Minacce informatiche nel settore sanitario svizzero: riconoscere i rischi e agire correttamente
Gli attacchi informatici sono in aumento ma non siamo del tutto indifesi. La crescente digitalizzazione porta con sé enormi vantaggi per l’assistenza medica ma anche nuove sfide per la sicurezza dei sistemi e dei dati sensibili. Ospedali, studi medici e altre infrastrutture critiche sono nel mirino dei criminali informatici ma possono proteggersi efficacemente con le giuste conoscenze, misure mirate e una comune cultura della sicurezza.
All’HIN Event del 3 luglio 2025, l’Ufficio federale della cibersicurezza (UFCS) e la nostra Security Officer, Lisa Wang, hanno fornito una panoramica dell’attuale situazione delle minacce e hanno mostrato come le organizzazioni sanitarie possono prepararsi al meglio. In questo articolo, Lisa Wang riassume quelli che ritiene i risultati più importanti e alcune raccomandazioni pratiche.
Situazione attuale: attacchi che possono mettere in pericolo la vita
Gli attacchi informatici nel settore sanitario non sono più un rischio ipotetico bensì una realtà. Esempi quali l’attacco al sistema informatico per ospedali (SIO) di un ospedale svizzero o la fuga di dati presso un fornitore di servizi nel settore finanziario dimostrano quanto sia reale la minaccia. Alcuni esempi di attacchi particolarmente diffusi:
- Attacchi ransomware: questi attacchi sono tentativi mirati di estorsione. Un ransomware paralizza dati o sistemi critici tramite la crittografia. Gli aggressori chiedono un riscatto, spesso sotto la minaccia di pubblicare informazioni riservate.
- Attacchi alla catena di approvvigionamento (attacchi alla supply chain): questi attacchi sfruttano le vulnerabilità di fornitori terzi, come ad esempio i fornitori di servizi IT. Un’organizzazione partner non adeguatamente protetta con accesso a un sistema ospedaliero può quindi diventare una porta d’accesso per attacchi all’intera rete. Ma anche i software con vulnerabilità non corrette rappresentano una sfida costante per il settore sanitario.
- Attacchi di phishing: questi attacchi sono molto comuni in termini assoluti, poiché spesso servono come azioni preparatorie per attività dannose successive. Ad esempio, tramite e-mail fraudolente (come quelle a nome di una banca) si chiede ai destinatari di rivelare password o dati di accesso.
- Spionaggio informatico e sabotaggio: questi due tipi di attacchi hanno una motivazione politica o economica. Il loro obiettivo è rubare informazioni, come ad esempio risultati di una ricerca, manipolare sistemi o minare la fiducia nelle infrastrutture critiche. In riferimento al sabotaggio informatico, tali attacchi sono particolarmente comuni nelle zone di conflitto.
- Attacchi DDoS (Distributed Denial of Service): questi attacchi mirano a sovraccaricare i siti web, e quindi i server a monte, bombardandoli con una marea di richieste provenienti da varie fonti. Ciò porta a interruzioni dei servizi o a un’accessibilità limitata dei siti web.
Le conseguenze di un attacco informatico a un’organizzazione sanitaria possono essere gravi sia per l’azienda sia per le persone interessate. Se, ad esempio, un sistema SIO viene crittografato con un ransomware, improvvisamente non è più possibile accedere ai dati dei pazienti, ai valori di laboratorio o ai piani terapeutici. Ciò può comportare ritardi nelle diagnosi, posticipi di interventi o una limitata gestione delle emergenze. Al contempo, il furto o la pubblicazione di dati sanitari sensibili comporta un enorme rischio in termini di perdita di fiducia e di reputazione. Un attacco può anche avere gravi conseguenze finanziarie, ad esempio in seguito a estorsione, interruzione d’esercizio, costi di ripristino o potenziali richieste di risarcimento. Tali accadimenti correlati alla sicurezza dimostrano quanto la medicina moderna dipenda da processi digitali funzionanti.
Nuovo obbligo di segnalazione per le infrastrutture critiche da aprile 2025
L’obbligo di segnalazione per gli accadimenti informatici è una questione fondamentale per il settore della sicurezza informatica. I gestori di infrastrutture critiche, tra cui molte istituzioni del settore sanitario, dal 1° aprile 2025 sono tenuti per legge a segnalare specifici accadimenti correlati alla sicurezza all’Ufficio federale della cibersicurezza (UFCS). Tali segnalazioni consentono all’UFCS di aiutare i soggetti interessati a far fronte agli attacchi informatici e di avvertire tempestivamente i gestori di infrastrutture critiche.
Per il settore sanitario, ciò significa che i responsabili informatici e della sicurezza dovrebbero rivalutare i loro processi interni e garantire che le competenze, le catene di segnalazione e le interfacce con l’UFCS siano chiaramente definite.
Raccomandazioni
La sicurezza informatica non è uno stato che si raggiunge una volta per sempre, bensì un processo continuo. È necessario un approccio ponderato e coordinato per prevenire efficacemente gli attacchi o intervenire in modo rapido in caso di emergenza. L’attenzione dovrebbe concentrarsi su quattro ambiti d’intervento principali:
-
Verificare e aggiornare regolarmente i piani di emergenza: i vostri piani di emergenza tengono conto anche di scenari quali la fuga di dati, l’arresto del sistema o l’interruzione delle comunicazioni? È chiaramente regolamentato a chi spettano le decisioni in caso di emergenza o quando arrestare e ripristinare i sistemi critici?
-
Mettere in sicurezza la catena di approvvigionamento: gli attacchi informatici possono avvenire tramite fornitori di servizi IT compromessi a monte. Ciò consente ai criminali informatici di accedere alle reti dei clienti a valle. È quindi fondamentale sapere quali dati vengono trattati dai propri fornitori di servizi IT e come vengono protetti. Occorre assicurarsi che in particolare i seguenti ambiti siano regolamentati nei contratti con i fornitori di servizi IT: obbligo di segnalazione degli accadimenti correlati alla sicurezza, diritti di audit e requisiti minimi in materia di sicurezza informatica.
-
Integrare la consapevolezza in materia di sicurezza all’interno dell’azienda: le misure di protezione tecniche da sole non bastano; è necessaria una forte cultura della sicurezza. Formate le vostre collaboratrici e i vostri collaboratori regolarmente in riferimento al social engineering, come ad esempio al phishing o alle false chiamate. Stabilite procedure chiare per i processi sensibili (ad esempio il principio del doppio controllo per i pagamenti) e sensibilizzate anche sui rischi nella sfera privata, come i profili pubblici sui social media o i codici QR di origine sconosciuta.
-
Non tacere ma condividere le esperienze: la condivisione delle informazioni è una chiave della resilienza collettiva. Create una rete con altre organizzazioni, ad esempio tramite il neo costituito Health Cyber Security Centre (Health-CSC). Chi condivide informazioni sugli accadimenti correlati alla sicurezza aiuta altre persone a riconoscere ed evitare più rapidamente attacchi simili e, a sua volta, beneficia delle conoscenze della comunità.
La sicurezza è frutto di un gioco di squadra
Le minacce informatiche sono dinamiche, complesse e spesso invisibili finché non è troppo tardi. Un singolo aggiornamento mancante, un’e-mail aperta incautamente o un’interfaccia non protetta possono essere sufficienti a mettere a rischio il funzionamento di un’intera istituzione. Pertanto, la sicurezza informatica è una questione che riguarda non solo il settore informatico ma tutti i livelli di un’organizzazione. La resilienza digitale può essere rafforzata a lungo termine solo con un gioco di squadra che preveda misure tecniche di protezione, processi chiari e un’attenta consapevolezza della sicurezza. È fondamentale un approccio globale: dalla Direzione al personale specializzato, fino ai fornitori di servizi e ai partner esterni.
Una comprensione comune dei rischi, uno scambio aperto di informazioni e una reale cultura della sicurezza creano fiducia nello spazio digitale e nella quotidianità del settore sanitario. Perché solo chi fa della sicurezza un compito comune può essere resiliente nel lungo periodo.
