Il 24% delle strutture sanitarie del nostro Paese ha subìto attacchi informatici nel corso del 2020 e, tra questi, la maggior parte è stata causata da accessi abusivi ai dati (33%). È quanto emerge dal report "Capire il rischio cyber: il nuovo orizzonte in sanità " nato dalla collaborazione Sham - Università degli Studi di Torino per comprendere il grado di consapevolezza degli operatori sanitari italiani sul cyber risk e, più specificatamente, la conoscenza e il rispetto del quadro normativo, la dotazione e l'organizzazione interna, la formazione e sensibilità del personale in materia.
Il sondaggio analizza le risposte di 68 professionisti sanitari operanti in strutture distribuite su 14 Regioni italiane: Risk Manager, Responsabili Qualità , Data Protection Officer (DPO), Responsabili della sicurezza informatica (CISO) e dell'Ingegneria Clinica, nonchè Referenti della Direzione Sanitaria e Generale.
Al secondo posto della classifica a tema cybersecurity si attesta il danneggiamento di dati o sistemi informatici (19%) seguito a pari livello da ransomware o cryptolocker, trattamento illecito di dati e furto di device/dispositivi (11%). Il pericolo di frode informatica è del 7% e non sono assenti neppure attacchi al sito internet aziendale e violazioni di dati personali, anche se al 4%. In evidenza un'altra importante criticità : il personale dedicato alla sicurezza informatica è insufficiente e i ruoli legati al rischio cyber non sono sufficientemente definiti all'interno dell'organizzazione sanitaria.
"Senza sicurezza non ci sarà piena digitalizzazione"
La riflessione si estende anche all'ambito extra-ospedaliero: «Per governare un sistema sono necessari organizzazione e comportamenti proattivi. La creazione e l'implementazione di un sistema informativo aziendale è sempre estremamente complessa - constata Andrea Piccioli, Direttore Generale dell'Istituto Superiore di Sanità - il semplice utilizzo dell'ultima tecnologia non è di per sè sufficiente. Occorre avviare un progetto chiaro che si ponga l'obiettivo di definire la struttura del sistema attraverso l'identificazione del corretto fabbisogno informativo dell'Ente/Azienda».
Il rafforzamento della cybersecurity deve essere parallelo al miglioramento della cyber-resilienza, la capacità di imprese e infrastrutture di gestire al meglio la propria attività da hacker e altre minacce digitali
Il tema cyber risk si conferma prioritario e impattante sull'attività da erogare e sui modelli organizzativi interni, ma non sufficientemente misurato e conseguentemente gestito. I test di vulnerabilità sono poco diffusi come l'analisi a priori del rischio, e non tutte le organizzazioni dispongono di un piano per la sicurezza cyber. Anche dopo l'accadimento di eventi avversi, non è sistematico procedere con l'analisi reattiva del caso e, se ritenuto necessario, con azioni di miglioramento ovvero variazioni al modello gestionale in essere.
È la prevenzione la carta vincente per un garantire la protezione della confidenzialità , integrità e disponibilità di un sistema informatico: la sicurezza non è dunque una risposta all'innovazione, ma il suo requisito fondamentale. «Le informazioni rappresentano un tesoro per la cura e la predizione dei fabbisogni ma necessitano di strutturazione e procedure che garantiscano la qualità e la sicurezza del dato oltre al rispetto della privacy. È vero solo in parte l'assunto secondo il quale al crescere della digitalizzazione cresca il rischio. Più importante ancora è il ragionamento speculare: senza sicurezza, non ci sarà mai piena digitalizzazione».
Affidati agli esperti di cybersecurity UOMO e AMBIENTE per una valutazione concreta delle eventuali falle di sicurezza e proteggi la tua azienda dagli attacchi informatici