Il dato è contenuto in un report prodotto da Sham in collaborazione con il Dipartimento di Management dell’Università di Torino.
Il report, redatto sulla base di interviste a 68 professionisti di strutture sanitarie di 14 regioni italiane, analizza la preparazione e la consapevolezza della sanità italiana nei confronti della minaccia cyber.
I professionisti intervistati sono Risk Manager, Responsabili Qualità, Data Protection Officer (DPO), Responsabili della sicurezza informatica (CISO) e dell’Ingegneria Clinica, nonché Referenti della Direzione Sanitaria e Generale. Il 70% delle strutture è appartenente alla sanità pubblica, il 30% al comparto privato, con dimensioni che variano da meno di 250 posti letto a più di 750, rappresentando in maniera omogenea la composizione del sistema sanitario nazionale.
Il 24% delle strutture ha dichiarato di aver subìto attacchi informatici, dei quali l’11% è costituito da ransomware e il 33% da accessi abusivi ai dati.
Per lo studio il 59% delle strutture percepisce il tema cyber risk come una priorità, mentre per il 31% il tema è parzialmente prioritario. Malgrado queste affermazioni però sono ancora poco frequenti le misure adottate per prevenire e gestire il rischio cyber: mappature, analisi dei rischi e test di vulnerabilità figurano solo in un terzo del totale.
L’allarme che scaturisce dallo studio di Sham non è l’unico che riguarda il settore della sanità. Secondo i risultati dell’indagine realizzata in Italia “Healthcare Cybersecurity” di Bitdefender, condotto nel mese di maggio, l’efficienza globale per la risposta alle minacce informatiche è al 49%. Secondo gli intervistati, tra tutti questi elementi, i più efficienti sono attualmente la prontezza nel rispettare il “Perimetro di Sicurezza Informatica” e il GDPR (61%), la capacità di recupero dopo un attacco ransomware (60%) mentre riguardo l’esistenza di un piano di risposta a seguito di un incidente di cybersecurity le percentuali sono inferiori (56%).
Le principali mancanze sono legate al fatto di non avere un Security Operation Center (67%), non eseguire abbastanza simulazioni di attacchi per comprendere dove rafforzare i processi di resilienza (63%) e non avere piena visibilità sulla catena degli attacchi (59%).
L’indagine sottolinea l’insufficienza del personale specializzato in cybersecurity, denunciata dal 74% degli intervistati, il conseguente sovraccarico di lavoro a cui è sottoposto il personale (64%) e la difficoltà nel reperire personale qualificato attraverso nuove assunzioni (64%).