Cybersecurity in sanità: costo medio totale +13%

Proofpoint, azienda attiva nel settore della cybersecurity e della compliance, e Ponemon Institute, una delle principali organizzazioni di ricerca sulla sicurezza informatica, hanno pubblicato i risultati della loro seconda ricerca annuale sugli effetti della cybersecurity nel settore sanitario. Il report “Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care 2023” ha rilevato che l’88% delle aziende sanitarie intervistate ha subìto negli ultimi 12 mesi una media di 40 attacchi, con un costo medio totale di 4,99 milioni di dollari, in aumento del 13% rispetto all’anno precedente.

Tra le aziende che hanno subìto i 4 tipi di attacchi più comuni – compromissione cloud, ransomware, supply chain e BEC (Business E-mail Compromise, compromissione della posta elettronica aziendale) – il 66% ha dovuto registrare interruzioni nell’assistenza ai pazienti.

In particolare, il 57% ha riportato esiti inadeguati a causa di ritardi nelle procedure ed esami, il 50% ha registrato un aumento delle complicazioni nei processi medici e il 23% un aumento del tasso di mortalità dei pazienti. Questi numeri rispecchiano i risultati del 2022, indicando che le organizzazioni sanitarie hanno fatto pochi progressi nel mitigare i rischi di attacco alla sicurezza e alla salute dei pazienti.

Il report, che ha coinvolto 653 professionisti IT e di sicurezza sanitaria, ha rilevato che gli attacchi alla supply chain sono la tipologia di minaccia con maggiori probabilità di influire sull’assistenza ai pazienti. Quasi due terzi (64%) delle aziende hanno subìto un attacco alla supply chain negli ultimi 2 anni e tra queste, il 77% ha affrontato interruzioni dell’assistenza ai pazienti (in aumento rispetto al 70% del 2022). Gli attacchi BEC sono la tipologia con maggiori probabilità di provocare esiti inadeguati a causa di procedure ritardate (71%), seguiti dal ransomware (59%). È inoltre molto probabile che un attacco BEC provochi un aumento delle complicazioni delle procedure mediche (56%) e un allungamento dei tempi di degenza (55%).

«Per il secondo anno consecutivo, abbiamo scoperto che i 4 tipi di attacchi analizzati hanno un impatto negativo diretto sulla sicurezza e sulla salute dei pazienti», ha dichiarato Larry Ponemon, chairman e founder di Ponemon Institute. «I nostri risultati mostrano anche che, rispetto al 2022, un numero maggiore di professionisti IT e di sicurezza consideri la propria azienda vulnerabile a ciascun tipo di attacco, cosa che mette a più dura prova le risorse rispetto all’anno scorso, con un costo medio complessivo superiore del 13% e un aumento del 58% del tempo necessario per garantire il ripristino dall’impatto sulle cure dei pazienti».

Dal report emerge inoltre che:

– Nonostante le preoccupazioni siano in calo, con solo il 48% degli intervistati che ha dichiarato di essere più preoccupato (rispetto al 60% del 2022) il ransomware rimane una minaccia sempre presente per le organizzazioni sanitarie: il 54% degli intervistati afferma di aver subìto un attacco ransomware, rispetto al 41% del 2022. Anche il numero di aziende che ha effettuato il pagamento di un riscatto è diminuito, passando dal 51% del 2022 al 40% di quest’anno. Tuttavia, il costo medio totale più elevato di un pagamento di riscatto è salito del 29%, raggiungendo 995.450 dollari. Inoltre, il 68% ha dichiarato che l’attacco ransomware ha causato un’interruzione dell’assistenza ai pazienti, con la maggior parte (59%) che ha citato ritardi nelle procedure e negli esami che hanno portato a esiti negativi.

– Tutte le aziende intervistate hanno subìto almeno una perdita di dati o un’esfiltrazione di informazioni sanitarie sensibili e riservate negli ultimi 2 anni. Per il 43% questo ha avuto un impatto sull’assistenza ai pazienti, causando nel 46% dei casi un aumento dei tassi di mortalità e nel 38% un incremento delle complicazioni delle procedure mediche. Le organizzazioni hanno subìto in media 19 incidenti di questo tipo, con insider malintenzionati ritenuti la causa più probabile (identificati dal 32% degli intervistati).

– Le preoccupazioni per gli attacchi alla supply chain sono diminuite, nonostante interrompano in modo significativo l’assistenza ai pazienti. Solo il 63% ha espresso preoccupazione per la vulnerabilità della propria organizzazione agli attacchi alla supply chain, rispetto al 71% del 2022. Allo stesso tempo, il 64% ha dichiarato che le supply chain della propria azienda sono state colpite in media 4 volte e il 77% di coloro chi ha subìto un attacco ha affrontato interruzioni nell’assistenza ai pazienti, con un aumento rispetto al 70% del 2022.

– Le organizzazioni sanitarie si sentono più vulnerabili e preoccupate da una compromissione cloud. Il 74% ritiene che la propria azienda sia più vulnerabile a una compromissione cloud, allo stesso livello del 75% del 2022. Tuttavia, un numero maggiore di persone è allarmato dalle minacce poste dal cloud: 63% contro il 57% del 2022. La compromissione cloud, infatti, ha raggiunto il vertice della classifica delle minacce più preoccupanti quest’anno, rispetto al quinto posto del 2022.

– Le preoccupazioni relative a BEC/spoofing sono aumentate in modo significativo, dal 46% del 2022 al 62%. Più della metà (54%) delle organizzazioni ha subìto in media cinque incidenti di questa tipologia. La crescente preoccupazione può riflettere la constatazione che gli attacchi BEC/spoofing hanno maggiori probabilità di altri di provocare esiti negativi dovuti a ritardi nelle procedure (71%), aumento delle complicazioni dovute ai processi (56%) e prolungamento delle degenze (55%).

– La scarsa preparazione ad affrontare gli attacchi BEC/spoofing e alla supply chain mette a rischio i pazienti. Sebbene il numero di aziende preoccupate per il phishing BEC/spoofing sia cresciuto, solo il 45% adotta misure per prevenirlo e rispondervi. Allo stesso modo, nonostante la prevalenza di interruzioni dell’assistenza ai pazienti dovute ad attacchi alla supply chain, solo il 45% ha dimostrato misure di risposta.

– La mancanza di competenze interne e personale insufficiente rappresentano una sfida ancora maggiore all’efficacia della postura della cybersecurity rispetto al passato. Per il 58% la mancanza di competenze, rispetto al 53% del 2022, e per il 50% il personale insufficiente, rispetto al 46% del 2022.

«Nonostante il settore sanitario rimanga altamente vulnerabile agli attacchi di cybersecurity – ha dichiarato Ryan Witt, Healthcare Customer Advisory Board di Proofpoint – è positivo il fatto che i dirigenti del settore comprendano come un incidente informatico possa avere un impatto negativo sulle cure dei pazienti e sono ottimista sui progressi significativi che si possano realizzare per proteggere i pazienti dai danni fisici che questi attacchi potrebbero causare. La nostra ricerca dimostra che le organizzazioni sanitarie stanno acquisendo consapevolezza dei rischi informatici da affrontare. Ora devono collaborare con i colleghi del settore e ottenere il sostegno dei governi per costruire una postura di sicurezza informatica più forte e, di conseguenza, fornire migliori cure ai pazienti».

Il report “Cyber Insecurity in Healthcare: The cost and impact on patient safety and care 2023” è disponibile a questo link.

Ulteriori informazioni sulle soluzioni Proofpoint per il settore sanitario a questo link.