• Alessia Maldera

La sanità italiana è "cyber-fragile"



L’8 gennaio 2022 è iniziato un attacco cibernetico all’ASL Napoli 3 Sud che ha paralizzato la sua infrastruttura informatica, bloccando ad intermittenza il sistema di prenotazione dei vaccini e dei tamponi per vari giorni.


Questo è uno dei tanti attacchi ad una struttura sanitaria italiana solamente negli ultimi mesi; ricordiamo tutti, ad esempio, l’attacco alla Regione Lazio dello scorso agosto. In totale, nel corso del 2021 ci sono stati circa 30 incidenti, attacchi e violazioni della privacy che hanno interessato il mondo della sanità, secondo i dati raccolti dall’Osservatorio di Cybersecurity di Exprivia. Sempre secondo l’Osservatorio, i metodi più utilizzati dagli attacker sono quasi sempre lo sfruttamento di vulnerabilità note o le campagne di phishing.


Quindi, nonostante da una parte l’attaccante utilizzi spesso tecniche molto sofisticate, dall’altra spesso sfrutta anche le vulnerabilità o l’inconsapevolezza della vittima. Dunque, sarebbero incidenti che si potrebbero evitare aumentando la consapevolezza del rischio e la sicurezza delle infrastrutture informatiche.


Chiara è quindi la totale inadeguatezza del livello di sicurezza informatica della sanità in Italia. Il problema risulta essere molto grave anche se probabilmente ancora non ci si rende conto del rischio a cui le nostre infrastrutture sono sottoposte. Ma a questo punto viene spontaneo chiedersi: come è possibile? Come è possibile non rendersene conto dopo due anni di pandemia e il numero sempre crescente di attacchi cibernetici? Nonostante tutto, le infrastrutture informatiche e i livelli di sicurezza informatica del settore sanitario continuano ad essere per lo più obsoleti, considerata soprattutto l’importanza che questo settore rappresenta per il Paese. Però, il rischio informatico non è stato percepito per anni e i risultati sono sotto gli occhi di tutti. Difatti, l’80% delle aziende sanitarie italiane sono a rischio di attacchi hacker, secondo quanto dice lo studio “Cyber Risk Indicators”, un Report di Swascan, un’azienda che si occupa di cyber security e di valutazioni di vulnerabilità.


Nell’ultimo anno abbiamo visto un primo tentativo da parte della Pubblica Amministrazione per migliorare le proprie infrastrutture tecnologiche e molto importante è in tale senso la costituzione della nuova Agenzia per la Cybersicurezza Nazionale. Nonostante ciò, rimane comunque bassa la percezione del rischio e in più gli investimenti per arginarlo risultano essere ancora decisamente troppo irrilevanti, nonché vi è una chiara penuria di professionisti che si occupano di cyber security nel nostro Paese.


In data 11 gennaio 2022, è stata pubblicata la nuova rilevazione di AgID, L’Agenzia Italiana per il digitale, che vede come all’interno 679 progetti di ammodernamento infrastrutturale del settore ICT della PA solamente il 4% della spesa sia destinato alla sicurezza informatica. Inoltre, il Sistema Sanitario Nazionale risulta essere la più fragile fra le PA anche perché burocraticamente è diviso in 20 servizi sul territorio, le Regioni, con la loro autonomia decisionale, il che rende l’organizzazione, al livello nazionale, di un miglioramento della sicurezza informatica ancora più complicata.


Bisogna infine ricordare che il problema della “cyber-fragilità” della Sanità italiana non riguarda solamente eventuali disservizi del sistema sanitario, ma anche il fatto che la maggior parte dei dati trattati in questo ambito sono classificabili come dati sensibili. Molto spesso è proprio ai dati che i cybercriminali sono davvero interessati, dunque il bisogno di attuare azioni di prevenzione del rischio risulta sempre più impellente.


In più, l'attività sanitaria vede sempre più l’aumento della digitalizzazione delle operazioni e degli strumenti elettronici sia a supporto della diagnostica, che della terapia che della gestione del malato. Dunque, risulta fondamentale e inevitabile portare avanti progetti di miglioramento delle infrastrutture digitali e informatiche per aumentare la resilienza e la sicurezza del settore sanitario.