Cybersecurity in sanità, un’esigenza di protezione sempre più necessaria
Nel contesto attuale, il panorama del rischio cyber per il settore sanitario si evolve rapidamente, come confermato dai dati dell’ultimo Operational Summary dell’Agenzia per la Cybersicurezza Nazionale (ACN). Solo nel mese di agosto 2024, sono stati registrati 122 eventi cyber in Italia, di cui 41 classificati come incidenti confermati. Le strutture sanitarie, essendo custodi di dati sensibili, rimangono tra i target principali per minacce quali attacchi ransomware e Distributed Denial of Service (DDoS). Questi attacchi possono paralizzare interi ospedali, interrompendo servizi essenziali e mettendo a rischio la vita dei pazienti.
I punti chiave della direttiva NIS2
Il report evidenzia come le tecniche di attacco stiano diventando sempre più sofisticate, richiedendo alle strutture sanitarie non solo di adottare misure preventive avanzate, ma anche di formare costantemente il personale per aumentare la consapevolezza dei rischi. Inoltre, il panorama normativo si è progressivamente adattato, con normative stringenti come la Direttiva NIS2, che impone requisiti rigorosi per la protezione delle infrastrutture critiche, tra cui ospedali e cliniche. La Direttiva, inoltre, prevede che entro il 17 ottobre 2024, la Commissione adotti atti di esecuzione che stabiliscono i requisiti tecnici e metodologici per una gestione avanzata del rischio attraverso una serie di politiche e procedure specifiche. Tra queste si includono:
- analisi dei rischi e sicurezza dei sistemi informativi e di rete;
- gestione degli incidenti e notifica degli stessi;
- continuità operativa, che prevede gestione dei backup e ripristino in caso di disastri;
- sicurezza della catena di approvvigionamento e dei rapporti con i fornitori;
- sviluppo sicuro dei sistemi informativi;
- valutazione continua dell’efficacia delle misure di sicurezza.
Sono incluse anche pratiche di igiene informatica, obblighi di formazione per i dirigenti, e l’uso di crittografia e autenticazione a più fattori per proteggere le comunicazioni e gli accessi. Queste misure mirano a garantire una maggiore resilienza e sicurezza operativa per le organizzazioni critiche, come le strutture sanitarie.
Il valore aggiunto del prodotto assicurativo di Relyens
Tenendo conto dell’urgenza di proteggere il settore sanitario sotto il profilo del rischio cyber e della sua ancora scarsa resilienza, oltre alla copertura finanziaria in caso di incidenti cyber, Relyens ha istituito un servizio di assistenza continuativo, attivo 24/7 in lingua italiana, per la gestione degli incidenti. Questo servizio è supportato da un team multidisciplinare composto da esperti di sicurezza informatica, legali specializzati in data breach e consulenti di comunicazione di crisi. In caso di un attacco ransomware, ad esempio, la polizza garantisce anche una immediata notifica alle autorità competenti, oltre a occuparsi del ripristino del sistema compromesso, del recupero dei dati crittografati e dell’adozione di misure di contenimento per limitare l’impatto dell’incidente. Inoltre, l’assicurazione copre i costi relativi all’intervento di consulenti esterni, come forensic analysts e communication managers, che aiutano le strutture a gestire l’aspetto mediatico di un data breach, riducendo i danni reputazionali.
La componente formativa, erogata dai cyber risk manager, è un altro elemento chiave della gestione del rischio cyber da parte di Relyens: le strutture sanitarie hanno così accesso a percorsi di formazione continua e strumenti di valutazione specifici che consentono di prevenire futuri attacchi e migliorare le pratiche di sicurezza.
L’audit preliminare, un elemento chiave nella strategia assicurativa cyber
Relyens, consapevole della volatilità del mercato informatico e le sue minacce, ha aggiornato il proprio prodotto assicurativo per rispondere alle specifiche esigenze del settore sanitario. Il processo assuntivo inizia con un audit preliminare altamente personalizzato, che include un’analisi approfondita dei sistemi informatici e delle infrastrutture sanitarie, una verifica non solo dello stato delle vulnerabilità tecniche, ma anche del livello di consapevolezza del rischio cyber tra il personale, dagli amministratori IT fino agli operatori sanitari.
Il questionario è strutturato per comprendere eventuali vulnerabilità critiche come l’adozione di backup giornalieri, la segregazione dei dati sensibili, l’uso di autenticazioni multifattoriali e la gestione degli accessi privilegiati. Come assicuratore, abbiamo dei requisiti minimi che devono essere soddisfatti per poter assicurare una specifica struttura; qualora così non fosse, Relyens fornisce linee guida e interventi formativi per migliorare la resilienza dell’organizzazione e condurli ad una assicurabilità. Questo modus operandi consente a Relyens, come assicuratore, di controllare e gestire i rischi dei propri Associati in modo puntuale; allo stesso modo permette, alle strutture che intendono sottoscrivere anche un’assicurazione, di adottare misure più adeguate e necessarie per proteggersi da minacce cyber sempre più sofisticate e recidive.