Quella della sanità italiana sta diventando una vera propria “via crucis cyber”. Ultimi in ordine di tempo a cadere sotto i colpi dei criminali digitali sono stati gli ospedali milanesi Sacco e Fatebenefratelli. Sulla base delle notizie, come sempre in questi casi frammentarie, sembra si tratti del classico attacco con finalità estorsive. Secondo alcune fonti pare che già da qualche mese fossero in vendita su alcuni canali del dark web delle utenze VPN che avrebbero consentito l’accesso da remoto ai sistemi informatici ospedalieri. Se fosse confermato, questo spiegherebbe il probabile canale utilizzato dai criminali per infiltrarsi. Adesso, invece, si dovrà capire quanto in profondità sono riusciti a penetrare e se sono stati compromessi i back up dei sistemi, un’eventualità che complicherebbe di molto la già difficile opera di ripristino.
In molti si potrebbero chiedere per quale ragione il nostro sistema sanitario sia ormai una delle vittime predilette dei cyber criminali. Possiamo fornire una serie di motivazioni. Durante la pandemia i dati relativi al Covid erano merce preziosa e lo Spallanzani di Roma nell’aprile 2020 denunciò un tentativo di accesso abusivo. Nello stesso periodo l’intera sanità era sotto una pressione enorme e l’esperienza insegna che non di rado i criminali prediligono obiettivi in questa situazione. Personale stanco e meno attento a certi dettagli, quindi più vulnerabile rispetto ad attività di social engineering. Aggiungiamo che un obiettivo che non può interrompere i servizi che eroga potrebbe essere più propenso a cedere al ricatto. Ultimo e forse più importante fattore, perché non legato a elementi di circostanza, è lo stato dell’arte della sicurezza informatica. Da anni i professionisti del settore sanno bene la situazione di arretratezza di gran parte del sistema sanitario italiano e, a questo punto, è probabile che anche le organizzazioni criminali ne abbiamo preso coscienza.
Siamo al cospetto di un settore in cui, secondo il rapporto 2021 sulla spesa ICT dell’Agenzia per l’Italia Digitale, soltanto il 14% del campione delle strutture presenta un’unità organizzativa dedicata alla gestione della tematica. Ancora peggiore il dato relativo alla spesa in tema di cyber security che nel 2020 si attestava al 2,3% della spesa ICT, molto meno della metà dell’investimento medio in tutti gli altri settori. Vero che nel 2021 è cresciuta del 51%, ma i decenni passati senza fare praticamente nulla non si può pensare di recuperarli in dodici mesi.
Purtroppo la “via crucis” sembra destinata a essere ancora molto lunga.
— — — —
Abbiamo bisogno del tuo contributo per continuare a fornirti una informazione di qualità e indipendente.