sicurezza informatica

Sanità sotto attacco cyber: cinque strategie per una difesa efficace



Indirizzo copiato

Il settore sanitario è il più colpito da attacchi ransomware, con costi medi di 10 milioni per violazione. Ecco le raccomandazioni essenziali per rafforzare la cybersecurity nelle strutture sanitarie

Pubblicato il 28 gen 2025

Elisa Lavagna

Director, Cybersecurity, Data and Privacy, Milano

Mark Seifert

Partner, Cybersecurity, Data and Privacy Global Co-Lead, Washington, D.C.



La patient experience come indicatore della validità ed efficacia dei sistemi sanitari

Nell’ultimo anno, le aziende sanitarie hanno segnalato più attacchi ransomware rispetto a qualsiasi altro settore di infrastrutture critiche. La sanità ha anche registrato i costi medi più alti per violazione dei dati: circa 10 milioni di dollari per incidente. Basandoci sull’esperienza maturata dal nostro team globale di Cybersecurity, Data and Privacy nella gestione di numerosi incidenti che hanno colpito fornitori di servizi sanitari, compagnie assicurative, ospedali, farmacie, e altre realtà, riportiamo di seguito le nostre cinque principali raccomandazioni per i dirigenti del settore sanitario.

Calibrare i piani di risposta agli incidenti in base al proprio ruolo nella catena di fornitura sanitaria

La vicinanza dell’azienda all’assistenza diretta ai pazienti è un fattore chiave nella strategia di risposta agli incidenti. Garantire la sicurezza dei pazienti e l’accesso alle cure sono considerazioni fondamentali in qualsiasi incidente di cybersecurity che colpisca il settore sanitario. Anche se la vostra azienda non ha un ruolo diretto nell’assistenza ai pazienti, la strategia di risposta agli incidenti dovrebbe anticipare i potenziali effetti a valle, nonché le esigenze dei fornitori, affinché le problematiche dei pazienti possano essere affrontate nel modo più efficace possibile.

Allinearsi sulla sequenza raccomandata di informazioni e testarla attraverso simulazioni di crisi

La complessità delle relazioni all’interno dei sistemi sanitari complica ulteriormente la comunicazione di aggiornamenti. Durante una violazione, le organizzazioni sono giudicate in base alla loro capacità di fornire informazioni accurate e in modo rapido ai principali destinatari. Tuttavia, i sistemi sanitari sono costruiti su relazioni estremamente complesse. All’interno di un ospedale, ad esempio, è necessario considerare l’ordine con cui comunicare con i capi dipartimento, i medici, i praticanti, gli infermieri, il personale di supporto e i fornitori, nonché gli altri interlocutori esterni, in linea con il sistema di gestione degli incidenti dell’azienda . Anche i fornitori terzi e i fornitori di servizi, che supportano l’infrastruttura sanitaria, devono mappare la loro rete di clienti, in modo da sapere quando e come raggiungerli in caso di incidente. E’ fondamentale quindi prepararsi in anticipo attraverso lo sviluppo di piani di comunicazione di crisi cyber che includano le linee guida di risposta e i messaggi per ogni stakeholder chiave, interno ed esterno all’organizzazione, e testare il top management attraverso simulazioni di crisi ad hoc per verificare la capacità di resilienza complessiva.

Il rapido progresso dell’intelligenza artificiale, inoltre, ha aumentato, la diffusione di deepfake che rappresentano una reale minaccia nell’ambito della sicurezza informatica in quanto posso causare gravi conseguenze tra cui frodi finanziarie e crimini informatici ma anche disinformazione sistematica e danneggiamento della reputazione. Occorre prepararsi a gestire tali minacce dotandosi di un protocollo aziendale capace di contrastare i deepfake che includa un sistema di monitoraggio avanzato, piani di comunicazione su misura e contro narrative,  best practice e formazione interna.

Creare più soluzioni alternative per accedere ai sistemi e ai dati critici

Le interdipendenze amplificano l’effetto negativo delle interruzioni operative dovute ad un attacco cyber. La responsabilità della sanità non è infatti nelle mani di una singola azienda. La presenza di numerose dipendenze tra enti e aziende nel sistema sanitario comporta che l’intero sistema è tanto forte e sicuro quanto lo è il suo anello più debole. I sistemi sanitari riuniscono aziende di tutte le dimensioni e livelli di maturità tecnologica. Anche se la vostra società ha adottato misure per rafforzare la propria sicurezza e resilienza della rete, la vostra capacità di fornire servizi critici potrebbe essere a rischio se si verifica un incidente di cybersecurity in qualsiasi altro punto della catena di fornitura sanitaria.

Rivedere i passaggi che la vostra società sta intraprendendo per proteggere i dati dei pazienti prima che si verifichi una crisi

Le violazioni dei dati dei pazienti possono avere conseguenze gravi. I dati dei pazienti sono personali, sensibili e variano ampiamente, dai registri di pagamento alle diagnosi, ai piani di trattamento e alle immagini mediche. Le violazioni dei dati possono causare danni emotivi significativi ai pazienti e danni reputazionali alle istituzioni.

Recentemente, una rete ospedaliera statunitense ha pagato 65 milioni di dollari per risolvere una causa collettiva intentata a seguito di una violazione dei dati in cui i criminali informatici hanno pubblicato immagini di pazienti oncologici nudi sul dark web. Esempi come questo dimostrano come i criminali informatici stiano utilizzando i dati sanitari e altri dati sensibili come armi. Man mano che vengono divulgati più dati dei pazienti, aumentano i rischi di uso improprio intenzionale e non intenzionale degli stessi. Le risorse di supporto tradizionali come il monitoraggio del credito e le protezioni contro il furto di identità non affrontano il carico emotivo di una violazione. È fondamentale quindi rivedere regolarmente i dati in possesso della propria azienda e crittografare i dati sensibili, sia archiviati che in via di condivisione.

Interagire con gli enti governativi anche oltre all’aspetto regolatorio

È molto importante mantenere una linea di comunicazione aperta con le agenzie governative durante il processo di indagine e notifica regolamentare, e prepararsi ad un dialogo approfondito con le stesse.

I governi non sono solo responsabili della regolamentazione del settore sanitario, ma svolgono anche un ruolo critico nel finanziare i programmi di sanità pubblica e nel fornire assistenza ai dipendenti governativi, ai membri delle forze armate e ai veterani. Sebbene vi siano importanti differenze tra il sistema statunitense e i sistemi sanitari nazionali consolidati in tutto il mondo, tutte le aziende del settore sanitario dovrebbero essere pronte a interagire con molte autorità governative a livello nazionale e locale durante una violazione. Un coinvolgimento diretto delle autorità aiuta a limitare eventuali sorprese nel modo in cui le agenzie e i loro leader presentano e definiscono gli incidenti informatici pubblicamente.

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Social
Video
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4