ENISA: la sanità obiettivo primario degli attacchi informatici

Il settore sanitario è sempre più nel mirino dei criminali informatici. Lo dimostra ENISA, Agenzia dell’Unione Europea per la cybersicurezza, che lo scorso luglio ha pubblicato per la prima volta un’analisi sul panorama delle minacce informatiche del settore sanitario nell’UE. L’indagine, basata su un totale di 215 incidenti segnalati pubblicamente nell’ambito dell’Unione Europea e nei paesi limitrofi, ha mappato e studiato gli incidenti informatici da gennaio 2021 a marzo 2023 identificando le principali minacce, gli attori, gli impatti e le tendenze con l’obiettivo di offrire informazioni preziose per le organizzazioni sanitarie e le istituzioni.

Un comparto sotto attacco

Il rapporto ENISA disegna una realtà preoccupante delle sfide affrontate dal settore sanitario europeo durante il periodo di riferimento. Innanzitutto, i 215 episodi analizzati includono 208 attacchi informatici al settore sanitario, 5 segnalazioni di vulnerabilità identificate (ma non necessariamente sfruttate) e 2 avvisi di potenziali attività che interessano il settore sanitario. Complessivamente, la maggior parte degli incidenti ha colpito gli operatori sanitari (53%) e in particolare gli ospedali europei (42%). Seguono le autorità sanitarie, gli enti e le agenzie (14%) e gli attacchi all’industria farmaceutica (9%).

Va detto che gli incidenti esaminati nel rapporto ENISA hanno avuto conseguenze significative soprattutto per ciò che concerne violazioni o furto di dati (43%), interruzione dei servizi sanitari (22%) e dei servizi non correlati all’assistenza sanitaria (26%). Le violazioni dei dati hanno interessato le strutture sanitarie per il 40% del numero totale di incidenti e, in particolare, gli ospedali (27%) e le cure primarie (8%). L’interruzione dei servizi sanitari si è verificata quando sono stati coinvolti gli enti (82%) e le autorità sanitarie (12%). Inoltre, al fine di dettagliare meglio l’entità dei danni, la relazione evidenzia altresì le perdite finanziarie subite, con un costo medio stimato in 300.000 euro per un grave incidente relativo alla sicurezza secondo lo studio “ENISA NIS Investment 2022”.

Poiché il settore sanitario tratta dati di natura personale e sensibile, la loro potenziale divulgazione implica danni immani. Tutto ciò è oltremodo allettante per i cyber criminali, che possono trarre vantaggio estorcendo denaro sotto la minaccia della diffusione delle informazioni. Infatti, lo studio indica non solo il ransomware come una delle principali minacce al settore sanitario (54% degli incidenti), ma ne registra la crescita costante. In particolare, i dati dei pazienti, comprese le cartelle cliniche elettroniche, sono stati gli asset più presi di mira (30%) e quasi la metà di tutti gli incidenti (46%) mirava a rubare o divulgare i dati delle organizzazioni sanitarie. Dati che fanno riflettere, così come il fatto che soltanto il 27% delle realtà intervistate dispone di un programma di difesa ransomware dedicato.

Un altro tipo di minaccia che, in base allo studio, si prevede rimarrà molto rilevante in futuro per il comparto riguarda le vulnerabilità nei sistemi sanitari e nei dispositivi medici. In questo modo, gli attacchi alle supply chain sanitarie e ai fornitori di servizi hanno provocato interruzioni o perdite per le organizzazioni sanitarie nella misura del 7%. Un’ulteriore indagine di ENISA, relativa a questo argomento, ha infatti registrato che l’80% delle organizzazioni del comparto interpellate cita le vulnerabilità software o hardware come causa di oltre il 61% dei propri incidenti di sicurezza.

Infine, ENISA segnala che gli sviluppi geopolitici e l’attività degli hacktivisti hanno aumentato anche il numero di attacchi DDoS (Distributed Denial of Service) contro ospedali e autorità sanitarie all’inizio del 2023, raggiungendo il 9% degli incidenti totali. Gli esperti prevedono che questa tendenza continui, benché l’impatto effettivo di questo genere di ‘aggressioni’ rimanga relativamente basso.

Investire in sicurezza

I dati contenuti nel rapporto ENISA sono molto rappresentativi, ma va tenuto conto che il periodo di riferimento dell’indagine copre gran parte dell’era della pandemia di Covid-19, vale a dire quando il settore sanitario è stato una delle principali vittime degli attacchi informatici. Ciò non toglie che essi siano indicativi delle cattive pratiche di sicurezza informatica che, a maggior ragione quando si verificano situazioni di emergenza con esigenze operative urgenti (una pandemia, appunto), costituiscono in potenza ulteriori problemi. Tra le carenze in materia di cybersecurity nelle organizzazioni sanitarie si registrano, ad esempio, la frequente mancanza di un programma di sensibilizzazione alla sicurezza per il personale non IT, così come il non aver mai eseguito un’analisi del rischio. Poiché la sicurezza dei pazienti rimane una delle principali preoccupazioni per il settore sanitario, occorre individuare le misure più appropriate da adottare per difendersi e garantire la massima operatività. E c’è ancora molto da fare.