L’efficienza delle strutture sanitarie italiane per affrontare i rischi di sicurezza informatica raggiunge solo il 49%
Bitdefender svela i risultati dell’indagine “Healthcare Cybersecurity” realizzata in Italia per valutare lo status di efficienza della sicurezza informatica nel settore sanitario da cui emerge una preparazione nettamente insufficiente sia in termini di tecnologie che di competenze professionali. Un dato che mette in allarme considerando la trasformazione digitale che il mondo dell’healthcare, nel suo complesso, sta vivendo.
I dati dell’indagine sono stati illustrati e anticipati da Denis Cassinerio, Regional Sales Director Sud Europa di Bitdefender al Healthcare Security Summit 2021,uno degli appuntamenti “verticali” dedicati da Clusit, Associazione Italiana per la Sicurezza Informatica, ai settori a maggior impatto per la sicurezza di dati e informazioni di aziende e cittadini. L’evento si è svolto in collaborazione con AIIC, Associazione Italiana degli Ingegneri Clinici, AISIS, Associazione Italiana Sistemi Informativi in Sanità, e AUSED, Associazione Utilizzatori Sistemi e tecnologie dell’Informazione e con l’organizzazione di Astrea, agenzia specializzata nell’organizzazione di eventi business live e digital nel mondo della sicurezza informatica.
Secondo lo studio, condotto nel mese di maggio, il 93% delle aziende del settore sanitario ha subito attacchi informatici in passato mentre il 64% ritiene probabile, o altamente probabile, un attacco informatico nel prossimo futuro.
Per contrastare la vulnerabilità ai cyberattacchi, Bitdefender ritiene che le organizzazioni nell’ambito della sanità debbano garantire sei fattori principali: protezione, rilevamento, risposta, competenze, budget, e organizzazione, cultura e leadership. Tutti e sei gli elementi, essenziali per una cybersicurezza efficiente, sono stati esaminati nell’indagine online che ha coinvolto responsabili delle decisioni IT nell’ambito della sicurezza informatica in strutture sanitarie pubbliche e private, per valutare il livello di efficienza e/o le lacune per il raggiungimento della completa efficienza.
“La cura del paziente, la sicurezza delle informazioni e dei dispositivi di diagnosi e intervento rendono il settore sanitario un ecosistema vasto e complesso come ben pochi altri ambiti” commenta Denis Valter Cassinerio, Regional Sales Director Sud Europa di Bitdefender. “Inoltre il settore è fortemente preso di mira dalla criminalità informatica. Solo ad aprile 2021 la telemetria Bitdefender ha rilevato in Italia circa 7mila attacchi”.
Secondo gli intervistati, tra i parametri richiesti da Bitdefender per valutare il fattore protezione, i più efficienti sono attualmente l’uso di soluzioni per la protezione degli endpoint, la visibilità sugli asset da proteggere e l’uso di una soluzione per la gestione delle password. Le principali lacune sono legate all’uso di sistemi operativi non supportati o obsoleti come sostiene il 64% degli intervistati e la mancanza di adeguati livelli di protezione per i dispositivi medici secondo i regolamenti UE, sottolineato da ben il 59% dei partecipanti.
In tutti gli aspetti presi in considerazione nell’indagine e indispensabili per Bitdefender per un rilevamento efficiente, le percentuali non raggiungono mai la sufficienza.
Gli attuali strumenti di rilevamento in ambito Endpoint Detection and Response e Advanced Persistent Threat sono considerati efficienti solo per il 53% degli intervistati. Evidenti le difficoltà anche nel determinare la fonte dell’attacco, individuata solo nel 43% dei casi. Inoltre gli intervistati rivelano importanti criticità anche per le seguenti attività: monitoraggio costante dei rischi per le infrastrutture sanitarie e i macchinari diagnostici che nel 67% dei casi non viene eseguito; monitoraggio della visibilità dei livelli di rischio dell’organizzazione effettuata; utilizzo di strumenti di analisi del rischio impiegati solo nel 43%.
Secondo gli intervistati, tra tutti gli elementi oggetto d’indagine per il fattore risposta i più efficienti sono attualmente la prontezza nel rispettare il “Perimetro di Sicurezza Informatica” e il GDPR, la capacità di recupero dopo un attacco ransomware mentre in merito all’esistenza di un piano di risposta a seguito di un incidente di cybersecurity le percentuali iniziano a scendere.
Le principali lacune sono legate al fatto di non avere un Security Operation Center, non eseguire abbastanza simulazioni di attacchi per comprendere dove rafforzare i processi di resilienza e non avere piena visibilità sulla catena degli attacchi.
Secondo gli intervistati, per il fattore competenze, gli aspetti più efficienti si riferiscono all’impiego di esperti esterni se necessario e al basso turnover dei dipendenti.
I principali aspetti in cui emergono criticità mettono in luce come lo skill gap che affligge il settore privato in ambito cybesecurity si rifletta drammaticamente anche in ambito sanitario: l’indagine Bitdefender infatti, pone l’accento sull’insufficienza del personale specializzato in cybersecurity denunciata dal 74% degli intervistati, il conseguente sovraccarico di lavoro a cui è sottoposto il personale attuale e la difficoltà nel reperire personale qualificato attraverso nuove assunzioni.
Secondo gli intervistati, tra tutti i pilastri richiesti per il fattore budget, i più efficienti si riferiscono al rischio relativamente basso di tagli al budget e al fatto che quando una minaccia per la cybersecurity viene identificata, solitamente si può accedere a risorse di budget allocate per coprire l’esigenza specifica.
Le principali difficoltà sono legate al fatto di non avere un budget dedicato alla cybersecurity determinato in funzione dell’analisi del rischio e basato sul ritorno sugli investimenti in sicurezza come evidenzia il 60% degli intervistati. A queste, si somma l’incapacità di guidare i cambiamenti necessari con il budget attuale, come sottolineato dal 53% degli intervistati.
Secondo gli intervistati, gli aspetti più efficienti in questa categoria si riferiscono all’includere la cybersecurity ogni volta che si introducono nuove soluzioni IT e al supporto delle normative vigenti in termini di adozione delle tecnologie per la sicurezza informatica.
In questo ambito emergono però anche preoccupanti mancanze, legate all’assenza di formazione di leadership nella cybersecurity per le funzioni chiave dell’organizzazione, all’insufficiente riconoscimento del rischio di cybersecurity da parte del consiglio di amministrazione e al non sentirsi supportati dal governo per migliorare il livello di cybersecurity.
L’efficienza complessiva per la sicurezza informatica in ambito sanitario è al 49%. Secondo gli intervistati, tra tutti i sei fattori chiave richiesti per la cybersecurity, il più efficiente, con risultati comunque sotto la soglia della sufficienza, è attualmente la protezione seguita dal budget. Tutti gli altri quattro fattori sono a meno di metà strada verso la completa efficienza. Il divario maggiore è riportato per rilevamento e organizzazione, cultura e leadership e competenze.
“Tutti e sei i fattori devono migliorare per raggiungere livelli di sicurezza informatica accettabili nel settore della sanità”, afferma Denis Valter Cassinerio, Regional Sales Director Sud Europa di Bitdefender che prosegue: “È difficile migliorare istantaneamente su tutti i fronti; ecco perché la maggior parte delle organizzazioni sanitarie sta cercando di esternalizzare parte delle operazioni di cybersecurity come sottolinea il 79% degli intervistati. Questa è la tendenza futura che emerge chiaramente dai risultati dell’indagine. La sicurezza informatica inoltre, è un ambito molto complicato che necessita di personale specializzato per colmare lo skill gap di cui risente tutto l’ecosistema sanitario”.