La minaccia cyber alla sanità: una analisi del Report di ACN

L'Agenzia per la Cybersicurezza Nazionale (ACN), l'Autorità nazionale per la cybersicurezza a tutela degli interessi nazionali nel campo della cybersicurezza, ha pubblicato un report intitolato “La minaccia cibernetica al settore sanitario” rivolto ai livelli dirigenziali e al personale tecnico delle strutture sanitarie per offrire una panoramica delle principali minacce cyber che colpiscono il settore.

Il settore sanitario, a livello globale, è tra i più colpiti dagli attacchi cyber alle infrastrutture digitali. Le analisi condotte dall'Agenzia dell'Unione Europea per la sicurezza informatica (ENISA) confermano la notevole vulnerabilità del settore, dovuta alla tipologia dei dati trattati e all'interesse crescente dei criminali informatici per le informazioni sulla salute.

Sul territorio nazionale, l'analisi dell'ACN sui dati rilevati tra gennaio 2022 e dicembre 2024 ha mostrato una tendenza preoccupante in crescita degli attacchi. Mediamente si sono verificati 2,6 eventi cyber malevoli al mese contro strutture sanitarie. Un evento cyber è definito come un avvenimento con potenziale impatto su almeno un soggetto nazionale. Se l'impatto è confermato sulla disponibilità, confidenzialità o integrità delle informazioni, l'evento viene classificato come un incidente.

Tra il 2022 e il 2023, sono stati documentati 45 eventi cyber, con un aumento del 50% nel 2023 rispetto al 2022. Il 47% di questi eventi (21 casi) è stato confermato come incidente. Nel 2024, il numero complessivo di eventi cyber è quasi raddoppiato rispetto al 2023, raggiungendo 51 eventi censiti dal CSIRT Italia, la componente tecnico-operativa dell’Agenzia, che ricopre il ruolo di hub nazionale per la gestione delle notifiche obbligatorie e volontarie relative agli incidenti.

Anche il numero di incidenti è sensibilmente aumentato a 57, influenzato in parte da un attacco supply chain che ha coinvolto numerosi clienti del settore sanitario attraverso un fornitore.

Le principali minacce rilevate sia negli eventi che negli incidenti tra il 2022 e il 2024 mostrano una predominanza del ransomware.

Gli impatti degli incidenti sono complessi e non si limitano alla sola disponibilità dei servizi. Sebbene il blocco temporaneo dell'erogazione di almeno un servizio, spesso a causa della cifratura dei file da ransomware, si verifichi nella maggioranza dei casi, sono stati rilevati anche:

• esfiltrazioni di dati (compromissione della riservatezza), non sempre legate a richieste di riscatto;
• modifiche all'integrità dei dati, rendendo impossibile l'uso di alcuni macchinari per gli operatori;
• Cancellazioni di file.

Questi incidenti non solo interrompono i servizi e compromettono la privacy dei pazienti, ma mettono a rischio la qualità delle informazioni cliniche e possono danneggiare la reputazione dell'istituzione, con ripercussioni a lungo termine sulla fiducia degli utenti.

Le analisi dell'ACN e del CSIRT Italia mostrano che i tentativi di attacco spesso hanno successo a causa dell'ignoranza o della cattiva implementazione di pratiche di sicurezza, anche elementari. Ciò deriva principalmente da scarsa attenzione alla sicurezza nella gestione dei sistemi digitali o da carenza di formazione specifica sulla cybersicurezza per il personale.

Le principali condizioni di criticità che favoriscono gli attacchi nelle strutture sanitarie sono:

• gestione decentralizzata dei sistemi digitali, con reparti che agiscono autonomamente senza una IT centrale e una politica comune;
• obsolescenza dei dispositivi, in particolare degli apparati medicali costosi che rimangono in uso nonostante non siano più aggiornabili o supportati, impedendo l'evoluzione dell'ecosistema IT circostante;
• carenza quantitativa e qualitativa di personale dedicato alla cybersicurezza, con la gestione della sicurezza affidata al personale IT non specializzato in tema di sicurezza informatica.

Queste condizioni sono alla base delle cattive pratiche che hanno consentito gli accessi indebiti.

Alla luce di quanto sopra, il documento presenta raccomandazioni e contromisure per potenziare la sicurezza informatica ed evidenzia la necessità di affrontare le vulnerabilità del settore, come servizi esposti su internet e configurazioni errate.

L'implementazione di pratiche di sicurezza raccomandate può incrementare sensibilmente la postura di sicurezza delle strutture sanitarie. L'efficacia e la gestibilità di tali raccomandazioni sono poi massimizzate da una governance centralizzata della cybersecurity e dell'IT, garantendo la separazione dei ruoli (Segregation of Duties) e un approccio strutturato basato sulla gestione del rischio. Un corretto assetto organizzativo e processi di sicurezza efficienti, uniti a soluzioni tecnologiche, sono cruciali per ridurre il rischio.

In caso di incidente cyber, le strutture sanitarie devono contattare il CSIRT Italia che interviene a supporto delle vittime, conducendo analisi e definendo piani di ripristino, oltre a fornire raccomandazioni per migliorare la postura di sicurezza.

Il report di ACN fornisce, a titolo esemplificativo, indicazioni di ausilio alle attività di sicurezza, ma non solleva l'organizzazione dall'onere di attuare tutte le azioni necessarie per prevenzione, mitigazione del rischio e risoluzione degli impatti, nel rispetto della normativa vigente. In particolare, l’urgente coinvolgimento attivo della dirigenza sanitaria è fondamentale, specialmente con l’introduzione della direttiva NIS2, che prevede la responsabilità personale e diretta dei vertici aziendali (organi di amministrazione e direttivi) e una pianificazione adeguata delle misure di sicurezza cyber anche per il settore healthcare.