Con l’avvicinarsi della fine del 2023, è importante guardare indietro a ciò che è avvenuto e alle tendenze che stanno emergendo per anticipare ciò che può riservare il futuro. Se già nel 2022 si era assistito a un incremento del 138% degli attacchi informatici, il 2023 ha confermato questo preoccupante trend, con un aumento del 40% di incursioni solo nel primo semestre (1). In particolar modo, molte aziende sanitarie sono state vittime di attacchi su tutto il territorio italiano, con il 14,5% degli attacchi, percentuale che è seconda solo alle campagne non generalizzate (Multiple Targets) che contano per il 20% delle incursioni totali. Mentre ci prepariamo per l’anno prossimo, le aziende del settore sanitario continueranno a trovarsi nel mirino dei malintenzionati. Per questo è fondamentale che i professionisti della sicurezza e dell’IT imparino da queste esperienze passate a posizionare meglio le loro organizzazioni alla luce di un panorama di minacce in continua evoluzione. Anche se continuerà a essere una battaglia in salita, credo che i professionisti della sicurezza sanitaria e IT, insieme ai legislatori e ai partner di cybersecurity, faranno grandi passi avanti nel prossimo anno. Di seguito le mie cinque previsioni sulla sicurezza informatica nella sanità per quello che è possibile, per il 2024.
- Le tattiche dei malintenzionati continueranno a diventare sempre più sofisticate e gli attacchi informatici saranno sempre più frequenti, complicando ulteriormente il panorama delle minacce che circondano gli operatori sanitari.
Gli attacchi ransomware non utilizzano più solamente una tattica casuale attraverso il phishing, ma continuano a immettere negli ambienti con punti di appoggio mirati e attacchi più complessi. Mentre il Ransomware as a Service (RaaS) e gli attacchi ransomware più “semplici” continueranno a colpire il settore, assisteremo nel 2024 a un aumento di ransomware molto più complessi e di altri attacchi informatici che prendono di mira in particolare i maggiori provider di servizi sanitari. In generale, la tendenza è un aumento della “Severity” degli attacchi, ossia la gravità delle conseguenze che devono affrontare le vittime, come ingenti perdite economiche, elevate quantità di dati sottratti o il blocco delle operazioni(2).
L’IA generativa è anche al centro dell’attenzione dei professionisti della sicurezza e dell’IT dei fornitori di servizi sanitari (HDO – healthcare delivery organizations), e diverse entità stanno istituendo comitati per esaminare le capacità dell’IA, a scopo offensivo, difensivo e di assistenza clinica. Man mano che il settore sanitario incorpora e innova le soluzioni con l’IA generativa lo faranno anche gli avversari. Gli strumenti a disposizione dei professionisti della sicurezza e dell’IT lo sono anche per gli attori malintenzionati: basti pensare al ransomware come esempio lampante di ciò che può accadere quando una funzionalità di sicurezza – in questo caso la crittografia – viene capovolta e utilizzata in modo offensivo. La stessa tecnologia che serve a tenere fuori i cattivi viene sfruttata per impedire ai buoni di accedere ai loro file. L’IA contribuirà nel 2024 a far progredire l’assistenza ai pazienti, ma inizieremo anche a vedere che la tecnologia viene sfruttata sempre più spesso per condurre attacchi più sofisticati e con maggior frequenza. Nel nuovo anno sarà fondamentale che i professionisti della sicurezza e dell’IA accelerino l’uso di questa tecnologia, la sua governance e la sua sicurezza per proteggere meglio le loro organizzazioni alla luce di questa minaccia in evoluzione.
- Una maggiore attenzione alla sicurezza dei dispositivi medici continuerà a diffondersi nelle normative a livello globale.
Abbiamo visto la Food and Drug Administration (FDA) degli Stati Uniti impartire questi mandati, come la più recente politica di rifiuto dell’accettazione (RTA), il National Health Service (NHS) del Regno Unito con la sua legislazione sul Data Security and Protection Toolkit (DSPT) e altri Paesi in Europa sviluppare linee guida simili, come l’impegno dell’Agenzia per la Cybersicurezza Nazionale (ACN). Credo che nel 2024 assisteremo anche a una rinnovata attenzione alla distinta base del software (SBOM), per fornire una chiara comprensione dei componenti software utilizzati per la creazione di vari asset. Continueremo a vedere ulteriori sviluppi e specificità in materia di sicurezza dei dispositivi medici, man mano che verranno elaborate normative più incentrate sulla cybersecurity e sulle infrastrutture critiche.
Sebbene ci sia ancora del lavoro da fare e l’esecuzione sia da vedere e da modificare, queste norme sono un grande passo avanti per richiedere di integrare misure di sicurezza informatica nei prodotti e che le organizzazioni valutino regolarmente la propria postura di sicurezza e dei propri dispositivi. Come per tutte le nuove normative, anche in questo caso ci sono problemi emergenti, ma necessari. Dopo tutto, un piano è efficace quanto la sua esecuzione. In questo caso, un piano critico che fa progredire il settore.
- I fornitori di servizi sanitari continueranno a modernizzare le loro strategie di sicurezza, dando priorità alla segmentazione e ad una difesa accurata nel 2024.
La segmentazione rimarrà uno dei metodi principali per aumentare la sicurezza informatica sanitaria. Per questo motivo, i professionisti di cybersecurity e dell’IT degli HDO (Healthcare Delivery Organizations) cercheranno nel 2024 di modernizzare la loro strategia per iniziare a segmentare la rete nel 2024, se non l’hanno già fatto. Si tratta di un progetto massiccio e difficile che può durare molti anni. Tuttavia, è il progetto che consentirà di ridurre al massimo i rischi in un ambiente sanitario e sarà un pilastro di una strategia proattiva di riduzione dei rischi. La chiave per questi progetti è la pianificazione adeguata e la comprensione che un progetto di segmentazione può essere simile a un viaggio con più fasi: discovey/ inventory, mappatura dei comportamenti e delle comunicazioni, creazione di policy, definizione delle priorità, test/pilot, implementazione e automazione. Una tendenza in crescita è quella di un approccio di prioritizzazione basato sul rischio: invece di un metodo tradizionale di elenchi di segmenti creati in base al produttore o al tipo, le organizzazioni sanitarie possono ottenere un ROI molto più rapido identificando e dando priorità alla segmentazione dei dispositivi vulnerabili critici, in particolare quelli rivolti al paziente, per ottenere la massima riduzione del rischio in anticipo.
Inoltre, per i dispositivi medici più recenti inizieranno a emergere funzionalità di defense-in-depth. Documentazione e comportamenti di sicurezza più chiaramente delineati, funzionalità di sicurezza integrate, supporto per software e soluzioni di sicurezza e ritiro dei sistemi preesistenti a favore di nuovi dispositivi più sicuri. Di conseguenza, la segmentazione inizierà nel 2024 a essere incrementata da altre funzionalità di sicurezza ora supportate dai dispositivi medici più recenti, quali patch e aggiornamenti software più frequenti.
- I produttori di dispositivi medici svilupperanno ulteriori partnership e offerte di sicurezza.
Al momento non si sa ancora quale sarà l’efficacia di questa iniziativa, ma sia che si tratti di servizi professionali, di capacità tecniche o di nuovi dispositivi, vediamo che i produttori di dispositivi medici iniziano a concentrarsi sulle iniziative di cybersecurity per i loro nuovi device. Nel 2024, ritengo che i fornitori di servizi di gestione dei dispositivi medici si concentreranno maggiormente sui servizi di correzione degli avvisi di sicurezza dei dispositivi medici. Le organizzazioni sanitarie sfrutteranno inoltre maggiormente gli MSSP e i servizi dei partner o fornitori per aiutare a scalare le proprie operazioni interne. Questo approccio può aiutare a scaricare le attività, a ridurre più rapidamente i rischi e a condividere le informazioni e le best practice per ottenere la massima efficacia.
- La carenza di competenze in materia di cybersicurezza aumenterà.
L’intelligenza artificiale viene sempre più incorporata negli stack tecnologici, in particolare quando i fornitori di cybersecurity cercano di sfruttarne la potenza innovativa. L’IA nel 2024 aiuterà a semplificare le attività, ma le organizzazioni, in particolare quelle sanitarie più piccole e con meno risorse, continueranno a soffrire di una carenza di competenze ed esperienza nel campo della sicurezza informatica. Non solo in ambiti tecnici specifici, ma anche nella capacità di implementare e far maturare sistematicamente un programma di cybersecurity sanitaria. Per colmare queste lacune, è fondamentale che gli HDO ricorrano all’aiuto di partner esterni per supportare i loro programmi di sicurezza. Una raccomandazione fondamentale è quella di sfruttare i framework di sicurezza per contribuire a costruire un approccio sistematico per migliorare la postura di sicurezza con sforzi di sicurezza prioritizzati. È fondamentale ancorare il programma a un approccio basato su un framework come il NIST Cyber Security Framework (CSF), con revisioni periodiche e analisi delle lacune per definire le priorità e gli sforzi per l’anno successivo.