Le organizzazioni sanitarie italiane utilizzano sistemi operativi obsoleti

Le innovazioni tecnologiche da sempre giocano un ruolo fondamentale in campo medico, e durante la pandemia il settore sanitario è stato costretto ad accelerare significativamente l’implementazione di queste innovazioni. Un fenomeno confermato da un recente report di Accenture, che evidenzia l’implementazione di innovazioni tecnologiche da parte dell’81% dei dirigenti di organizzazioni sanitarie. Ma secondo il report Healthcare 2021 di Kaspersky, il sondaggio globale condotto tra i fornitori di servizi sanitari, solo l’11% delle organizzazioni sanitarie italiane utilizza dispositivi medici che eseguono software aggiornati. Al contrario, l’utilizzo di sistemi operativi legacy (OS), ormai obsoleti, espone le organizzazioni sanitarie a maggiori vulnerabilità e rischi informatici.

L’interruzione degli aggiornamenti non protegge da nuove vulnerabilità

Nella maggior parte dei casi, le organizzazioni sanitarie italiane utilizzano dispositivi medici proprio con un sistema operativo legacy. Questo, principalmente a causa di problemi di compatibilità, costi elevati degli aggiornamenti, o per mancanza di conoscenze interne su come eseguire gli aggiornamenti. L’utilizzo di dispositivi obsoleti però può provocare incidenti informatici: quando gli sviluppatori di software smettono di supportare un sistema interrompono anche il rilascio di eventuali aggiornamenti, che spesso includono patch di sicurezza per le nuove vulnerabilità. Se lasciate senza patch, le vulnerabilità possono diventare un vettore iniziale di attacco per penetrare nell’infrastruttura dell’azienda, di cui anche gli attaccanti non specializzati possono servirsi.

I dispositivi senza patch facilitano gli attacchi informatici

Le organizzazioni sanitarie archiviano un volume notevole di dati sensibili e preziosi che le rendono uno degli obiettivi più redditizi, e i dispositivi senza patch possono facilitare il lavoro degli attaccanti. Interrogati sulle loro capacità di reazione in materia di cybersecurity, solo il 20% degli operatori sanitari italiani crede che la loro organizzazione sia in grado di bloccare efficacemente tutti gli attacchi alla sicurezza o le violazioni del perimetro. La stessa percentuale è certa che la loro organizzazione disponga di una protezione di sicurezza IT hardware e software aggiornata e adeguata.
Tuttavia, in Italia il 50% degli intervistati ha ammesso che la loro organizzazione ha già sperimentato incidenti che hanno causato una fuga di dati, il 40% un attacco DDoS mentre il 30% un attacco ransomware.

Minimizzare i rischi della modernizzazione nella sanità

“Il settore sanitario si sta evolvendo verso l’adozione di dispositivi connessi in grado di soddisfare la domanda di maggiore accessibilità alle cure – dichiara Cesare D’Angelo, General Manager Italy di Kaspersky -. Questo comporta anche alcune sfide di cybersecurity tipiche dei sistemi embedded. Il nostro report conferma che molte organizzazioni utilizzano ancora dispositivi medici che eseguono vecchi sistemi operativi e si scontrano con alcuni ostacoli che impediscono l’esecuzione degli aggiornamenti necessari. A oggi, esistono soluzioni e misure disponibili che possono aiutare a minimizzare i rischi di una strategia di modernizzazione nella sanità. Queste misure, insieme alla formazione del personale medico, possono aumentare significativamente il livello di sicurezza e facilitare il progresso del settore sanitario”.