Per chi non ha vissuto su un altro pianeta negli ultimi mesi, i risultati del rapporto ANSSI – Settore sanitario “Stato della minaccia informatica” non saranno una sorpresa. L’ospedale è gravemente malato con la sua sicurezza informatica. E i farmaci costeranno cari!
Nel periodo dall’inizio del 2022 alla fine del 2023, l’Agenzia nazionale spiega che le strutture sanitarie hanno visto esplodere il loro “contributo” agli incidenti e alle segnalazioni che hanno dovuto affrontare in questo periodo. Rappresentavano il 2,87% del totale nel 2020, hanno raggiunto l’11,4% nel 2023.
Questa dimensione è il risultato innanzitutto di un cronico sottoinvestimento da parte di tutti gli attori del settore, che hanno trascurato per anni sia gli aggiornamenti di sistema e le patch di sicurezza, sia le politiche di sensibilizzazione del personale. Con derapate a volte spettacolari come quando la CNIL rilevò, qualche mese fa, la sconsideratezza di alcuni medici che comunicavano ai servizi amministrativi i loro codici di accesso alle cartelle personali dei loro pazienti, per non essere disturbati ogni volta che questi ultimi avevano bisogno di informazioni.
Conseguenze di tutta questa negligenza: compromissione degli account di posta elettronica, crittografia ransomware ed esfiltrazione di dati o indisponibilità temporanea legata al rifiuto di servizio.
Anche di recente, a metà novembre, i dati sensibili di oltre 750.000 francesi sono stati messi in vendita sul darkwebdopo essere stato rubato grazie a un’intrusione nell’applicazione open Source Mediboard, utilizzata dalle strutture sanitarie per gestire le cartelle dei pazienti e organizzare gli appuntamenti.
Anche lì niente di nuovo: lo scorso maggio lo riferiva l’ANS (Agenzia nazionale per la sanità). quasi 60 incidenti negli ospedali portando a una fuga di dati personali e sensibili… Accogliendo con favore una relativa stabilizzazione.
Un’altra spiegazione, l’interesse finanziario degli aggressori informatici rimane forte. Da un lato pagamento dei riscatti non è raro. D’altra parte, alcuni acquirenti » possono manifestare interesse per dati sensibili relativi alla salute delle persone (assicuratori, banche, ecc.).
Infine, ed è Milos Brkovic, direttore generale Francia di Commvault, a dire: “ un attacco riuscito a un ospedale è a trofeo per un hacker ».
Si ricorderà che gli ospedali francesi fanno parte dell’OIV (operatori di vitale importanza), normalmente ammissibili per NIS 2.
Come possiamo vedere, c’è ancora del lavoro da fare e l’ANSSI chiede approcci globali alla sicurezza, con passaggi noti: mappatura degli asset da proteggere, analisi dello stato dell’IS e delle competenze dei team, la natura delle minacce, dei rischi e delle priorità, ecc.
Aggiungiamo, come ha fatto Christian Sarazin, CIO del Centro ospedaliero di Martigues, su queste colonne il mese scorso: la necessità di progettare un PRA realistica dal punto di vista medico : come continuare ad operare quando l’IS è gravemente degradato? La domanda può sembrare folle nell’era digitale di oggi, ma chi guarda in questo momento l’eccellente serie Hippocrates e vede i medici lottare – qui contro la mancanza di risorse – per garantire nonostante tutto la loro missione fondamentale, ovvero salvare vite umane, ne capirà piena legittimità.
Fonte : Stato della minaccia informatica nel settore sanitario a cura dell’ANSSI | Agenzia per la sanità digitale
Conseguenze drammatiche
Non devi abituarti. Il lungo elenco di attacchi informatici alle strutture sanitarie non deve stancarci. L’ultimo rapporto di Proofpoint Insicurezza informatica nel settore sanitario è molto utile in questo senso.
Innanzitutto ricordando che il problema non è solo francese: quindi Il 92% delle organizzazioni sanitarie statunitensi intervistate ha subito almeno un attacco informatico negli ultimi 12 mesiin aumento rispetto all’88% nel 2023.
Poi dentro ricordandone le conseguenze : nel 69% dei casi, ciò ha comportato l’interruzione della cura del paziente. Risultati scadenti riportati a causa di ritardi nelle procedure e nei test (56%), aumento delle complicazioni derivanti dalle procedure mediche (53%). Ma soprattutto, e questo è drammatico, sono aumentati i tassi di mortalità – di cinque punti percentuali rispetto all’anno precedente.
LEGGI ANCHE:
Nuvola
La salute digitale manca di fiducia
LEGGI ANCHE:
Secu
“La sanità fatica a recuperare terreno in termini di cyber”
LEGGI ANCHE:
Dati/IA
I paradossi dell’intelligenza artificiale nella cybersecurity
