Con la crescente digitalizzazione del settore sanitario, l’adozione di efficaci misure di sicurezza non può più essere sottovalutata. Negli ultimi anni la vulnerabilità del settore alla criminalità informatica – specialmente ad attacchi ransomware e alla supply chain – è aumentata in modo significativo. Solo nel 2023, l’healthcare si è classificato al quarto posto per numero di attacchi informatici riusciti, rappresentando il 9% di tutti gli incidenti segnalati a livello globale [1].
Per mitigare questi rischi e proteggere le informazioni più sensibili, le aziende sanitarie devono adottare strategie di cybersecurity proattive e ben strutturate. Questo articolo si concentra su tre aree critiche della cybersecurity in ambito healthcare: la conformità alle recenti normative, la sicurezza dei dispositivi IoT e la crescente minaccia di attacchi alla supply chain.
Un settore sempre più nel mirino degli hacker
I criminali informatici prendono sempre più di mira il settore healthcare, sfruttando vulnerabilità nei sistemi IT, negli ambienti OT e nei dispositivi IoT. Solo in Italia, nel 2023 sono stati esfiltrati oltre 1,5 terabyte di dati sanitari attraverso attacchi ransomware, sottolineando il livello di esposizione del settore. L’integrazione di numerosi dispositivi, sistemi e fornitori crea una rete complessa di potenziali vulnerabilità che devono essere affrontate in modo efficace. Ma da cosa partire?
1. Sicurezza dei dati: Proteggere i dati dei pazienti è fondamentale. A tal fine, le aziende sanitarie dovrebbero adottare un approccio “risk based”, definire policy di sicurezza dettagliate e in linea con le normative di settore e condurre security assessment periodici per essere sempre al passo con le minacce emergenti.
2. Sicurezza dei sistemi e dei dispositivi: Per garantire la continuità operativa e ridurre al minimo l’esposizione ai rischi informatici, i sistemi IT e i dispositivi medici devono essere adeguatamente protetti. Ciò prevede l’aggiornamento regolare dei device, il patching delle vulnerabilità e la messa in sicurezza dei canali di comunicazione.
3. Sicurezza degli impianti di produzione e rischi per la supply chain: Poiché i fornitori di servizi sanitari si trovano sempre più spesso a dover fronteggiare attacchi mirati, la protezione dei sistemi di produzione e l’implementazione di solidi piani di disaster recovery sono fondamentali. Anche la messa in sicurezza della supply chain dovrebbe essere una priorità per mitigare i rischi posti da fornitori e appaltatori terzi.
Una nuova sfida per la sanità europea: potenziare la cybersecurity con la Direttiva NIS2
Per standardizzare la gestione della cybersecurity nell’ambito healthcare, la Direttiva NIS2, che dovrà essere recepita in Italia entro il 17 ottobre 2024, rafforza in modo significativo i requisiti di security per le aziende sanitarie italiane di medie e grandi dimensioni. La direttiva impone un approccio rigoroso alla sicurezza informatica, richiedendo che qualsiasi attacco venga segnalato entro 72 ore per facilitare una risposta rapida. Introduce inoltre l’elaborazione di piani di crisis management e test regolari dei sistemi per affrontare in modo proattivo le vulnerabilità. Infine, la normativa pone l’accento sull’importanza di eseguire risk assessment lungo l’intera supply chain, garantendo che tutti i fornitori e i partner rispettino rigorosi standard di sicurezza.
Per le aziende sanitarie, la conformità alla NIS2 non è solo un obbligo normativo, ma anche un’opportunità di potenziare le proprie difese in termini di cybersecurity e di rafforzare il rapporto di fiducia con pazienti e stakeholder.
Uno sguardo all’IoT nel settore sanitario
Con la proliferazione dei dispositivi IoT nel settore sanitario – come pompe per infusione smart, dispositivi di monitoraggio portatili e robot chirurgici – la superficie di attacco si è ampliata in modo significativo. Gli studi indicano che quasi il 60% dei dispositivi IoT utilizza ancora password di default, rendendoli facili bersagli per i cyber criminali. Di conseguenza, le violazioni attraverso i dispositivi IoT sono in forte aumento, registrando un incremento del 45% solo nell’ultimo anno.
Tuttavia, l’ampio volume e la grande varietà di dispositivi IoT presenti nelle strutture sanitarie rendono difficile una gestione capillare della sicurezza. Molti di questi device non ricevono aggiornamenti e patch adeguati e spesso mancano protocolli standardizzati per garantirne la protezione. Inoltre, l’integrazione di questi dispositivi in ambienti IT e OT crea ulteriori complicazioni nel garantire una copertura continua in termini di security.
Per affrontare in modo efficace queste criticità, è essenziale adottare un approccio olistico. Questo prevede una rigorosa gestione dei dispositivi IoT e quindi l’implementazione di solide misure di sicurezza per ciascun device. Tali dispositivi devono essere regolarmente aggiornati e protetti con password robuste e univoche. Inoltre, è fondamentale integrarli nel contesto più ampio della sicurezza IT per assicurarne una protezione adeguata.
Vulnerability assessment proattivi sono altrettanto importanti. Si tratta di condurre analisi regolari dei sistemi critici per identificare vulnerabilità sfruttabili e problemi di configurazione. Il processo può comprendere la scansione del traffico DNS per individuare attività sospette e l’implementazione di sistemi di rilevamento delle intrusioni per individuare le violazioni nelle fasi iniziali. Adottando queste misure, le organizzazioni possono migliorare significativamente la loro postura di sicurezza.
Mitigare gli attacchi alla supply chain
Anche gli attacchi alla supply chain, in cui gli hacker prendono di mira fornitori terzi con controlli di sicurezza meno sofisticati per infiltrarsi nelle organizzazioni più grandi, rappresentano una minaccia significativa. Nel 2023, le aziende sanitarie hanno registrato costi medi di un data breach molto più elevati – pari a 10,93 milioni di dollari [2] – con criticità legate alla supply chain tra le principali responsabili.
La gestione della cybersecurity nelle supply chain è complessa. I sistemi sanitari sono altamente interconnessi e si appoggiano a numerosi fornitori terzi, creando così una vasta rete di potenziali vulnerabilità. Molti dei servizi erogati da terzi non dispongono di solide misure di sicurezza per la protezione dei dati sensibili. Inoltre, la natura evolutiva delle minacce cyber impone aggiornamenti e assessment periodici delle pratiche di sicurezza, che richiedono tempo e risorse. Infine, per le aziende sanitarie impegnate nella produzione farmaceutica o simili, è necessario implementare soluzioni di sicurezza specificamente progettate per salvaguardare sistemi e impianti da attacchi mirati.
Tra le azioni più efficaci per mitigare questi rischi troviamo:
● Definire policy di sicurezza e controlli di accesso per i fornitori terzi, assicurando che gli standard di protezione dei dati e i controlli di accesso basati sui ruoli siano chiaramente stabiliti e regolarmente aggiornati
● Implementare soluzioni di monitoraggio della sicurezza, come SIEM o MDR, per garantire la visibilità in tempo reale di potenziali minacce provenienti da fornitori terzi e altri partner esterni
● Beneficiare della threat intelligence per rimanere informati sui rischi emergenti e analizzare i dati sulla sicurezza interna al fine di aiutare le organizzazioni sanitarie a correggere in modo proattivo le vulnerabilità prima che vengano sfruttate
In conclusione
Di fronte alla continua evoluzione delle minacce informatiche, il settore sanitario deve essere vigile e proattivo nel rafforzare le proprie difese di sicurezza. Dalla conformità a normative come la NIS2 alla protezione dei sistemi di produzione e dei dispositivi IoT, le aziende sanitarie devono adottare un approccio olistico per proteggere i dati dei pazienti, mantenere la continuità operativa e garantire l’integrità delle loro operazioni.
—-
[1] Rapporto Clusit 2024
