Sanità: in 7 organizzazioni su 10 è stata interrotta l’assistenza ai pazienti per attacchi cyber

Secondo il report  “Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care 2024” realizzato da Proofpoint, Inc. e Ponemon Institute, il 92% delle organizzazioni intervistate ha subito almeno un attacco informatico negli ultimi 12 mesi, in aumento rispetto all’88% del 2023, e il 69% ha dichiarato di aver dovuto interrompere l’assistenza ai pazienti come conseguenza.

Tra le organizzazioni che hanno subito i quattro tipi di attacchi più comuni - compromissione del cloud, ransomware, supply chain e business email compromise (BEC) - il 56% ha riportato una scarsa qualità di risultati per i pazienti a causa di ritardi nelle procedure e negli esami, il 53% un aumento delle complicazioni nelle procedure mediche e il 28% una crescita del tasso di mortalità dei pazienti, un dato di cinque punti percentuali superiore rispetto allo scorso anno. Questi risultati indicano come le organizzazioni sanitarie fatichino a mitigare i rischi che questi attacchi comportano per la sicurezza e la salute dei pazienti.

Compromissione nell'assistenza ai pazienti

Il report, che ha coinvolto 648 professionisti dell’IT e della sicurezza nelle organizzazioni sanitarie degli Stati Uniti, ha identificato gli attacchi alla catena di approvvigionamento come quelli che hanno la maggiore probabilità di compromettere l’assistenza ai pazienti. Più di due terzi (68%) degli intervistati ha ammesso di aver subito un attacco alla supply chain, e l’82% di questi ha dovuto interrompere l’assistenza ai pazienti, un valore in crescita rispetto al 77% del 2023. La BEC è tra gli attacchi che più probabilmente provocheranno esiti negativi a causa di ritardi nelle procedure e negli esami (69%), seguita dal ransomware (61%), che è stato anche il più probabile responsabile di un allungamento dei tempi di degenza (58%) e di un aumento dei pazienti dirottati o trasferiti in altre strutture (52%).

“Il nostro terzo report annuale è stato condotto per determinare se il settore sanitario sta facendo progressi nella riduzione dei rischi di cybersecurity incentrati sulla persona e delle interruzioni dell’assistenza ai pazienti”, dichiara Larry Ponemon, presidente e fondatore del Ponemon Institute. “Per il terzo anno consecutivo, abbiamo scoperto che i quattro tipi di attacchi analizzati hanno un impatto negativo diretto sulla sicurezza e sulla salute dei pazienti. La buona notizia è che il settore sanitario sembra riconoscere sempre più l’importanza della sicurezza informatica per il trattamento dei pazienti; in media, i budget IT sono aumentati e un numero minore di professionisti li indica come un ostacolo a rendere la postura di sicurezza informatica della propria organizzazione pienamente efficace.”

Altri risultati significativi del report

• I pagamenti di ransomware aumentano, anche se le preoccupazioni al riguardo appaiono minori: Più della metà (54%) degli intervistati ritiene che le proprie organizzazioni siano vulnerabili o altamente vulnerabili a un attacco ransomware, in calo rispetto al 64% del 2023. Le organizzazioni che hanno subito attacchi ransomware (59% degli intervistati) hanno subito una media di quattro attacchi di questo tipo negli ultimi due anni. Sebbene il numero di organizzazioni che hanno pagato il riscatto sia diminuito (36% nel 2024, rispetto al 40% nel 2023), il riscatto pagato è aumentato del 10%, raggiungendo una media di 1.099.200 dollari rispetto ai 995.450 dollari dell’anno precedente.
• App mobili non sicure e compromissione di cloud e account sono considerate le maggiori minacce cyber per le organizzazioni sanitarie: Le preoccupazioni relative alle app mobili non sicure (eHealth) sono aumentate fino a diventare la principale minaccia alla cybersecurity nel settore, passando dal 51% del 2023 al 59% degli intervistati nel 2024. La compromissione di cloud e account è stata la seconda preoccupazione (55%), mentre gli SMS sono stati lo strumento di collaborazione più attaccato (61%), seguiti dalle e-mail (59%). Le organizzazioni sono meno preoccupate per i dispositivi mobili di proprietà dei dipendenti o BYOD.
• Servono ulteriori progressi per ridurre il rischio interno: Più di nove organizzazioni su dieci tra quelle intervistate hanno subito almeno due episodi di perdita o esfiltrazione di dati sensibili e riservati negli ultimi due anni. Il 51% ha dichiarato che una perdita o un’esfiltrazione di dati ha avuto impatto sull’assistenza ai pazienti; di questi, il 50% ha registrato un aumento del tasso di mortalità e il 37% ha subito ritardi nelle procedure e negli esami che hanno portato a esiti negativi. Negli ultimi due anni, le organizzazioni hanno registrato una media di 20 incidenti di questo tipo con i dipendenti come causa principale. I primi tre casi sono stati la negligenza dei dipendenti dovuta al mancato rispetto delle policy (31%), la perdita accidentale di dati (26%) e l’invio di informazioni sensibili (PII e PHI) a un destinatario non previsto tramite e-mail (21%).
• La mancanza di una leadership ben definita è un problema crescente e una minaccia per la sicurezza informatica del settore sanitario: Se il 55% degli intervistati afferma che la mancanza di competenze interne alle organizzazioni è un forte deterrente per raggiungere una solida posizione di sicurezza informatica, la mancanza di una leadership chiara appare come una sfida importante, aumentata significativamente rispetto al 2023, passando dal 14% al 49% degli intervistati. Al contrario, l’insufficienza del budget è dichiarata da un numero minore di intervistati, il 40% rispetto al 47% dello scorso anno.
• I tradizionali programmi di formazione sulla sicurezza basati sulla conformità sono insufficienti: I dipendenti negligenti rappresentano un rischio significativo per le organizzazioni sanitarie. Sebbene un numero maggiore di organizzazioni (71% nel 2024 rispetto al 65% degli intervistati nel 2023) stia adottando misure per affrontare il rischio della mancanza di consapevolezza dei dipendenti sulle minacce alla sicurezza informatica, resta il dubbio che tali misure siano davvero efficaci. Quasi tre intervistati su cinque (59%) dichiarano di svolgere regolarmente programmi di formazione e sensibilizzazione.
• AI e machine learning nell’assistenza sanitaria: Per la prima volta è stato analizzato l’impatto dell’AI sulla sicurezza e sull’assistenza ai pazienti. Più della metà (54%) degli intervistati afferma che le proprie organizzazioni fanno uso di intelligenza artificiale nella sicurezza informatica (28%) o l’hanno integrata sia nella sicurezza informatica che nell’assistenza ai pazienti (26%). Il 57% di questi intervistati afferma che l’AI è molto efficace per migliorare la sicurezza informatica delle organizzazioni e più di un terzo (36%) utilizza AI e apprendimento automatico per comprendere il comportamento umano.

“Un approccio efficace alla cybersecurity, incentrato sul blocco degli attacchi mirati alla persona, è fondamentale per le istituzioni sanitarie, non solo per proteggere i dati riservati dei pazienti, ma anche per mantenere la massima qualità delle cure mediche”, aggiunge Ryan Witt, presidente dell’Healthcare Customer Advisory Board di Proofpoint. “Questo report sottolinea come la sicurezza informatica vada di pari passo con la sicurezza del paziente: proteggere i sistemi sanitari e i dati medici dagli attacchi informatici è fondamentale per garantire la continuità delle cure ai pazienti ed evitare l’interruzione dei servizi critici. E se la consapevolezza della sicurezza è fondamentale, la promozione di un cambiamento di comportamento duraturo attraverso programmi personalizzati per ruoli e responsabilità specifiche contribuirà a sostenere sia la sicurezza organizzativa che quella dei pazienti.”