Immaginiamo un grande ospedale europeo nel cuore della notte: i monitor dei pazienti si spengono di colpo, le sale operatorie piombano nel buio e il personale è costretto a tornare alla carta. Non è fantascienza, ma uno scenario reale reso possibile da un cyber attacco riuscito. Nell’era della sanità digitale, in cui referti, immagini diagnostiche e dispositivi medici sono tutti connessi in rete, un singolo virus informatico può paralizzare interi reparti tanto quanto un virus biologico. Negli ultimi anni la cybersecurity è diventata una sfida cruciale per il settore sanitario, tra incidenti in forte crescita e minacce sempre più sofisticate. Secondo un recente rapporto Clusit, la sanità risulta oggi il settore più colpito da attacchi informatici a livello globale, con un incremento dell’83% degli attacchi verso strutture sanitarie italiane nella prima metà del 2024 rispetto all’anno precedente.
In questo contesto Europa e Italia si trovano ad affrontare gli stessi pericoli che incombono sui sistemi sanitari di tutto il mondo: dai ransomware che bloccano l’accesso ai dati clinici, ai furti di dati sensibili dei pazienti, fino alle vulnerabilità negli strumenti connessi e nei servizi cloud. Questo articolo offre una panoramica dei principali rischi cyber per la sanità, ne analizza l’impatto sulla privacy e sulle operazioni mediche, e discute le strategie di difesa più efficaci.
Principali minacce informatiche nel settore sanitario
La superficie di attacco digitale delle organizzazioni sanitarie è ampia e diversificata. Di seguito passiamo in rassegna le minacce informatiche più rilevanti che insidiano ospedali, cliniche e aziende del settore, dalle più conosciute alle meno visibili.
Ransomware: ostaggi digitali in corsia
Il ransomware è emerso come la minaccia numero uno per la sanità. Si tratta di un tipo di malware che cripta i dati dei sistemi infettati, rendendoli inaccessibili, e richiede un riscatto (ransom) per fornire la chiave di decrittazione. Gli ospedali sono bersagli particolarmente appetibili: bloccando l’accesso alle cartelle cliniche elettroniche e ai sistemi diagnostici, i criminali informatici sanno di esercitare un’enorme pressione sulle strutture, che spesso si trovano a dover scegliere tra pagare il riscatto o sospendere le cure. Secondo l’ENISA, oltre il 54% degli incidenti cyber nel settore sanitario europeo tra 2021 e 2023 ha coinvolto ransomware (ENISA, 2023).
La tendenza sembra destinata a continuare, anche perché solo il 27% delle organizzazioni sanitarie intervistate dichiara di avere un programma specifico di difesa dal ransomware. Gli attaccanti, spesso motivati da profitto economico, non si limitano a cifrare i dati: minacciano anche di divulgare online le informazioni dei pazienti se non ricevono il pagamento, esercitando un doppio ricatto (tecnica nota come double extortion). Un attacco ransomware ben riuscito può paralizzare un ospedale: basti pensare al caso comunicato dalle Autorità nazionali del Servizio Sanitario Regionale della Basilicata, colpito da un grave attacco informatico di tipo ransomware nel gennaio 2024.
In seguito all’attacco, molti servizi sanitari in Basilicata hanno subito disagi: difficoltà di accesso ai referti online, rallentamenti nelle prenotazioni e sospensione di alcuni servizi digitali per diversi giorni. Fortunatamente, grazie ai piani di backup e continuità operativa predisposti, non si sono verificati irreparabili perdite di dati. Le autorità regionali hanno confermato che nessun dato sanitario critico è andato perduto né alterato, poiché erano disponibili copie di sicurezza aggiornate di fascicoli sanitari elettronici e cartelle cliniche. Tuttavia, l’analisi forense ha appurato che gli aggressori hanno esfiltrato alcuni archivi di dati sensibili (per lo più documenti amministrativi contenenti elenchi di pazienti e operatori) poi diffusi illecitamente online. Questi dataset, per quanto parziali e destrutturati, rappresentano comunque una violazione della privacy su larga scala.
Furto di dati e data breach
Le informazioni sanitarie dei pazienti – dalle generalità ai referti medici, fino ai dati genetici – valgono oro nel mercato nero dell’informazione. Come visto nel caso appena menzionato, il furto di dati (data breach) in ambito sanitario avviene sia attraverso attacchi mirati dall’esterno sia tramite errori o comportamenti scorretti all’interno, ad esempio copie non autorizzate di database, email inviate al destinatario sbagliato, cartelle lasciate incustodite. In entrambi i casi, la conseguenza è la compromissione della riservatezza dei dati personali dei pazienti. Purtroppo, i data breach sanitari sono sempre più frequenti: quasi il 46% degli incidenti informatici nel settore sanitario europeo analizzati da ENISA ha mirato proprio a rubare o divulgare informazioni sensibili (ENISA, 2024). I record sanitari rubati possono essere usati per frodi, come il furto d’identità o truffe assicurative, per ricattare i pazienti – specialmente se contengono dettagli su malattie stigmatizzanti o terapie psicologiche – o semplicemente venduti al miglior offerente. Ogni singolo incidente può comportare costi enormi: il settore sanitario registra da oltre un decennio i costi per violazione di dati più alti di qualunque altro comparto, con un costo medio per breach che nel 2022 ha superato i 10 milioni di dollari (UpGuard, 2023).
Minacce interne (insider threat)
Non tutte le minacce vengono da hacker esterni: a volte il pericolo si annida dentro l’organizzazione. Le cosiddette insider threat includono dipendenti o collaboratori che, deliberatamente o per negligenza, causano incidenti di sicurezza. Nel settore sanitario gli esempi vanno dall’operatore che curiosa senza autorizzazione nelle cartelle di un paziente famoso, al tecnico che clicca su un allegato malevolo introducendo un malware nella rete ospedaliera, fino al medico scontento che esporta dati prima di lasciare l’incarico. Le analisi mostrano come gli attori interni siano responsabili di una quota non trascurabile degli incidenti: ben il 39% delle violazioni di cybersecurity in ambito sanitario UE vede un coinvolgimento di personale interno (PMC, 2023).
Attacchi alla supply chain
Gli attacchi alla supply chain (filiera informatica) mirano a colpire un bersaglio in modo indiretto, passando per le vulnerabilità di fornitori esterni o software di terze parti utilizzati dalla vittima. In sanità ciò può significare: compromettere un software di laboratorio clinico, un servizio cloud esterno, o un’azienda che gestisce la manutenzione IT di più ospedali, per poi sfruttare quel punto d’appoggio e penetrare nelle reti delle strutture sanitarie clienti. Questo tipo di attacco ha un effetto a cascata, potenzialmente colpendo simultaneamente più organizzazioni. L’ENISA riporta che circa il 7% degli incidenti cyber nel settore salute europeo sono riconducibili ad attacchi verso fornitori o partner esterni, che poi propagano l’impatto sugli enti sanitari. Inoltre, uno studio ha evidenziato come l’80% delle organizzazioni sanitarie abbia riscontrato che vulnerabilità in software o hardware di terze parti sono state alla base di oltre il 61% degli incidenti subiti (ENISA, 2023). Questi dati sottolineano la necessità di tenere alta la guardia non solo sui propri sistemi, ma anche su quelli dei propri fornitori: un ospedale è sicuro solo quanto lo è l’anello più debole della catena digitale di cui fa parte.
Vulnerabilità di dispositivi medici e IoT
Oggi ospedali e cliniche sono pieni di dispositivi medici connessi – dalle pompe di infusione ai pacemaker impiantabili – che rientrano nel cosiddetto Internet of Medical Things (IoMT). Queste tecnologie migliorano le cure ma presentano anche vulnerabilità informatiche spesso sottovalutate: molti dispositivi hanno software non aggiornabili, password di default o comunicazioni non cifrate. Un caso emblematico è quello della FDA statunitense che dovette ordinare il richiamo di 465.000 pacemaker per una falla che avrebbe permesso ai malintenzionati di alterarne il funzionamento con rischi potenzialmente letali. Ogni apparecchiatura medica intelligente, se non opportunamente protetta e isolata nella rete, può diventare una porta d’accesso per i criminali, obbligando gli ospedali a estendere la sicurezza anche a questi nuovi endpoint.
Rischi legati al cloud e ai servizi digitali
Con la digitalizzazione, i dati sanitari migrano sempre più verso il cloud e piattaforme online. Queste soluzioni offrono vantaggi ma ampliano il perimetro di attacco: un singolo breach di un fornitore cloud può esporre milioni di record, come avvenuto in un caso nel 2020 che ha coinvolto decine di enti sanitari. Anche errori di configurazione sono pericolosi: ad esempio database di pazienti lasciati senza password su server online, eventualità non solo teoriche ma riscontrate in più occasioni. Inoltre, la dipendenza da servizi digitali esterni (prenotazioni online, portali pazienti, email certificate) crea nuovi punti deboli: un loro malfunzionamento per attacco o guasto può rallentare o bloccare l’erogazione di prestazioni. L’adozione del cloud e dei servizi digitali richiede accordi rigorosi sui livelli di sicurezza garantiti dai fornitori e controlli continui sulle configurazioni, per assicurare che i dati sensibili restino protetti anche al di fuori del perimetro interno dell’ospedale.
Impatto sulla privacy dei pazienti e sulle operazioni sanitarie
Gli attacchi informatici nel settore sanitario hanno un impatto significativo sia sulla privacy dei pazienti che sull'operatività delle strutture. La violazione della privacy può esporre dati sensibili come diagnosi e terapie, con gravi conseguenze psicologiche e sociali per i pazienti, oltre a rischi di furto d'identità e phishing. Queste violazioni minano la fiducia nel sistema sanitario, spingendo il GDPR a imporre rigide misure di protezione dei dati.
Dal punto di vista operativo, un cyber attacco può interrompere i servizi sanitari essenziali, causando ritardi nelle cure e mettendo a rischio la salute dei pazienti. Incidenti come l'attacco WannaCry al NHS britannico hanno dimostrato come il blocco dei sistemi IT possa paralizzare le strutture sanitarie, evidenziando l'importanza della cybersecurity come componente fondamentale della sicurezza del paziente. Proteggere i sistemi informatici è quindi essenziale per garantire la continuità e la qualità delle cure.
Strategie di protezione e mitigazione
Di fronte a minacce così variegate e ad impatti potenzialmente devastanti, come può il settore sanitario difendersi? La buona notizia è che esistono strategie e tecnologie consolidate per mitigare il rischio cyber, a patto di adottare un approccio proattivo e multilivello. Le strategie efficaci mescolano tecnologia, processi e persone, il tutto sostenuto da adeguati quadri normativi. Di seguito i pilastri per costruire una resilienza cyber in ambito sanitario.
Per rafforzare la cybersecurity nel settore sanitario, è essenziale adottare un framework di sicurezza riconosciuto, come il NIST Cybersecurity Framework (basato su 5 funzioni chiave: Identify, Protect, Detect, Respond, Recover) o la ISO/IEC 27001, che forniscono linee guida strutturate per identificare i rischi e implementare controlli efficaci. Questi framework aiutano a sviluppare politiche coerenti, dall'analisi delle vulnerabilità alla gestione delle patch, fino ai piani di risposta agli incidenti.
Un elemento chiave per difendersi è disporre di sistemi di monitoraggio e risposta attivi 24 ore su 24, per rilevare e reagire tempestivamente alle minacce. La gestione del rischio può essere ulteriormente migliorata attraverso la Threat Intelligence, che consente invece di anticipare le minacce emergenti. Oltre alla semplice rilevazione, bisogna concentrarsi sulla remediation, ovvero l'implementazione di misure correttive per mitigare gli effetti degli attacchi.
Preparare una strategia di cybersecurity e Incident Response è poi cruciale per garantire una risposta rapida ed efficace in caso di incidente. Un altro aspetto da non sottovalutare è la sicurezza della supply chain che consente di assicurarsi che i fornitori rispettino standard di sicurezza elevati per evitare vulnerabilità indirette. È inoltre essenziale avere backup frequenti e piani di continuità operativa per ripristinare i sistemi senza pagare riscatti.
Un altro aspetto fondamentale è la Security Awareness: medici, infermieri e personale amministrativo devono essere formati sui rischi cyber, imparare a riconoscere tentativi di phishing e seguire buone pratiche di igiene digitale (non riutilizzare password, segnalare email sospette, evitare supporti USB non autorizzati). Coltivare una cultura aziendale attenta alla sicurezza è tra le migliori difese.
Infine, è consigliabile nominare figure responsabili, come un Chief Information Security Officer (CISO), e condurre penetration test regolari per individuare punti deboli, prima che lo facciano i cyber criminali. Partecipare a reti di condivisione delle informazioni sulle minacce aiuta a rimanere aggiornati sugli attacchi emergenti e a imparare dalle esperienze altrui.
Normative europee: GDPR, NIS2 ed European Health Data Space
In Europa, le normative svolgono un ruolo cruciale nel rafforzare la cybersecurity sanitaria. Il GDPR impone alle strutture sanitarie di adottare misure di sicurezza rigorose per proteggere i dati personali, con sanzioni severe in caso di negligenza. Parallelamente, la Direttiva NIS2, in fase di recepimento, aggiorna i requisiti di cybersicurezza per il settore sanitario, obbligando le strutture a gestire i rischi informatici e a notificare tempestivamente gli incidenti. Le sanzioni possono arrivare fino a 10 milioni di euro, spingendo le organizzazioni a migliorare le difese.
Il progetto European Health Data Space (EHDS) mira, invece, a creare un framework per la condivisione sicura dei dati sanitari in tutta l'UE, facilitando l'assistenza transfrontaliera e la ricerca. Tuttavia, la sicurezza di questi dati sensibili è fondamentale per evitare che diventino bersagli facili. Per realizzare i benefici promessi, sarà necessario investire in sicurezza informatica, definire standard di interoperabilità e condurre audit rigorosi. Norme e incentivi devono lavorare insieme per garantire che la protezione cibernetica sia parte integrante della missione di cura.
Basta un attimo per trovarsi in un incubo kafkiano
Nel romanzo Il Processo di Franz Kafka, il protagonista si trova invischiato in un sistema giudiziario oscuro e impenetrabile, senza capire quale colpa gli venga attribuita. Allo stesso modo un dirigente sanitario oggi potrebbe sentirsi sopraffatto da un incubo kafkiano: un attacco invisibile che manda in tilt la sua struttura mentre pazienti e medici ne pagano le conseguenze. Eppure, a differenza del protagonista di Kafka, le nostre organizzazioni non sono prive di strumenti per difendersi – a patto di usarli con determinazione e lungimiranza.
La cybersecurity nel settore sanitario non è più un tema per soli tecnici informatici, ma una componente integrante della qualità dell’assistenza e della tutela del paziente. Nell’era in cui la salute passa anche attraverso server, cloud e dispositivi connessi, proteggere questi elementi digitali equivale a proteggere la vita dei pazienti.
Costruire una sanità digitale sicura significa agire su più fronti: monitorare e aggiornare costantemente i sistemi e formare il personale, per ridurre le probabilità che l’attacco riesca, al predisporre piani di emergenza e backup, per contenere i danni se l’attacco avviene, fino a collaborare a livello di sistema-Paese e internazionale condividendo allerte e soluzioni. L’Europa sta mettendo in campo normative e risorse, ma deve continuare a coordinarsi con i partner globali perché i criminali informatici non conoscono confini. In definitiva, riconoscere che il rischio cyber in sanità è reale e critico è il primo passo: solo questa consapevolezza può spingere dirigenti, medici e decisori ad agire prima che sia troppo tardi.
Di Andrea Costantino - Chief Quality Officer, CYBEROO
Fonti esterne consultate
- Clusit presenta il rapporto di metà anno: gli attacchi alla sanità crescono dell’83% - Cyber 4.0
- Strengthening Cybersecurity for Patient Data Protection in Europe - PMC
- ENISA Threat Landscape: Health Sector - Cybil Portal
- NHS cyber-attacks could delay life-saving care and cost millions | Imperial News | Imperial College London
- 2024 Healthcare Data Breach Report
- What is the Cost of a Data Breach in 2023? | UpGuard
- FDA Recalls 465,000 Pacemakers Over Cyber Security Threat
- NIS2 Directive: new rules on cybersecurity of network and information systems | Shaping Europe’s digital future