Cartelle sanitarie elettroniche, servizi di telemedicina o esami diagnostici basati su intelligenza artificiale stanno diventando normalità negli ospedali, con la creazione di imponenti banche dati. Tali progressi digitali, però, comportano una sempre maggiore attenzione sotto il profilo della sicurezza.
Gli attacchi informatici sono ormai all’ordine del giorno ed è proprio l’IA a fornire ai cybercriminali strumenti sempre più potenti e mirati per aumentare impatto e precisione degli attacchi agli ospedali e ai fornitori di servizi sanitari. Attacchi che causano danni diretti alle persone, ritardano le procedure, creano ingorghi nei pronto soccorso e potrebbero, negli scenari peggiori, portare alla perdita di vite umane. Le strutture sanitarie devono dotarsi di strumenti all’avanguardia per gestire i tentativi di furto di dati sensibili.
Per proteggere meglio i propri sistemi sanitari e creare un ambiente più sicuro per i pazienti, l’Ue ha elaborato un “Piano d’azione europeo sulla cybersicurezza degli ospedali e dei prestatori di assistenza sanitaria”.
Analisi degli attacchi
Gli esperti dell’Ue sono concordi nell’affermare che la digitalizzazione dei servizi sanitari apporta molti vantaggi ai pazienti; tuttavia, l’assistenza sanitaria è uno dei settori più colpiti da attacchi informatici e ransomware, come è accaduto nel 2021 all’Irlanda e tra il 2018 e il 2020 alla Finlandia.
Secondo i dati di Enisa, l’Agenzia europea per la cybersicurezza, in un solo anno, nel 2023, gli Stati membri hanno denunciato 309 incidenti, che nel 54% dei casi hanno riguardato il sistema sanitario. L’83% era motivato da ragioni finanziarie, dato l’alto valore dei dati sanitari, mentre il 10% aveva motivazioni ideologiche.
Il dato peggiore è, però, il seguente: una relazione della Commissione del 2024 ha rilevato che, in sette casi su dieci, gli attacchi che hanno avuto ripercussioni sulla vita dei pazienti (ritardi nelle cure, nelle diagnosi e persino nell’accesso ai servizi d’emergenza) erano di tipo ransomware, ovvero con richiesta di “riscatto” in denaro.
Strategie di difesa
Per contrastare in modo efficace i cybercrimini è necessario comprendere anzitutto le strutture dei sistemi sanitari dei vari Paesi europei, che talvolta sono centralizzate, altre volte sono a livello regionale (come in Italia) e sono sia pubbliche sia private con una commistione di dati nel caso di strutture private convenzionate con il sistema sanitario pubblico.
Lo scoglio, in questo senso, secondo Enisa, è la scarsa consapevolezza della propria vulnerabilità delle aziende sanitarie a vario livello, tanto che la relazione del 2024 segnala che solo il 25% delle aziende intervistate nei settori sanitari, dell’istruzione e dell’assistenza sociale, aveva fornito ai dipendenti formazione o sensibilizzazione sulla sicurezza informatica nei 12 mesi precedenti.
In parallelo Enisa segnala anche che molta parte dei servizi (in ambito sanitario, dell’istruzione e dell’assistenza sociale) risultano esternalizzati nel 57% delle aziende che se ne occupano.
Quali le contromosse, dunque? Quella che sembrerebbe più percorribile, ovvero la creazione di task force all’interno dei sistemi sanitari nazionali o locali per contrastare la minaccia hacker, non è del tutto adeguata a causa della mancanza di figure altamente specializzate e che siano in costante aggiornamento.
Infatti, un’indagine Eurobarometro indica, in maniera forse inaspettata, che la carenza di competenze informatiche è in aumento in proporzione al moltiplicarsi degli attacchi e che vi è necessità di un maggior numero di specialisti in materia di cybersicurezza in ogni impresa in tutta l’UE. Il dato è allarmante: l’81% delle aziende denuncia difficoltà nell’assumere personale di sicurezza informatica competente ad alti livelli.
Il tema, ancora una volta, è quello delle risorse finanziarie, visto che per aggiornare sistemi e personale servono grandi investimenti. Di qui l’importanza di una struttura sovranazionale come Enisa che può aiutare i Paesi UE ad affrontare le minacce ransomware in modo sistematico, fornendo a tutti strumenti comuni.
La situazione è ben chiara ai vertici UE, tanto che la presidente Ursula von der Leyen nella presentazione delle sue linee guida politiche per la Commissione 2024-2029 aveva sottolineato l’importanza di rafforzare la resilienza e la sicurezza informatica degli ospedali e delle strutture sanitarie tramite un piano d’azione europeo. Vediamolo nel dettaglio.
Il piano UE
Gli esperti dell’Unione Europea l’hanno realizzato basandosi su quattro priorità. “Il Piano d’azione si concentra sullo sviluppo delle capacità del settore di prevenire gli attacchi alla sicurezza informatica, poiché prevenire è sempre meglio che curare. In secondo luogo, il piano d’azione descrive in dettaglio le azioni volte a migliorare la sicurezza informatica e la capacità d’individuare le minacce informatiche, consentendo un’azione più rapida.
In terzo luogo, prevede misure per rispondere meglio agli incidenti e per riprendersi da essi. Infine, il piano d’azione indica misure volte a dissuadere gli autori delle minacce informatiche dal lanciare attacchi contro i sistemi sanitari europei. Un Piano che sarà condiviso attraverso una consultazione globale con gli Stati membri, le parti interessate e l’industria”, sono le linee guida del piano, in sintesi.
Enisa è pronta a introdurre un Centro europeo di supporto alla sicurezza informatica per ospedali e operatori sanitari, grazie anche all’articolato quadro normativo dell’UE, per “sviluppare progressivamente un catalogo completo di servizi che risponda alle esigenze degli ospedali e degli operatori sanitari, con un archivio di facile consultazione con tutti gli strumenti accessibili e l’attuazione in tempo reale delle misure che si rendano necessarie.
Ci saranno progetti pilota in tutta l’UE per attivare le migliori pratiche di “igiene informatica” e la valutazione dei rischi per la sicurezza. Il Centro di Competenza (Eccc) servirà a fornire informazioni su ulteriori azioni comuni.
Tre i grandi ambiti del catalogo dei servizi: prevenzione degli incidenti di sicurezza informatica, risposta rapida e ripristino, capacità europee per individuare le minacce informatiche contro il settore sanitario.
Portafoglio di identità digitale
Si calcola, infatti, che qualora vengano applicate misure di sicurezza informatica di base – come garantire che i sistemi siano aggiornati, gestire i backup e implementare l’autenticazione a più fattori – si possano proteggere le strutture dal 98% degli attacchi. Un dato che non può essere ignorato e che deve indurre aziende pubbliche e private a investire in primo luogo sulla formazione continua del personale.
In ciò sarà essenziale anche il “portafoglio d’identità digitale” dell’UE, che consentirà agli utenti di accedere a servizi pubblici e privati on line e offline, archiviare e condividere documenti digitali e creare forme vincolanti superando il sistema delle password che diventerà obsoleto. L’UE ha stabilito che tutti i sistemi sanitari online tenuti ad attuale un’autenticazione forte degli utenti saranno obbligati ad accettare l’Identity Wallet entro la fine del 2027.
Un servizio di allerta precoce
Serve la collaborazione di tutti e l’UE incoraggia gli Stati membri a rendere immediatamente noti agli altri Paesi dell’Unione eventuali attacchi. Secondo gli esperti è essenziale che esista un servizio di allerta precoce a livello UE per il settore sanitario, che fornisca avvisi in tempo quasi reale. Ciò potrà avvenire grazie a una collaborazione tra Enisa ed Europol. Quando, poi, un ospedale o un operatore sanitario subisce un attacco, il primo punto di contatto è il Csirt (Agenzia per la cybersicurezza nazionale) competente.
Il Csirt ha il compito di fornire un supporto tempestivo, idealmente entro 24 ore, per aiutare a gestire il problema, ma se l’incidente superasse le competenze del Csirt dovrebbe essere disponibile il supporto dell’UE, che in parte esiste già ma che dovrebbe essere implementato per quanto riguarda in particolare la sanità.
Obiettivi di Enisa
Il piano di Enisa prevede, inoltre, che entro il 2026 si effettui, attraverso il suo Centro di Supporto, una valutazione annuale della maturità informatica sanitaria e si creino programmi di voucher per la cibersicurezza che forniscano assistenza finanziaria per attuare misure di cibersicurezza. Prevede inoltre che la promozione di una cooperazione internazionale contro gli attori del ransomware, in particolare attraverso l’iniziativa internazionale contro il ransomware e il gruppo di lavoro sulla cibersicurezza del G7.
Tutto ciò per giungere entro l’anno a progettare moduli di formazione e corsi per gli operatori sanitari e soprattutto creare un servizio di abbonamento di allerta precoce a livello dell’UE e un servizio di abbonamento per il recupero di ransomware per il settore sanitario.
Opportunità di occupazione
La sfida per la cybersicurezza è anche una grande opportunità di occupazione. Si stima che in tutta Europa il deficit di professionisti altamente qualificati sia di 299 mila persone e l’81% delle aziende considera la difficoltà di trovare personale adeguato un problema nel problema.
La Commissione Europea ha rappresentato al Parlamento e al Consiglio la necessità di attivare una collaborazione tra il Centro di Supporto Enisa e il futuro Consorzio europeo per le infrastrutture digitali (Edic) sulle competenze in materia informatica. Un lavoro che faciliterebbe gli scambi tra professionisti della sicurezza attraverso la creazione di una rete europea di Ciso (Chief Information Security Officer) nel settore sanitario, che possano anche realizzare corsi di formazione on line completi e di facile accesso.
Caso Irlanda
Il più grave cybercrime della storia irlandese si è consumato il 14 maggio 2021, quando un attacco informatico mirato al sistema sanitario nazionale ha costretto il governo a fermare temporaneamente i sistemi informatici, con pesanti ripercussioni sulla gestione di pazienti sia dentro sia fuori gli ospedali. Dove è stato possibile e necessario, si è provveduto a registrare manualmente i dati dei pazienti (donne in gravidanza oltre le 36 settimane, per esempio), ma nel caso di pazienti oncologici è stato necessario sospendere valutazioni o interventi che avrebbero richiesto la funzionalità piena dei sistemi.
Gli hacker hanno chiesto un riscatto, ma il primo ministro irlandese Micheál Martin ha assicurato che il governo non avrebbe ceduto alle richieste degli aggressori e non lo avrebbe pagato. L’aggressione informatica non si è fermata e subito sono stati pubblicati on line i dati sanitari sensibili di 12 pazienti e poi di altri 520.
L’episodio, che ha coinvolto 31 ospedali su 54 per acuti del Paese, è stato sferrato tramite invio di una e-mail di phishing contenente un allegato dannoso (incautamente aperto da un impiegato sanitario), che ha rapidamente contagiato tutta la rete ospedaliera. Tale attacco ha mostrato la vulnerabilità dei sistemi sanitari mondiali, inducendo i Paesi a intraprendere in modo sistematico politiche di prevenzione e reazione.
Caso Vastaamo in Finlandia
Si è trattato di un attacco ransomware contro il fornitore di servizi di psicoterapia Vastaamo mirato al ricatto di pazienti a seguito del furto delle loro cartelle cliniche. Benché l’intrusione iniziale sia avvenuta nel 2018, l’attacco è stato scoperto dal fornitore solo nel 2020, con grave perdita continuata di dati sensibili a causa della mancanza di tempestività nell’arginare l’attacco.
