Cybersecurity in sanità: il costo medio totale di un attacco IT è di quasi 5 milioni di dollari
Proofpoint e Ponemon Institute hanno pubblicato i risultati della loro seconda ricerca annuale sugli effetti della cybersecurity nel settore sanitario. Il report “Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care 2023” ha rilevato che l’88% delle aziende sanitarie intervistate ha subìto negli ultimi 12 mesi una media di 40 attacchi, con un costo medio totale di 4,99 milioni di dollari, in aumento del 13% rispetto all’anno precedente.
Tra le aziende che hanno subìto i quattro tipi di attacchi più comuni il 66% ha dovuto registrare interruzioni nell’assistenza ai pazienti. In particolare, il 57% ha riportato esiti inadeguati a causa di ritardi nelle procedure ed esami, il 50% ha registrato un aumento delle complicazioni nei processi medici e il 23% un aumento del tasso di mortalità dei pazienti. Questi numeri rispecchiano i risultati dello scorso anno, indicando che le organizzazioni sanitarie hanno fatto pochi progressi nel mitigare i rischi di attacco alla sicurezza e alla salute dei pazienti.
Il report, che ha coinvolto 653 professionisti IT e di sicurezza sanitaria, ha rilevato che gli attacchi alla supply chain sono la tipologia di minaccia con maggiori probabilità di influire sull’assistenza ai pazienti. Quasi due terzi delle aziende hanno subìto un attacco alla supply chain negli ultimi due anni e tra queste, il 77% ha affrontato interruzioni dell’assistenza ai pazienti. Gli attacchi BEC sonola tipologia con maggiori probabilità di provocare esiti inadeguati a causa di procedure ritardate, seguiti dal ransomware. È inoltre molto probabile che un attacco BEC provochi un aumento delle complicazioni delle procedure mediche e un allungamento dei tempi di degenza.
“Per il secondo anno consecutivo, abbiamo scoperto che i quattro tipi di attacchi analizzati hanno un impatto negativo diretto sulla sicurezza e sulla salute dei pazienti,” ha dichiarato Larry Ponemon, chairman e founder di Ponemon Institute. “I nostri risultati mostrano anche che, rispetto al 2022, un numero maggiore di professionisti IT e di sicurezza consideri la propria azienda vulnerabile a ciascun tipo di attacco, cosa che mette a più dura prova le risorse rispetto all’anno scorso, con un costo medio complessivo superiore del 13% e un aumento del 58% del tempo necessario per garantire il ripristino dall’impatto sulle cure dei pazienti.”
Nonostante le preoccupazioni siano in calo, con solo il 48% degli intervistati che ha dichiarato di essere più preoccupato il ransomware rimane una minaccia sempre presente per le organizzazioni sanitarie: il 54% degli intervistati afferma di aver subìto un attacco ransomware, rispetto al 41% del 2022. Anche il numero di aziende che ha effettuato il pagamento di un riscatto è diminuito, passando dal 51% del 2022 al 40% di quest’anno. Tuttavia, il costo medio totale più elevato di un pagamento di riscatto è salito del 29%, raggiungendo 995.450 dollari. Inoltre, il 68% ha dichiarato che l’attacco ransomware ha causato un’interruzione dell’assistenza ai pazienti, con la maggior parte che ha citato ritardi nelle procedure e negli esami che hanno portato a esiti negativi.
Tutte le aziende intervistate hanno subìto almeno una perdita di dati o un’esfiltrazione di informazioni sanitarie sensibili e riservate negli ultimi due anni. Per il 43% questo ha avuto un impatto sull’assistenza ai pazienti, causando nel 46% dei casi un aumento dei tassi di mortalità e nel 38% un incremento delle complicazioni delle procedure mediche. Le organizzazioni hanno subìto in media 19 incidenti di questo tipo, con insider malintenzionati ritenuti la causa più probabile.
Le preoccupazioni per gli attacchi alla supply chain sono diminuite, nonostante interrompano in modo significativo l’assistenza ai pazienti. Solo il 63% ha espresso preoccupazione per la vulnerabilità della propria organizzazione agli attacchi alla supply chain, rispetto al 71% dello scorso anno. Allo stesso tempo, il 64% ha dichiarato che le supply chain della propria azienda sono state colpite in media quattro volte e il 77% di coloro chi ha subìto un attacco ha affrontato interruzioni nell’assistenza ai pazienti, con un aumento rispetto al 70% dello scorso anno.
Le organizzazioni sanitarie si sentono più vulnerabili e preoccupate da una compromissione cloud. Il 74% ritiene che la propria azienda sia più vulnerabile a una compromissione cloud, allo stesso livello del 75% dello scorso anno. Tuttavia, un numero maggiore di persone è allarmato dalle minacce poste dal cloud: 63% contro il 57% del 2022. La compromissione cloud, infatti, ha raggiunto il vertice della classifica delle minacce più preoccupanti quest’anno, rispetto al quinto posto del 2022.
Le preoccupazioni relative a BEC/spoofing sono aumentate in modo significativo, dal 46% dello scorso anno al 62%. Più della metà delle organizzazioni ha subìto in media cinque incidenti di questa tipologia. La crescente preoccupazione può riflettere la constatazione che gli attacchi BEC/spoofing hanno maggiori probabilità di altri di provocare esiti negativi dovuti a ritardi nelle procedure, aumento delle complicazioni dovute ai processi e prolungamento delle degenze.
La scarsa preparazione ad affrontare gli attacchi BEC/spoofing e alla supply chain mette a rischio i pazienti. Sebbene il numero di aziende preoccupate per il phishing BEC/spoofing sia cresciuto, solo il 45% adotta misure per prevenirlo e rispondervi. Allo stesso modo, nonostante la prevalenza di interruzioni dell’assistenza ai pazienti dovute ad attacchi alla supply chain, solo il 45% ha dimostrato misure di risposta.
La mancanza di competenze interne e personale insufficiente rappresentano una sfida ancora maggiore all’efficacia della postura della cybersecurity rispetto al passato. Per il 58% la mancanza di competenze, rispetto al 53% del 2022, e per il 50% il personale insufficiente, rispetto al 46% dello scorso anno.
“Nonostante il settore sanitario rimanga altamente vulnerabile agli attacchi di cybersecurity, è positivo il fatto che i dirigenti del settore comprendano come un incidente informatico possa avere un impatto negativo sulle cure dei pazienti e sono ottimista sui progressi significativi che si possano realizzareper proteggere i pazienti dai danni fisici che questi attacchi potrebberocausare,” ha dichiarato Ryan Witt, Healthcare Customer Advisory Board di Proofpoint. “La nostra ricerca dimostra che le organizzazioni sanitarie stanno acquisendo consapevolezza dei rischi informatici da affrontare. Ora devono collaborare con i colleghi del settore e ottenere il sostegno dei governi per costruire una postura di sicurezza informatica più forte e, di conseguenza, fornire migliori cure ai pazienti.”