PRENOTA UN
APPUNTAMENTO
INVIA UN
MESSAGGIO
News

Cybersecurity e sanità: come gestire la sicurezza informatica

Le strutture sanitarie sono il più grande produttore di dati sensibili. È fondamentale quindi che considerino la sicurezza informatica come una priorità strategica al fine di una corretta gestione del Cyber Risk.

 
News

Cybersecurity e sanità: come gestire la sicurezza informatica

Le strutture sanitarie sono il più grande produttore di dati sensibili. È fondamentale quindi che considerino la sicurezza informatica come una priorità strategica al fine di una corretta gestione del Cyber Risk.

La gestione del Rischio Cyber nelle strutture sanitarie

Le organizzazioni sanitarie sono particolarmente vulnerabili e prese di mira da cyber criminali e attori statali ostili poiché possiedono molteplici informazioni di alto valore monetario e strategico per l’intelligence. I dati target includono informazioni sanitarie protette dei pazienti, informazioni finanziarie come numeri di carta di credito e di conto bancario, informazioni personali come codici fiscali, passaporti, carte d’identità, ecc.

Gli innumerevoli attacchi cyber alle strutture sanitarie nel periodo del Covid-19 hanno creato serie problematiche alle infrastrutture con conseguenti fughe di notizie e danni di immagine irreparabili. In tale contesto si muovono le normative nazionali unitamente alla direttiva NIS (Network and Information Security), cioè una direttiva che contiene una serie di misure legislative che hanno lo scopo di creare un livello comune, quanto più elevato possibile, di sicurezza delle reti e in generale dei sistemi informativi all'interno dell'Unione Europea.

Gli ultimi due anni sono stati contrassegnati da numerosi attacchi cibernetici alle strutture sanitarie nazionali ed europee. Da un rapporto della Polizia di Stato è emerso un quadro davvero preoccupante in quanto gli attacchi informatici alle strutture sanitarie sono aumentanti di circa il 112% nel 2020 rispetto al 2019 ed il target dei criminali informatici riguarda soprattutto l’acquisizione di informazioni sensibili  e attacchi cyber ai dispositivi medici. 

Tali dispositivi, che spesse volte aiutano i medici a salvare vite umane, rappresentano una zona di attacco da parte di hacker e comprendono sistemi quali: server, terminali informatici in uso ai reparti di degenza, dispositivi di diagnostica per immagini, desktop, chioschi self service, software gestionali, sistemi di archiviazioni e trasmissione immagini (PACS), cloud pubblici, sistemi di fatturazione ecc.. 

Cybersecurity e settore sanitario: le direttive europee per la tutela della sicurezza informatica

La minaccia cyber non è assolutamente una novità nel settore sanitario e già nel 2008 l’Unione Europea inserì le strutture sanitarie nelle categorie a rischio previste dalla Direttiva 2008/114/CE.

Il rischio cibernetico è sempre più attenzionato dalle istituzioni europee e la direttiva NIS ha come principale obiettivo il rafforzamento della sicurezza informatica di ogni Stato Membro. Tra i compiti principali dove la direttiva trova applicazione rientra anche il settore sanitario, in quanto servizio essenziale per la popolazione e richiama l’attenzione alla gestione e prevenzione del rischio.

Da non trascurare un altro dispositivo di legge dell’Unione Europea, il Regolamento UE 2016/679 (GDPR), che riveste particolare importanza nell’ambito della sicurezza informatica, il quale stabilisce una serie di misure preventive utili ad evitare attacchi cibernetici. La direttiva UE 2016/680 è un altro dispositivo che contiene molteplici assetti riguardanti la protezione dei dati personali quando avviene il trattamento da parte degli organi investigativi, per l’esecuzione di sanzioni penali e per la salvaguardia delle minacce alla pubblica sicurezza.

Infine sono da riportare anche le linee guida dell’European Data Protection Board o Comitato Europeo per la Protezione dei Dati che vanno ad integrare le disposizioni del GDPR in materia di Data Breach, dove ogni struttura sanitaria oggetto di attacco cibernetico è tenuta a notiziare i propri pazienti della perdita o del furto delle informazioni in loro possesso. 

Purtroppo la disorganica applicazione della Direttiva NIS a livello locale e la mancanza di cooperazione nel processo di comunicazione utile all’approccio cibernetico hanno rafforzato l’idea di una Direttiva NIS 2 in settori particolari come la produzione dei dispositivi medici e l’inserimento della crittografia e dei controlli di sicurezza anche sui fornitori al fine di minimizzare e prevenire i rischi informatici.

Anche se presenti molte disposizioni di legge in materia, l’applicazione pratica ancora non risulta ottimale stando a quanto riporta l’International Association of Insurance Supervisors (IAIS) e la principale causa è l’errata capacità di misurare l’esposizione al rischio. 

Cosa può fare l’azienda sanitaria per una corretta gestione del Cyber Risk

Le organizzazioni sanitarie devono affrontare continuamente minacce informatiche in evoluzione che possono mettere a rischio la sicurezza dei pazienti. Le strutture sanitarie non dovrebbero considerare la sicurezza informatica come un problema puramente tecnico che rientra esclusivamente nel dominio dei loro dipartimenti IT. 

È fondamentale che le organizzazioni sanitarie considerino la sicurezza informatica come una priorità strategica per la sicurezza del paziente al fine di una corretta gestione del rischio per garantire una continuità aziendale utile anche alla Governance. L'adeguamento delle iniziative di sicurezza informatica aiuterà le organizzazioni sanitarie a proteggere la privacy dei pazienti e garantirà anche la continuità dell'erogazione efficace di cure di alta qualità minimizzando e prevenendo i potenziali rischi per le organizzazioni. 

I consulenti della Dogma S.p.A. hanno l’esperienza e la competenza per effettuare una giusta consulenza sul Cyber risk assessment nella gestione del rischio cyber nelle strutture sanitarie al fine di evitare ingenti danni reputazionali e/o finanziari a seguito di attacchi cibernetici da parte di cyber criminali.

Autore: Dott. Claudio Lisi
Senior Security Manager UNI 10459:2017 III° livello
Area Manager Dogma S.p.A.

Ti potrebbero interessare anche

    La realtà pone domande.
    Noi cerchiamo le risposte.


    Un sito non basta a risolvere ogni dubbio e soprattutto a far fronte a tutte le necessità. Utilizza il form qui a lato o la CHAT per contattarci, prenotare un appuntamento e chiederci informazioni.

    • Colloquio preliminare GRATUITO
    • Massima RISERVATEZZA
    • Risposta RAPIDA

    Indica una data e un orario preferito per l'appuntamento:
    Confermo di aver letto l'informativa e la accetto
    Tutti i campi sono obbligatori

    Agenzia Investigativa DOGMA S.p.A.
    Agenzia Investigativa Milano
    Via Cino del Duca, 5
    20122 - Milano
    Tel. +39 02 76281415
    Fax +39 02 76391517
    Agenzia Investigativa Torino
    Corso Vittorio Emanuele II, 92
    10121 - Torino
    Tel. +39 011 5617504
    Fax +39 011 531117
    Agenzia Investigativa Roma
    Via G. Gioacchino Belli, 39
    00193 - Roma
    Tel. +39 06 89871789
    Agenzia Investigativa Londra
    Level 33, 25 Canada Square
    Canary Wharf
    London E15 5LB nb
    Agenzia Investigativa New York
    3rd and 4th Floors,
    57 West 57th Street - Manhattan
    New York 10019 USA
    Seguici su:

    numero verde 800.750.751
    da lunedì a sabato dalle 09:00 alle 20:00
    servizio gratuito da telefono fisso e mobile da Italia

    Privacy Policy
    Cookie Policy

    P.IVA 10425470019