Sono dati allarmanti quelli che arrivano dagli esperti del settore in merito alle conseguenze degli attacchi cyber alle strutture sanitarie pubbliche italiane. Stando all’articolo pubblicato da Guerre di Rete[1], newsletter italiana in ambito sicurezza informatica, “solo negli ultimi due mesi del 2023 sono stati diffusi oltre 1,5 terabyte di dati sanitari (circa due milioni di file) sottratti a diverse strutture del nostro Paese”.
Parliamo di “cartelle cliniche, fotografie di pazienti affetti da tumori cutanei, referti di abusi sessuali, esami per le malattie ereditarie, liste dei vaccinati al Covid-19”. Alcuni file contengono anche i riferimenti precisi del paziente, come nome, cognome e data di nascita. Anche “di persone che sono state assistite dai centri di salute mentale, o dai servizi per le dipendenze patologiche”.
Un vero e proprio disastro di cui i cittadini sembrano non essere pienamente consapevoli e di cui la stessa classe politica sembra faticare a comprenderne l’impatto e le conseguenze.
Da più voci sono arrivati allarmi a tal proposito: la Pubblica Amministrazione italiana sembra avere grosse criticità in termini di risorse da dedicare alla sicurezza informatica, sia sotto il profilo delle competenze che del personale da dedicarvi.
Come spiega a Guerre di Rete Gianluca Galasso, capo del servizio operazioni dell’Agenzia Cybersicurezza Nazionale (il grassetto è nostro): “I cybercriminali fanno leva in primis sull’urgenza di riattivare i servizi erogati dalle strutture sanitarie, particolarmente critici. Una loro interruzione, anche solo per brevissimo tempo, causa impatti gravissimi sulla salute dei cittadini” […] puntando “sul grave danno, non solo reputazionale, che deriverebbe dalla pubblicazione dei dati che trattano, tra i più delicati in assoluto”.
Sempre Galasso sottolinea come “Gli attaccanti sfruttano le fragilità dei sistemi per eseguire attacchi che si sviluppano in tempi anche piuttosto rapidi. Ciò accade perché le infrastrutture informatiche del settore sanitario presentano diffuse criticità di natura sia tecnica sia organizzativa, che le rendono intrinsecamente deboli.”.
Per finire, Galasso precisa, in merito agli attacchi, che a “queste mancanze di natura tecnico-procedurale si affiancano, spesso, lacune di tipo organizzativo che impediscono lo sviluppo di un percorso finalizzato al continuo innalzamento della protezione dei sistemi. Mi riferisco, in particolare, a una carenza nella governance, che ponga la dovuta attenzione alla sicurezza dei sistemi, a una eccessiva frammentazione nell’utilizzo di tecnologie e fornitori di servizi di sicurezza, che spesso genera aree di sovrapposizione lasciandone altre scoperte, e a una cronica carenza di personale specializzato esperto”.
Non c’è molto altro da aggiungere, se non stimolare i Dirigenti e la classe Politica ad attivarsi in questo senso, investendo prima di tutto nelle competenze, attraverso la formazione e il personale specializzato.
Ahoy!
Siena Pirata
[1] https://www.guerredirete.it/i-dati-sanitari-di-migliaia-di-italiani-sono-ormai-online/
