2707
Sanità e cybersecurity: come proteggersi e assicurarsi
L’aumento costante degli attacchi informatici e dei data breach, e una maggiore selezione da parte delle compagnie assicurative, richiedono alle strutture sanitarie private e pubbliche di adottare un approccio integrato alla gestione del rischio cyber.
I risultati del rapporto 2022 del Clusit (Associazione Italiana per la Sicurezza Informatica) confermano il permanere di una situazione nazionale piuttosto critica sul fronte della cyber security, con un aumento degli attacchi informatici pari al 10% rispetto al periodo precedente e una media mensile di 171 attacchi, il valore più elevato mai registrato. Ma la crescita degli impatti delle aggressioni è forse ancor più preoccupante del numero di incidenti, anche perché non tutti vengono dichiarati pubblicamente. Gli attacchi con un impatto valutato come “elevato” sono stati circa il 79% del totale, contro il 50% dell’anno scorso. La Sanità figura ancora tra i settori più colpiti: quarta in assoluto con una quota del 13% di attacchi, in crescita del 24,8% rispetto al 2020.
Le notizie apprese dai giornali evidenziano come gli effetti operativi di alcuni dei casi più recenti siano ancora in corso di risoluzione, mentre non è possibile prevedere in dettaglio i danni che i data breach più gravi potranno generare, nei prossimi anni, sia per le strutture ospedaliere attaccate, sia per gli utenti proprietari dei dati sanitari rubati.
Uno scenario ulteriormente accelerato dalla “cyber war” legata all’attuale instabilità geopolitica e amplificato da una storica sottovalutazione della necessità di adottare iniziative strutturali di prevenzione e gestione del rischio cyber.
Se le strutture sanitarie private vogliono affrontare in modo efficace il rischio cyber devono porsi due obiettivi principali: 1) dotarsi di un’organizzazione e di strumenti tecnologici per ridurre il rischio che un attacco cyber si traduca in un blocco delle attività ed in un data breach e 2) trasferire il “rischio residuo”, cioè i costi connessi ad un incidente cyber, al mercato assicurativo.
Rispetto al primo obiettivo è fondamentale partire da un’analisi approfondita per individuare inefficienze organizzative, vulnerabilità tecniche e criticità per poi attuare un programma di miglioramenti e raggiungere una “postura” adeguata. In seguito, sarà necessario definire un buon sistema di monitoraggio e migliorare la cultura dell’organizzazione, sensibilizzando e istruendo i dipendenti sull’utilizzo sicuro delle tecnologie (senza dimenticare il phishing). In caso di un grave attacco informatico o di un evento catastrofale che abbia danneggiato il data center aziendale risulterà importante aver adottato una solida procedura di “Incident Management” ed un Piano di Disaster Recovery IT che consenta di ripristinare in tempi rapidi i sistemi informatici principali in un sito alternativo - oggi anche nel Cloud.
Per la realizzazione del secondo obiettivo è importante evidenziare che oggi solo le strutture che avranno predisposto un sistema protettivo adeguato (fatto di processi e tecnologie) risulteranno appetibili al mercato assicurativo e potranno ottenere una polizza cyber efficace. Ormai tutte le compagnie richiedono la compilazione di dettagliati questionari per valutare la sicurezza dei sistemi IT e verificare che siano state attuate misure difensive specifiche come la segregazione della rete, l’adozione di tecnologie di autenticazione multifattoriale (MFA) per accedere ai sistemi, la presenza di backup off line o in cloud sicuri, l’esecuzione di regolari vulnerabily assessment, la formazione regolare degli utenti (soprattutto sul phishing), l’implementazione di una procedura per la gestione degli incidenti cyber e l’esistenza di un piano di Disaster Recovery.
In un simile scenario, il ruolo di un broker/consulente evoluto diventa fondamentale per procurare garanzie soddisfacenti a costi competitivi ma, soprattutto, per poter presentare con efficacia il rischio al mercato assicurativo e supportare la struttura suggerendo, già in fase di analisi, le migliorie tecniche ed organizzative da implementare per rendere il sistema informatico più maturo e quindi più “assicurabile”.
Proprio per questo, Assiteca ha avviato un progetto di “Check-up” gratuito sulle misure di cyber security che permette, con una breve intervista agli IT Manager e ai responsabili assicurativi delle strutture, di verificare la presenza dei requisiti essenziali per poter accedere mercato assicurativo. Un primo passo per creare maggiore consapevolezza tra gli operatori, che potrà stimolare tutto il settore ad attuare gli interventi più importanti.
Per iniziare a parlarne insieme ASSITECA ha organizzato in collaborazione con Aiop il webinar:
SICUREZZA CYBER:
cosa fare per rendere la mia organizzazione più protetta e assicurabile
Giovedì 23 giugno 2022 | ore 11,30
Durante l’incontro forniremo consigli alle strutture associate Aiop per una valutazione del posizionamento della propria organizzazione e approfondiremo, con esempi e suggerimenti, quali sono gli interventi da attivare per ridurre il rischio cyber e soddisfare quindi i requisiti del mercato assicurativo.
ISCRIZIONI APERTE A QUESTO LINK
Per informazioni:
Enzo Grilli - Responsabile Divisione Sanità ASSITECA
M + 39 340 1378680 - enzo.grilli@assiteca.it
Emanuele Capra - Rischi Operativi e Cyber Security ASSITECA
M +39 349 309 6530 - emanuele.capra@assiteca.it