Sistemi operativi non supportati o obsoleti, scarsi livelli di protezione per i dispositivi medici, insufficiente monitoraggio dei rischi per le infrastrutture sanitarie e i macchinari diagnostici. E’ questo lo scenario che mette a rischio la sicurezza della sanità italiana. La denuncia parte dagli IT manager italiani, secondo i quali nonostante l’aumento di attacchi hacker al settore l’efficienza per le attività di risposta è al 49%.
Emerge dallo studio “Healthcare Cybersecurity” realizzato da Bitdefender (e presentato all’Healthcare Security Summit 2021 di Clusit) intervistando i responsabili delle decisioni IT nell’ambito della sicurezza informatica in strutture sanitarie pubbliche (85%) e private (15%), per valutare livello di efficienza e lacune per il raggiungimento della completa efficienza.
“La maggior parte delle organizzazioni sanitarie – dice Denis Valter Cassinerio, Regional Sales Director Sud Europa di Bitdefender – sta cercando di esternalizzare parte delle operazioni di cybersecurity come sottolinea il 79% degli intervistati”.
Insufficienti tecnologie e competenze
Lo studio, si legge in una nota, “evidenzia rilevanti criticità sia in termini tecnologici che di competenze: rilevazione degli attacchi (44%), cultura (44%) e competenze (46%) sono i punti più deboli tra tutti i fattori presi in esame”.
Per contrastare la vulnerabilità ai cyberattacchi, Bitdefender ritiene che le organizzazioni nell’ambito della sanità debbano garantire sei fattori principali: protezione, rilevamento, risposta, competenze, budget, organizzazione, cultura e leadership.
Secondo gli intervistati, i parametri più efficienti sono l’uso di soluzioni per la protezione degli endpoint (74%), la visibilità sugli asset da proteggere (67%) e l’uso di una soluzione per la gestione delle password (66%).
Le principali lacune sono legate all’uso di sistemi operativi non supportati o obsoleti come sostiene il 64% degli intervistati e la mancanza di adeguati livelli di protezione per i dispositivi medici secondo i regolamenti Ue, sottolineato dal 59% dei partecipanti.
“Bocciata” l’efficacia del rilevamento
In tutti gli aspetti presi in considerazione per un rilevamento efficiente, le percentuali non raggiungono mai la sufficienza. Gli attuali strumenti di rilevamento in ambito Endpoint Detection and Response e Advanced Persistent Threat sono considerati efficienti solo per il 53% degli intervistati. Evidenti le difficoltà anche nel determinare la fonte dell’attacco, individuata solo nel 43% dei casi.
Inoltre vengono rilevate criticità anche sul monitoraggio costante dei rischi per le infrastrutture sanitarie e i macchinari diagnostici che nel 67% dei casi non viene eseguito; sul monitoraggio della visibilità dei livelli di rischio dell’organizzazione effettuata (41% degli intervistati); sull’utilizzo di strumenti di analisi del rischio impiegati solo nel 43%.
Poche simulazioni di attacco
Le principali lacune sono legate al fatto di non avere un Security Operation Center (67%), non eseguire abbastanza simulazioni di attacchi per comprendere dove rafforzare i processi di resilienza (63%) e non avere piena visibilità sulla catena degli attacchi (59%).
Secondo gli intervistati, per il fattore competenze, gli aspetti più efficienti si riferiscono all’impiego di esperti esterni se necessario (67%) e al basso turnover dei dipendenti (66%).
Il nodo delle skill
Il report sottolinea l’insufficienza del personale specializzato in cybersecurity denunciata dal 74% degli intervistati, il conseguente sovraccarico di lavoro a cui è sottoposto il personale attuale (64%) e la difficoltà nel reperire personale qualificato attraverso nuove assunzioni (64%).
Inoltre, secondo i responsabili IT, una serie di difficoltà sono legate al fatto di non avere un budget dedicato alla cybersecurity determinato in funzione dell’analisi del rischio e basato sul ritorno sugli investimenti in sicurezza come evidenzia il 60% degli intervistati. A queste, si somma l’incapacità di guidare i cambiamenti necessari con il budget attuale, come sottolineato dal 53% degli intervistati.
Assenza di leadership
L’efficienza complessiva per organizzazione, cultura e leadership è al 44%, stando al report. Secondo gli intervistati, gli aspetti più efficienti in questa categoria si riferiscono all’includere la cybersecurity ogni volta che si introducono nuove soluzioni IT (61%) e al supporto delle normative vigenti in termini di adozione delle tecnologie per la sicurezza informatica (54%).
In questo ambito emergono però anche mancanze legate all’assenza di formazione di leadership nella cybersecurity per le funzioni chiave dell’organizzazione (70%), all’insufficiente riconoscimento del rischio di cybersecurity da parte del consiglio di amministrazione (70%) e al non sentirsi supportati dal governo per migliorare il livello di cybersecurity (66%).
Secondo gli intervistati, tra tutti i sei fattori chiave richiesti per la cybersecurity, il più efficiente, con risultati comunque sotto la soglia della sufficienza, è attualmente la protezione (57%) seguita dal budget (53%). Tutti gli altri quattro fattori sono a meno di metà strada verso la completa efficienza. Il divario maggiore è riportato per rilevamento (56%) e organizzazione, cultura e leadership (56%) e competenze (54%).