La Direttiva NIS2 segna un punto di svolta fondamentale per la sicurezza informatica delle infrastrutture critiche, tra cui quelle operanti nel settore sanitario, costantemente nel mirino dei criminali informatici. Irrobustire le misure di sicurezza, tuttavia, rappresenta un’azione di accountability fondamentale, a prescindere dal recepimento della Direttiva. Gli attacchi informatici, infatti, sono in costante aumento, così come quelli che vanno a buon fine. Come tutelarsi?
L’healthcare nel mirino dei cybercriminali
In base alle recenti ricerche condotte nel settore della sicurezza informatica (fra cui il report di Hackmanac, società di cybersecurity che gestisce la più grande repository mondiale di cyber attacchi di successo di pubblico dominio), il settore sanitario rappresenta uno di quelli maggiormente colpiti e con un andamento degli incidenti in costante crescita.
Nel corso del 2024, 810 incidenti informatici sono divenuti di pubblico dominio, ovvero il 30% in più rispetto all'anno precedente e il quadruplo rispetto al 2020 e il 2021.
Perché il settore sanitario è tanto colpito?
Le motivazioni alla base dell'elevata incidenza degli attacchi informatici nel settore sanitario sono molteplici e interconnesse. Si tratta di fattori che risultano particolarmente attraenti per gli attaccanti e che contribuiscono a determinare un rischio informatico elevato:
- in primo luogo, i dati sanitari rappresentano un asset ad alto valore economico sul dark web, in quanto più stabili e difficilmente modificabili rispetto, ad esempio, ai dati di pagamento. Le cartelle cliniche elettroniche, infatti, costituiscono oggetto di scambio illecito a fini di frode assicurativa, furto di identità e forme di estorsione o ricatto;
- in secondo luogo, il settore sanitario è spesso caratterizzato da criticità strutturali, fra cui: la gestione decentralizzata dei sistemi IT, l'assenza di policy in materia di sicurezza informatica, l'obsolescenza tecnologica (che si traduce nella presenza di dispositivi medici non aggiornabili e pertanto vulnerabili), la carenza di personale qualificato in materia di sicurezza informatica, la carenza di investimenti nella cybersecurity, la carenza di investimenti nella formazione del personale, etc.;
- in aggiunta, l’adozione crescente di dispositivi medici interconnessi, noti come Internet of Medical Things (I.o.M.T.), ha introdotto nuove opportunità cliniche ma anche superfici d’attacco più estese. Si tratta, ad esempio, di dispositivi quali: holter cardiaci connessi, pacemaker e defibrillatori impiantabili (ICD), pompe per insulina intelligenti, monitor per la misurazione dei parametri vitali, APP per la riabilitazione con biofeedback, sistemi di assistenza domiciliare e di telemedicina. Per funzionare, tali strumenti si appoggiano a reti interne o esterne e su piattaforme “software as a service” – S.a.a.S., spesso fornite da terze parti, che ricevono e trasmettono continuamente dati clinici.
Il caso Episource: attenzione ai servizi S.a.a.S. e alla supply chain
Proprio nei giorni scorsi, Episource LLC, azienda americana che eroga servizi sanitari in modalità “software as a service” – S.a.a.S., ha comunicato pubblicamente le conseguenze di una violazione di sicurezza subita fra la fine di gennaio e l'inizio di febbraio 2025. L’incidente informatico – generato da un attacco ransomware - ha coinvolto quasi 5,5 milioni di persone e comportato la divulgazione sul web di informazioni quali nomi, recapiti, numeri di previdenza sociale, ID Medicaid e cartelle cliniche complete (con diagnosi, risultati dei test, farmaci, immagini, trattamenti, etc.).
In qualità di fornitore business-to-business, Episource agisce come data processor nell’ambito di relazioni contrattuali con compagnie assicurative e operatori sanitari, senza interfacciarsi direttamente con i pazienti. Questo caso evidenzia in maniera esemplare l’efficacia degli attacchi ransomware e le vulnerabilità della supply chain digitale.
Le conseguenze dell’aumento degli incidenti nel settore sanitario
In base ai fattori sopra esposti e alle casistiche di incidenti più rilevanti, si evince che:
- in questo settore più che in altri, gli attacchi hanno una percentuale di successo molto elevata;
- le ripercussioni degli attacchi sono molto gravi.
In Italia, secondo gli ultimi dati di Clusit, associazione Italiana per la Sicurezza Informatica, proprio la severity degli incidenti rappresenta il fattore più preoccupante: nel 2024, il 62% degli incidenti subiti hanno avuto impatti gravi e, nel 38% dei casi, gravissimi. Tra gli effetti più rilevanti si annoverano:
- la compromissione dell’integrità dei dati sanitari, con potenziali alterazioni nei risultati diagnostici o nei piani terapeutici, con conseguenti ripercussioni sulla salute dei pazienti;
- l’interruzione delle prestazioni sanitarie essenziali, che può precludere l’accesso tempestivo alle cure, generando rischi per la vita e la salute di soggetti fragili;
- l’inaccessibilità ai sistemi e dispositivi medici a causa della cifratura o manipolazione dei dati, con conseguenti rallentamenti operativi;
- l’esfiltrazione e la possibile commercializzazione di dati personali e sensibili, con danni reputazionali e patrimoniali per le strutture coinvolte;
- i costi di ripristino delle infrastrutture IT, a carico di aziende sanitarie e amministrazioni regionali, necessari per ristabilire le condizioni minime di sicurezza e operatività.
Come tutelare i dati sanitari? Fra misure obbligatorie e accountability
Un fattore in grado di mitigare, potenzialmente, il rischio cyber nel settore sanitario è rappresentato dal quadro normativo multilivello cui molte organizzazioni sono soggette, che include, tra le principali fonti, la Direttiva (UE) 2022/2555 (NIS2) ed il D.lgs. 138/2024 di recepimento. L’apparato sanzionatorio previsto da tali strumenti giuridici contribuisce a incentivare l’adozione di misure tecniche e organizzative adeguate, fungendo da leva deterrente rispetto a condotte omissive o negligenti nella gestione della sicurezza informatica.
La NIS2, in particolare, rappresenta un rafforzamento sostanziale degli obblighi in materia di cybersecurity per le infrastrutture critiche, molte di queste rientranti nel settore sanitario. I requisiti normativi introdotti impongono l’adozione di un approccio strutturato, basato sulla valutazione continua dei rischi e delle vulnerabilità, sull’implementazione di capacità di prevenzione, rilevamento e risposta alle minacce (inclusa la threat intelligence), nonché sul rafforzamento dei meccanismi di condivisione delle informazioni tra stakeholder pubblici e privati, in un’ottica di innalzamento dell’awareness e di rafforzamento della resilienza collettiva.
Sebbene l’obbligo di recepimento della Direttiva riguardi specificamente le entità rientranti nei criteri dimensionali e settoriali previsti, i principi e le prescrizioni della NIS2 assumono rilievo sistemico e delineano di fatto uno standard di riferimento per l’intero ecosistema sanitario. In ragione dell’elevata esposizione del settore a minacce cibernetiche, nonché della crescente digitalizzazione dei processi clinico-assistenziali, risulta strategico, anche per gli operatori non formalmente inclusi nel perimetro della Direttiva, valutare l’adozione delle misure ivi previste per la gestione degli incidenti, la continuità operativa, la sicurezza della supply chain e la governance della sicurezza informatica.
5 misure di sicurezza fondamentali da considerare
In conclusione, risultano essenziali, per tutte le organizzazioni operanti nel settore sanitario (a prescindere dall’obbligo di recepimento o meno della NIS2) le seguenti cinque misure tecnico-organizzative:
- l’implementazione di un sistema di gestione della sicurezza delle informazioni (ISMS), conforme a standard internazionali (es. ISO/IEC 27001) – questa misura consente non solo la gestione continua dei rischi interni, ma anche la valutazione e il monitoraggio dei fornitori critici, in ottica di prevenzione degli attacchi alla supply chain.
- Segmentazione delle reti e controllo degli accessi privilegiati – per limitare la diffusione laterale di attacchi ransomware o D.D.o.S. all’interno dei domini ospedalieri e sanitari (e quindi limitare la superficie d’attacco in scenari di compromissione).
- Adozione di soluzioni di autenticazione forte (multi-factor authentication) e hardening delle credenziali – alla luce dell’incremento di incidenti basati sul credential stuffing e sull’uso improprio di credenziali compromesse, come indicato nei report operativi dell’ACN, è necessario rendere più robusti i meccanismi di identificazione e accesso.
- Threat intelligence, vulnerability management e patching continuo – ovvero misure che consentano di identificare, classificare e mitigare le vulnerabilità mediante scansioni proattive, preferibilmente basate sulle Common Vulnerabilities and Exposures – CVE (catalogo pubblico di vulnerabilità supportato dal NIST).
- Programmi di awareness, formazione e simulazioni di attacco (es. phishing) – essenziali per ridurre gli errori umani e prevenire che gli attacchi basati su tecniche di social engineering vadano a buon fine.
Secondo Clusit, il fattore umano rappresenta il principale vettore di compromissione. Errori apparentemente banali — come la mancata identificazione di e-mail di phishing o la gestione inadeguata di un attacco in corso — possono avere impatti devastanti sulla riservatezza, integrità e disponibilità dei dati sanitari, nonché sulla continuità operativa dei servizi assistenziali. La formazione continua del personale, modulata in funzione dei ruoli (es. personale sanitario / amministrativo / IT), costituisce una misura fondamentale ai sensi del GDPR ma anche un requisito coerente con le prescrizioni della Direttiva NIS2. Le attività formative dovrebbero includere anche esercitazioni pratiche, simulazioni di attacchi (table-top exercises), nonché spiegazione dei protocolli di escalation / di reazione agli incidenti.
In tale contesto, il DPO deve agire come facilitatore culturale e tecnico, promuovendo il c.d. “security mindset”, che consenta a ogni operatore di percepire la cybersicurezza non come un onere estraneo, ma come un’estensione naturale del proprio dovere professionale.