8 Settembre 2023
Claroty, piattaforma leader nell’ambito della cybersecurity, ha pubblicato i risultati del “Global Healthcare Cybersecurity Study 2023”, un sondaggio condotto su 1.100 professionisti della sicurezza informatica, ingegneria, IT e networking provenienti da aziende del settore sanitario. Lo studio fornisce una panoramica dell’esperienza con gli incidenti di sicurezza informatica nell’ultimo anno, dello stato dei programmi di sicurezza e le priorità future.
I risultati del sondaggio parlano chiaro e mostrano che le aziende sanitarie si trovano a dover affrontare un numero sempre più elevato di sfide che richiedono di assegnare un livello di priorità più alto alla sicurezza informatica e alla conformità. Secondo lo studio il 78% degli intervistati ha subito almeno un incidente legato alla sicurezza informatica nell’ultimo anno; il 47% ha citato almeno un incidente riguardante i sistemi cyber-fisici, come dispositivi medici e sistemi di gestione degli edifici; il 30% ha dichiarato che sono stati colpiti dati sensibili, come le informazioni sanitarie protette; oltre il 60% ha riferito che gli incidenti hanno avuto un impatto moderato o sostanziale sull’erogazione delle cure, mentre il 15% ha subito un impatto grave che ha compromesso la salute e/o la sicurezza del paziente.
Un dato sorprendente è che tra gli intervistati che sono stati colpiti da un attacco ransomware, più di un quarto ha dichiarato di aver pagato il riscatto. Un altro dato degno di nota è che più di un terzo degli intervistati, nell’ultimo anno, ha dovuto sostenere costi per oltre 1 milione di dollari per incidenti legati alla sicurezza.
“Il settore sanitario, dal punto di vista della sicurezza informatica, deve superare ancora molti ostacoli, come una superficie di attacco in rapida espansione, una tecnologia legacy obsoleta, vincoli di budget e un’importante carenza, a livello globale, di talenti informatici”, ha commentato Yaniv Vardi, CEO di Claroty. “La ricerca da noi condotta dimostra come le aziende sanitarie abbiano la necessità di ricevere pieno supporto dall’industria informatica e degli organismi di regolamentazione per proteggere i dispositivi medici dalle crescenti minacce e garantire la sicurezza dei pazienti”.
L’aumento degli standard e delle normative ha contribuito a promuovere una maggiore sicurezza informatica, ma c’è ancora molto lavoro da fare: quasi il 30% degli intervistati ha affermato che le attuali politiche e normative governative non sono sufficienti a prevenire le minacce o che andrebbero almeno in parte riviste in tal senso; NIST e HITRUST Cybersecurity Frameworks sono stati indicati dalla maggior parte degli intervistati come importanti per le aziende; il 44% cita gli sviluppi normativi, quali la segnalazione obbligatoria degli incidenti, come il fattore esterno più influente sulla strategia di sicurezza complessiva di un’organizzazione. Secondo lo studio, inoltre, la carenza di competenze informatiche rappresenta ancora una delle principali sfide da affrontare: oltre il 70% delle organizzazioni sanitarie è alla ricerca di professionisti che ricoprano ruoli legati alla sicurezza informatica; l’80% degli intervistati, però, afferma che è difficile trovare candidati qualificati, che abbiano le competenze e l’esperienza necessarie per gestire correttamente la sicurezza informatica di una rete sanitaria.