Nel 2023, quattro anni dopo il grande attacco che ha preso di mira l’ospedale universitario di Rouen e un anno prima di quello che ha appena indebolito l’ospedale di Cannes, il 10% delle vittime di attacchi informatici in Francia erano strutture sanitarie.
Principali minacce: “Il sistema informativo “compromette””secondo il lavoro che la Corte dei Conti pubblica all’inizio dell’anno scolastico 2025 sulla sicurezza informatica delle strutture sanitarie. In altre parole: “Violazioni di database e PIN, messaggi di posta elettronica dannosi”E “ransomware, quest’ultimo è il più distruttivo”.
Nel novembre 2024, l’ANSSI ha osservato che le difese delle strutture sanitarie restano molto disparate, mentre i rischi per i pazienti sono molto reali. A titolo esemplificativo, la Corte dei Conti cita il caso di un centro ospedaliero in “800 posti letto e posti letto e 35.500 ricoveri completi in ambito “medicina, chirurgia e ostetricia” (MCO)”.
Quest’ultima ha impiegato 18 mesi per rimettere in piedi il proprio sistema informativo e, sebbene la sua attività fosse diminuita del 20% dopo l’attacco, non “non è ancora tornato al livello di novembre 2022 alla fine di febbraio 2024” (l’ospedale André Mignot di Versailles, che corrisponde a questa descrizione, è stato attaccato il 4 dicembre 2022).
Rimpiangendo il «ritardato» della reazione delle autorità pubbliche, la Corte dei conti insiste affinché la dinamica di finanziamento della prevenzione e della protezione dai rischi digitali continui.
Si raccomanda inoltre l’istituzione di a “gruppo nazionale di esperti incaricato, in caso di attacchi informatici di portata eccezionale, di valutare le perdite di entrate da compensare” e la creazione di a “audit periodico obbligatorio per tutte le strutture sanitarie, di cui si potrebbe tener conto nel sistema di incentivazione della qualità e nella certificazione da parte dell’HAS”.
Terzo settore più a rischio
Nel panorama francese, la Corte dei conti rileva che il “vulnerabilità dei sistemi informativi ospedalieri e loro maggiore interconnessione con sistemi esterni (…)” colloca questa tipologia di soggetti al terzo posto tra le aree più colpite dagli attacchi digitali.
Poco più avanti: gli enti locali. Le aziende, da quelle più piccole a quelle di dimensione intermedia, sono in testa ai player più a rischio.
In termini di interconnessioni, la Corte dei Conti rileva che la complessità dei sistemi informativi ospedalieri, “ senza equivalente ”, va aumentando – “ fino a 1.000 richieste per i più grandi ospedali universitari » – mentre il digitale resta una voce di spesa molto contenuta. In media, gli viene assegnato solo l’1,7% del budget operativo, rispetto al 9% nel settore bancario.
Risultato: più del 20% delle workstation e dei server lo hanno “più di sette anni o sistema operativo fuori manutenzione o obsoleto” e il 23% delle apparecchiature di rete e il 22% delle applicazioni aziendali non possono più essere aggiornate.
La cybersecurity, il parente povero del (parente povero cioè) digitale ospedaliero
Nello stesso dominio digitale ospedaliero, le questioni di sicurezza informatica sono scarsamente prese in considerazione. Le conseguenze sono tuttavia concrete: gli attacchi informatici possono creare interruzioni dei servizi, sia sul lato amministrativo (gestione dei pazienti, gestione economica e finanziaria) che della cura dei pazienti (il più delle volte in caso di emergenza), e il furto di dati può avere effetti a lungo termine.
In media, “Il costo per un ospedale può raggiungere i 10 milioni di euro per la gestione e la bonifica della crisi e i 20 milioni di euro per la perdita di entrate operative”calcola la Corte dei conti, senza tener conto delle potenziali conseguenze finanziarie del furto e della pubblicazione di dati medici e non medici di pazienti e professionisti.
Il rapporto evidenzia anche le ripercussioni a cascata quando il normale funzionamento di una struttura ospedaliera è costretto a fermarsi. La riprogrammazione delle cure può comportare il trasferimento dei pazienti ad altri ospedali. Creano anche “rischi a breve e medio termine sulla continuità e sulla qualità delle cure (postumi, perdita di opportunità, ecc.)”.
Tuttavia, “malgrado l’obbligo al quale sono soggette le strutture sanitarie in questo ambito, gli incidenti di cibersicurezza che le colpiscono non sono tutti dichiarati, si rammarica la Corte dei conti, per mancanza di sufficiente competenza interna in materia di cibersicurezza, ma anche senza dubbio, per paura di ricadute mediatiche e reputazionali. »
La delegazione per la salute digitale pilota il CaRE
Per far fronte, il Ministero della Salute ha incaricato la delegazione della sanità digitale (DNS) di governare la sanità digitale su scala nazionale. La componente di sicurezza informatica della tabella di marcia 2023-2027 include una componente di finanziamento quinquennale per recuperare il ritardo, il programma “Cyberacceleration and Resilience ofestablishments” (CaRE).
Attuato dall’Agenzia per la Salute Digitale (ANS), all’interno della quale è ospitato il Cert Santé, questo “programma di recupero” prevede di versare 750 milioni di euro in cinque anni per promuovere la sicurezza dei sistemi informativi delle strutture sanitarie – che finora hanno subito solo perdite di esercizio e costi di ripristino dei sistemi, ad eccezione degli aiuti finanziari assegnati in modo non uniforme dalle Regioni agenzie sanitarie.
Se la Corte dei Conti accoglie con favore lo sforzo, sottolinea che l’impegno finanziario è stato assicurato solo fino alla fine del 2024 e dichiara «indispensabile» la sua ricerca. Segnala inoltre la necessità di continuare a finanziare la protezione informatica dopo il 2027 e sollecita il coordinamento delle diverse procedure di audit esistenti (dell’ANS, tramite ANSE).
Nella sua relazione, la Corte dei Conti rileva diversi altri ritardi che contribuiscono alla situazione attuale, tra cui la mancanza di un’efficace cooperazione tra i 136 Gruppi ospedalieri territoriali (GHT) creati nel 2016, o la totale assenza di elementi relativi alla tecnologia digitale e la cybersecurity nella formazione iniziale degli operatori sanitari.
L’istituzione sottolinea inoltre che gli effetti della seconda direttiva europea sulla sicurezza informatica (NIS 2), entrata in vigore il 17 ottobre 2024, ma attualmente in fase di recepimento in ritardo nell’ordinamento francese, non erano affatto previsti. Il testo europeo, però, allarga chiaramente il perimetro delle strutture interessate dagli obblighi di cybersecurity, includendovi tutti i “soggetti essenziali” (con più di 250 dipendenti e 50 milioni di euro di fatturato) e quelli “importanti” (con più di 50 dipendenti e 10 milioni di euro di fatturato). euro di fatturato).
La Corte dei Conti stima che saranno soggette agli obblighi relativi agli enti essenziali tra 750 e 800 le strutture sanitarie, e quasi 1.300 a quelli relativi agli enti importanti.
