarie”, ha dichiarato il prefetto Bruno Frattasi, direttore generale dell’Agenzia per la cybersicurezza nazionale. La minaccia presenta “molte facce e si avvale anche della non consapevolezza del rischio cybernetico da parte degli operatori sanitari”, ha spiegato. “Quindi richiede anche un investimento nella cultura della sicurezza informatica e della consapevolezza. Questo manuale indica delle buone prassi, non solo individua rischi e difetti, che dovranno essere seguite: il doppio fattore di identificazione, attenzione all’uso delle password. E potranno garantire una migliore difesa dei sistemi digitali sanitari. Questo evento inizia simbolicamente a Roma e andrà avanti nelle altre Regioni italiane”, ha concluso.

Il valore dei dati sanitari

Sul dark web “i dati sanitari valgono più delle carte di credito”, ha spiegato Nunzia Ciardi, vice direttore generale dell’Agenzia per la cybersicurezza nazionale. “Mentre una carta di credito ha, in genere, un valore che oscilla dai 5 ai 10 dollari, una cartella sanitaria può arrivare a valere fino a 1.000 dollari. Questo perché può contenere una quantità di dati estremamente accurati, complessivi e delicati, facilmente monetizzabili attraverso ricatti, truffe e altri indotti illeciti”, ha proseguito. Anche per questo, è stata la lanciata dalla Regione Lazio la campagna di sensibilizzazione. Obiettivi: “diffondere linee guida, accortezze e cautele che devono diventare parte integrante del nostro modo di lavorare”, ha detto Ciardi.

La Regione Lazio

La presenza al convegno del “padrone di casa”, il governatore Francesco Rocca, sottolinea l’urgenza della sfida per la Regione Lazio. Ad aprile il Garante Privacy ha emesso le sanzioni per l’attacco ransomware che tra il 31 luglio e il 1° agosto 2021 aveva colpito il sistema sanitario regionale compromettendo la sicurezza dei dati personali di milioni di assistiti: 271.000 euro a LAZIOcrea, la società responsabile dei sistemi informativi regionali, per non aver agito prontamente per gestire l’attacco informatico e le sue conseguenze; 120.000 euro alla Regione Lazio per non aver esercitato una vigilanza sufficiente su LAZIOcrea. Il Lazio è diventata la prima Regione italiana a far parte del Polo strategico nazionale per la cybersicurezza. “Tra fondi regionali e nazionali abbiamo destinato 56 milioni di euro per proteggere tutte le nostre aziende sanitarie, mettendo al sicuro i dati e le informazioni dei cittadini che abbiamo il dovere di proteggere”, ha scritto il governatore su Facebook.