Pubblichiamo l’intervista con la dott.ssa Nunzia Ciardi, Vicedirettore generale dell’Agenzia per la Cybersicurezza Nazionale (ACN).
Qual è la missione dell’Agenzia per la Cybersicurezza Nazionale (ACN)? E quali i principali risultati sinora conseguiti?
L’ACN, istituita a tutela degli interessi nazionali nel campo della cybersicurezza, è l’Autorità nazionale per la cybersicurezza e, in relazione a tale ruolo, assicura il coordinamento, a livello nazionale, tra i soggetti pubblici coinvolti in materia di cybersicurezza e promuove la realizzazione di azioni comuni volte a garantire la cybersicurezza e la resilienza nazionale nello spazio cibernetico per una digitalizzazione sicura del Paese. Prendendo a riferimento la Relazione annuale al Parlamento 2023 – documento con il quale l’ACN informa annualmente le Camere delle attività svolte in materia di cybersicurezza nazionale –, nell’adempimento delle funzioni istituzionali ad essa attribuite dal legislatore, l’Agenzia ha operato su un ampio arco di attività, che va dalla prevenzione e gestione di eventi e incidenti cyber – si parla di 1.411 eventi cybertrattati dal CSIRT Italia, per una media di circa 117 al mese, con 44 interventi a supporto della vittima[1] – alla formazione e consapevolezza (con particolare attenzione proprio al settore sanitario, come vedremo più avanti), passando per resilienza delle infrastrutture digitali e sicurezza tecnologica – tra cui, attività di scrutinio tecnologico, contributi in materia di Golden Power, ispezioni e verifiche, investimenti PNRR (come noto, l’ACN è Soggetto Attuatore dell’Investimento 1.5 “Cybersecurity”, che prevede una dotazione di 623 milioni di euro) – con interventi di potenziamento della resilienza cyber per la PA e per lo sviluppo di servizi cyber nazionali quali, ad esempio: rete di CSIRT regionali, HyperSOC, ISAC Italia e ISAC regionali –, cooperazione internazionale (sia in àmbito unionale, che bilaterale e multilaterale), ricerca e innovazione.
La sicurezza dei sistemi e delle infrastrutture informatiche è un’esigenza particolarmente avvertita in àmbito sanitario. Qual è il livello della cultura della cybersicurezza nel Servizio Sanitario Nazionale?
Come evidenziato dal report “La minaccia cibernetica al settore sanitario”[2], redatto a cura dell’ACN, le analisi sugli incidenti hanno mostrato che, spesso, i tentativi di attacco hanno avuto successo a causa della mancata o scorretta attuazione delle pratiche di sicurezza. Ciò è frutto, nella maggior parte dei casi, come rilevato anche nel report, di una non sufficiente attenzione agli aspetti di cybersicurezza e/o di una carenza di formazione specifica. La diffusione della cultura della cybersicurezza nel settore sanitario è, dunque, una delle nostre principali priorità, ma le sfide sono molteplici e diversificate: come abbiamo rilevato, la consapevolezza sulla sicurezza informatica non è ancora sufficiente, e si riscontrano lacune nella formazione del personale riguardo ai rischi cyber. Spesso, infatti, il personale sanitario non è adeguatamente addestrato per gestire le minacce informatiche – come phishing, malware o ransomware – che possono compromettere la disponibilità e l’integrità dei dati clinici, oltre che, chiaramente, la riservatezza degli stessi, con tutto ciò che ne consegue in termini di potenziale impossibilità di fornire cure adeguate ai pazienti e protezione ai loro dati personali e sensibili. La diffusione e metabolizzazione di una cultura della cybersicurezza è, pertanto, in via generale, uno dei pilastri fondamentali per assicurare la cybersicurezza e la resilienza nazionale nello spazio cibernetico e, in quanto tale, “fattore abilitante” per il raggiungimento degli obiettivi della Strategia Nazionale di Cybersicurezza[3]. Il che, come abbiamo detto, è quanto mai vero per un settore delicato e sensibile come quello sanitario, particolarmente appetibile per i cybercriminali in virtù della natura dei dati trattati (che, come vedremo nel prosieguo, possono arrivare ad avere un elevato valore economico sul mercato nero dei dati) e della speciale criticità dei servizi forniti. In considerazione di ciò, in linea con il proprio mandato istituzionale, l’ACN è particolarmente impegnata sul fronte della formazione e della consapevolezza cyber. A tale riguardo, l’Agenzia svolge e promuove iniziative concrete, tra cui, per citare una delle più recenti, in quanto rivolta proprio al settore sanitario, una campagna di sensibilizzazione nazionale a favore delle aziende sanitarie locali (alle quali afferiscono numerose strutture ospedaliere, presidî e servizi sanitari essenziali per i territori di riferimento), volta a rendere capillare la diffusione della consapevolezza cyber e la conoscenza delle linee guida operative specifiche per il settore. I primi due appuntamenti della campagna – a cui seguiranno altri analoghi eventi, fino a toccare ogni Regione italiana –, hanno interessato la Regione Lazio (20 settembre) e la Regione Lombardia (17 ottobre), coinvolgendo autorità nazionali e locali, il quadro dirigente della sanità regionale pubblica, nonché i referenti e i responsabili per la cybersicurezza delle strutture sanitarie private accreditate.
Il mondo della sanità e della salute è articolato in diversi livelli e in svariate tipologie di operatori. Quali sono i soggetti più “attaccati” e quelli più a rischio?
Negli ultimi anni, la crescente digitalizzazione e interconnessione dei servizi sanitari, estendendo fortemente la potenziale superficie di attacco e le reciproche interdipendenze, ha reso ancor più impellente la necessità di proteggere dati sensibili dei pazienti e infrastrutture critiche da potenziali attacchi informatici. Come evidenziato poc’anzi, i dati sanitari sono particolarmente appetibili per i cybercriminali, principalmente a causa della loro sensibilità e del loro valore sul mercato nero dei dati, che, secondo alcune stime, può arrivare a superare persino quello delle carte di credito. Le strutture sanitarie, oltre che per la natura “supersensibile” dei dati trattati, rappresentano un settore particolarmente esposto ad attacchi cyber anche per la qualità e criticità dei servizi forniti. Si pensi, per fare un esempio tratto da alcuni casi recenti, alle Aziende sanitarie locali, in cui, per rendere conto della potenziale scala di impatto, possono rientrare più ospedali e/o presidî sanitari, e tutti i dati sensibili che questi ultimi custodiscono e trattano, con ricadute che vanno ben oltre il singolo soggetto colpito. È evidente, dunque, come in questi casi un attacco cibernetico – ad esempio, un ransomware contro un ospedale – possa avere effetti a cascata su molti altri soggetti e settori, con gravi conseguenze per la società, oltre che per i pazienti.
La Direttiva NIS2 ha introdotto nuovi standard di sicurezza e nuovi obblighi di compliance. Quali barriere e quali resistenze potrebbe incontrare la sua attuazione in àmbito sanitario?
Anche in ragione della sensibilità del settore, anticipando in parte il recepimento della NIS2, nel giugno scorso il legislatore nazionale ha approvato una norma in materia di cybersicurezza, la legge n. 90/2024, che, tra le altre cose, ha esteso gli obblighi di notifica e segnalazione degli incidenti anche alle Aziende sanitarie locali (di cui abbiamo già sottolineato l’importanza per i territori di riferimento), presidiandoli altresì con specifiche sanzioni. Inoltre, la stessa norma ha previsto l’istituzione, presso i medesimi soggetti interessati dall’estensione degli obblighi di notifica (ovvero, nel caso di specie, le ASL), laddove non già presente, di una struttura preposta alle attività di cybersicurezza e la nomina di un referente per la cybersicurezza. Il referente, in particolare, deve essere individuato in ragione di specifiche e comprovate professionalità e competenze in materia di cybersicurezza e svolge anche la funzione di punto di contatto unico con l’ACN, a cui ne va comunicato il nominativo. La direttiva NIS2, recepita con il D.Lgs. n. 138/2024, infatti, pone particolare attenzione al settore sanitario, collocato tra quelli “ad alta criticità”. Ciò implica, in capo ai soggetti che ricadranno nell’ambito di applicazione della NIS2, il rispetto dei relativi obblighi e misure di sicurezza cibernetica, tra cui obblighi di notifica, misure di gestione dei rischi e uso di schemi di certificazione della cybersicurezza. L’ACN, per agevolare e favorire la compliance con gli obblighi discendenti dalla nuova normativa, ha lanciato una campagna di sensibilizzazione sulla NIS2 a favore di Pubbliche amministrazioni e imprese, che si concluderà con un evento, il 27 novembre, a Roma, presso la Sapienza Università di Roma, durante il quale ne verranno approfondite e discusse implicazioni e sfide[4].
Considerato che l’Italia è particolarmente esposta agli attacchi informatici, con riferimento al settore sanitario, potrebbe riferire esempi significativi di attacchi informatici avvenuti nel nostro Paese?
Il settore sanitario è, come abbiamo detto, un settore particolarmente critico sia per i servizi essenziali forniti, sia per i dati estremamente sensibili trattati. Le conseguenze, ad esempio, di un attacco ransomware contro una struttura sanitaria possono essere gravi e molteplici: dal blocco delle sale operatorie a quello delle terapie intensive, passando per radioterapie, trasfusioni e visite specialistiche, nonché l’esfiltrazione e vendita sul Dark Web di dati sanitari e cartelle cliniche. Secondo le rilevazioni dell’ACN [fonte:La minaccia cibernetica al settore sanitario], in Italia, da gennaio 2022 si sono verificati una media di 2 eventi cyber al mese ai danni di strutture sanitarie, con un aumento del 50% degli eventi cyber a danno del settore sanitario nel periodo 2022-2023. Con specifico riferimento al ransomware – che rappresenta la minaccia cyber più diffusa per il settore sanitario (43% degli incidenti nel 2023) –, nel 2023 l’Agenzia ha registrato 11 attacchi significativi, evidenziando un aumento del 22% rispetto al 2022, tendenza in crescita confermata dai dati del 2024, nei cui primi nove mesi sono stati registrati 8 eventi di tipo ransomware. Questo fenomeno, tuttavia, anche in virtù della crescente digitalizzazione e della conseguente estensione della potenziale superficie di attacco, non caratterizza soltanto il nostro Paese, ma, come si evince dai dati, tutte le realtà più avanzate: nel 2023, l’Italia è risultata il terzo Paese Ue (dopo Germania e Francia) e il sesto a livello globale più colpito da ransomware (dopo Stati Uniti, Regno Unito, Canada, Germania e Francia) [fonte:Relazione annuale al Parlamento 2023]. E ciò è vero anche per il settore sanitario, il quale, a livello globale, risulta essere tra quelli maggiormente colpiti da attacchi cyber [fonte: La minaccia cibernetica al settore sanitario] e, a livello europeo, ENISA – che ha dedicato uno specifico report alla minaccia cyber per il settore sanitario (ENISA Threat Landscape: Health Sector[5]) – ha rilevato che, negli ultimi anni, ha affrontato significative minacce cibernetiche, con numerosi incidenti ai danni di strutture sanitarie. Inoltre, il settore sanitario, secondo il più recente rapporto ENISA Threat Landscape 2024[6], si colloca tra quelli più colpiti da ransomware (al quinto posto, con l’8% degli eventi ransomware).
Esiste una differente attitudine alla sicurezza informatica da parte delle aziende private che operano nell’ecosistema salute?
Le aziende private, per loro natura, tendono a considerare la sicurezza informatica come un investimento strategico, riconoscendo il valore economico e reputazionale associato alla protezione dei dati gestiti e alla continuità operativa dei servizi forniti. L’orientamento verso il business e la collocazione sul mercato spingono le aziende private, sia sanitarie che no, a considerare la sicurezza informatica anche come un elemento di potenziale vantaggio competitivo: essere in grado di garantire ai propri clienti la protezione dei dati personali (in questo caso, “supersensibili”) e la continuità dei servizi (in questo caso, essenziali), riducendo il rischio che un attacco cyber vada a buon fine – con tutto il costo economico e il danno d’immagine che ne deriverebbe –, è, infatti, un fattore chiave per accrescere e conservare la fiducia del mercato. Queste e simili considerazioni, generalmente, spingono le aziende a investire in formazione continua per il proprio personale e a sviluppare piani di risposta e ripristino sempre più robusti, volti a rafforzarne la sicurezza e la resilienza cyber. A tal fine, le aziende private, in particolare quelle di medie e grandi dimensioni, dispongono di maggiori risorse finanziarie e, conseguentemente, di maggiori strumenti tecnologici e personale specializzato da destinare alla sicurezza informatica rispetto ad analoghe, per quanto comparabili, strutture pubbliche. Tuttavia, l’approccio alla sicurezza informatica varia anche all’interno del settore privato, a seconda delle dimensioni dell’azienda, delle risorse a sua disposizione e del suo grado di maturità digitale: start-up e/o piccole e medie imprese (e, infatti, proprio alle PMI l’ACN, congiuntamente al DIE, ha recentemente rivolto una dedicata campagna di comunicazione: “Accendiamo la cybersicurezza, proteggiamo le nostre imprese”), ad esempio, possono avere risorse limitate e una comparativamente minore consapevolezza dei rischi cyber, che le rende potenzialmente più vulnerabili, con possibili ricadute anche sulle realtà più strutturate e mature, di cui spesso costituiscono la supply chain (anche in ragione di ciò, la Direttiva NIS2, recentemente recepita nell’ordinamento nazionale, dedica particolare attenzione al tema della sicurezza delle catene di approvvigionamento, dettando specifiche disposizioni al riguardo).
A proposito di cultura e di conoscenza della sicurezza informatica a tutti i livelli per mitigare i rischi ed evitare di commettere errori che possono compromettere la privacy e la sicurezza dei dati sanitari, quali sono gli errori più comuni commessi all’interno delle strutture sanitarie che le rendono particolarmente vulnerabili alle minacce informatiche?
Come rilevato nel documento “La minaccia cibernetica al settore sanitario”, gli attacchi cyber rivolti contro questo delicato settore risultano favoriti da tre “condizioni di criticità” che potremmo definire sistemiche, caratterizzanti la quasi totalità delle strutture sanitarie, ovvero: a) gestione decentralizzata di sistemi digitali («reparti e/o uffici diversi, all’interno della stessa struttura, hanno la possibilità di approvvigionamento di hardware, software e servizi IT da società terze in maniera autonoma, senza una IT unica centrale e senza una politica comune che definisca processi, regole, strutture e strumenti che guidano le decisioni e l’orientamento strategico delle singole decisioni […]»); b) obsolescenza dei dispositivi («gli apparati medicali, spesso molto costosi, hanno una vita utile estremamente più lunga rispetto alle tecnologie di sicurezza e di IT in generale: apparati obsoleti dal punto di vista informatico, non più aggiornabili e/o non più supportati dai produttori rimangono in uso […]»); c) carenza quantitativa e qualitativa di personale dedicato alla cybersicurezza («non è presente personale dedicato alla sicurezza informatica, la quale viene quindi gestita dal personale IT al meglio delle proprie possibilità»). Inoltre, ogni giorno riscontriamo vulnerabilità dovute ad “errori umani” od organizzativi/procedurali che, spesso, con una corretta formazione e informazione (di qui l’importanza della consapevolezza e della cultura cyber), potrebbero essere mitigate, quando non del tutto risolte. Ad esempio: backup effettuati nella stessa infrastruttura sulla quale insistono i sistemi da proteggere; workstation, con le quali si amministrano i sistemi, utilizzate anche per attività personali o familiari; fornitori esterni che supportano più ospedali o strutture sanitarie che utilizzano lo stesso set di credenziali per tutti i sistemi gestiti; superficialità nel rilasciare privilegi amministrativi del massimo livello.
I danni causati da un attacco informatico sono di diversa natura, sociali, economici, reputazionali. Esiste una stima (in un range di valori) dei costi economici di un attacco informatico di impatto medio-critico che un’organizzazione sanitaria (ospedale o Asl) deve sostenere per riprendere la propria operatività?
Alcune stime, riprese anche dal World Economic Forum, prevedono che il costo complessivo della criminalità informatica potrebbe raggiungere i 10.500 miliardi di dollari all’anno entro il 2025. E questo dato, pur considerevole, non dà del tutto conto del reale impatto che un attacco cyber può avere quando riguarda un settore altamente critico come quello sanitario: quando gli attacchi colpiscono le istituzioni sanitarie, sono i pazienti a pagare il prezzo più alto. Un prezzo, spesso, non economicamente quantificabile. Un attacco ransomware andato a segno, oltre alle ricadute legate alla continuità operativa dei servizi essenziali forniti da una struttura sanitaria, può infatti avere ricadute e impatti considerevoli sulla vita e sulla privacy dei pazienti, i cui dati verranno verosimilmente esfiltrati e venduti, oltre che fatti oggetto di richieste di riscatto e di inevitabile compromissione, nonché sull’accesso alle cure e ai trattamenti, talvolta anche salvavita, che, come abbiamo detto, potranno essere rallentati o del tutto bloccati. Stimare i costi economici di un attacco informatico su una struttura sanitaria, dunque, può risultare particolarmente complesso, quando non impossibile, a causa delle numerose variabili e dell’estensione “a cascata” dell’impatto, anche transnazionale, su diversi settori e soggetti. Ciononostante, per rendere l’idea, possono essere presi in considerazione i costi legati al ripristino dei sistemi e delle infrastrutture, quelli di risposta e consulenza tecnica o legale, e, non per ultimi, i danni reputazionali, nonché le sanzioni derivanti dall’accertamento di eventuali responsabilità.
L’intervista alla dott.ssa Ciardi è presente all’interno del 3° Rapporto su Salute e Sistema Sanitario realizzato da Eurispes ed Enpam.
[1] Vds. Relazione annuale al Parlamento 2023: https://www.acn.gov.it/portale/documents/ 20119/446882/ACN_Relazione_2023.pdf
[2] Vds. La minaccia cibernetica al settore sanitario. Analisi e raccomandazioni: https://www.acn.gov.it/portale/documents/20119/551838/acn_la+minaccia+cyber+al+settore+sanitario_clear.pdf/0f72c9c8-58e0-fcb0-7367-0999dced74e8?t=1726754835723
[3] Vds. Strategia Nazionale di Cybersicurezza 2022-2026: https://www.acn.gov.it/portale/documents/20119/531899/ACN_Strategia.pdf/81644476-f547-6a63-dda6-3356f4d1b2f6?t=1719931791748
[4] L’intervista è stata raccolta il 5 novembre 2024 (n.d.r.).
[5] Vds. ENISA Threat Landscape: Health Sector, luglio 2023: https://www.enisa.europa.eu/publications/health-threat-landscape.
[6] Vds. ENISA Threat Landscape 2024, settembre 2024: https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024.
