Era previsto da tempo, e quel tempo è arrivato: l’attacco informatico ai dati sanitari negli ospedali e nelle cliniche italiane è realtà quotidiana.
I dati sanitari sono troppo rilevanti e remunerativi per chi li ruba e le strutture sanitarie troppo poco presidiate e adeguatamente difese: il fenomeno non può che aumentare.
I dati sanitari sono importanti perché sono informazioni preziosissime per le multinazionali farmaceutiche (orientano le loro scelte di marketing), per le assicurazioni (coprono con più consapevolezza il rischio residuo), per le banche (assegnano un mutuo sulla base di un migliore rating), per gli attaccanti stessi (conducono attacchi di phishing, di sostituzione di identità e ricatti a fini estorsivi).
Per farsi un’idea ancor più chiara (e allarmante) della situazione, basta “perdere” 3 minuti del proprio tempo e vedere l’imperdibile video della giornalista/presentatrice Gabanelli, disponibile al link dell’articolo sotto riportato (articolo chiaro e completo, da leggere assolutamente).
Quando viene attaccata una struttura sanitaria gli impatti possono essere davvero devastanti (citati nell’articolo):
- annullamento degli appuntamenti e impossibilità di prenotarne di nuovi;
- furto dei dati sanitari e delle cartelle cliniche (vendute fino a 1.000 dollari ciascuna sul dark web) con conseguenti denunce delle vittime e possibili sanzioni per inadempienze legislative;
- furto di identità dei pazienti (kit di identità che valgono fino a 2.000 dollari sul dark web)
- paralisi completa dei servizi ospedalieri e delle sale operatorie;
- paralisi o rallentamenti della struttura di pronto soccorso.
Davvero allarmante quanto successo in Italia in poco meno di due anni e consultabile nell’articolo:
- Infezione e compromissione della propria rete e del sistema informativo: Ospedale di Bari, Santa Maria Nuova di Reggio Emilia, Azienda Ospedaliera di Caserta, ASL di Roma, ASL di Novara, San Carlo di Varese, Istituto Superiore di Sanità.
- Furto di dati: regione Friuli Venezia Giulia, Gaslini di Genova, Ospedali Riuniti delle Marche
- Server compromessi e in mano degli attaccanti: San Raffaele di Milano, Spallanzani di Roma
- Furto di password: Policlinico Gaetano Martino di Messina
- Attacco informatico: Agenzia Italiana del Farmaco
- Dati crittografati, bloccati con richiesta di riscatto: Servizio sanitario regionale della Toscana, San Giovanni di Roma
Per non parlare poi della Regione Lazio che ha subìto il furto dei dati, il blocco del portale, compromissione interna dei sistemi, blocco dell’erogazione vaccini.
In Italia, in poco più di 2 anni sono state attaccate e danneggiate 35 strutture sanitarie e gli attacchi sono stati condotti con facilità dai pirati informatici, a causa delle vulnerabilità presenti in molte strutture, le cui difese sono spesso inadeguate e impreparate ai moderni e sofisticati attacchi.
Gli ospedali hanno le peggiori performance in termini di investimenti e, per accorgersi di una violazione dei propri sistemi, impiegano una media di 236 giorni. Inoltre, per il ripristino del sistema informatico a seguito di un attacco, le strutture impiegano mediamente 93 giorni (sondaggio Himms 2020), con un costo medio per incidente di 9,23 milioni di dollari (report IBM 2021).