L’ASSICURAZIONE È LA RISPOSTA GIUSTA AI CRESCENTI ATTACCHI CYBER IN SANITÀ
L’Italia tra i primi paesi al mondo per numero di attacchi spam ai danni delle imprese subiti durante la crisi Covid-19. Cresce la consapevolezza del pericolo cyber in ambito sanitario, ma è ancora scarso l’impiego delle polizze assicurative cyber in sanità che possono fornire protezione dagli attacchi oltre che dai danni.
La digitalizzazione dei servizi è stata accelerata dalla pandemia; un’evoluzione dalla quale non si torna indietro. Dall’online banking al pagamento delle tasse, fino alla prenotazione delle visite mediche, le attività online coinvolgono sempre più aspetti della vita quotidiana. Al crescere della digitalizzazione è cresciuto anche il rischio informatico. I dati sanitari, in particolare, sono la categoria più sensibile di informazioni e la più ambita dai cyber criminali. “Per questo l’impegno per garantirne la sicurezza deve essere prioritario. La mitigazione del rischio cyber è uno dei temi più delicati per le società in questo momento – afferma Alessandra Grillo, Operations Director di Sham in Italia. – L’Italia è tra i primi paesi al mondo per numero di attacchi spam ai danni di aziende sanitarie subiti durante la crisi Covid-19. È un problema trasversale che interessa tutti i campi ma che per le strutture sanitarie assume una dimensione ancora più preoccupante visto il tipo di dati tipicamente conservati nei loro server. Anche per questo Sham ha condotto recentemente, con la partnership dell’Università di Torino, un sondaggio in 14 Regioni italiane al fine di misurare la consapevolezza e il livello di preparazione della sanità italiana davanti al rischio informatico. I risultati verranno pubblicati a breve ma già ora possiamo anticipare che né la formazione del personale né la diffusione della copertura assicurativa sono sufficienti per far fronte alla situazione”. Attraverso la survey “Capire il rischio Cyber: il nuovo orizzonte in sanità“ sulla consapevolezza dei rischi cyber nelle strutture ospedaliere, Sham ha potuto realizzare una fotografia dello stato attuale delle misure di sicurezza e prevenzione messe in atto da diversi ospedali italiani.
Perché in ambito sanitario il rischio cyber può avere un impatto superiore?
In caso di attacco informatico, un’azienda di servizi ad esempio potrà subire delle perdite economiche e danni d’immagine. Ma per un’azienda sanitaria, oltre al danno patrimoniale, c’è la possibilità che l’arresto dei servizi sia causa di danno a terzi, ovvero ai pazienti, non solo durante l’evento ma anche successivamente. Il prolungamento delle liste d’attesa per l’accesso alle cure mediche, per esempio, può, avere effetti potenzialmente fatali così come la sospensione delle attività in sala operatoria o i trasferimenti in altre strutture in caso di urgenze che non possono essere trattate durante un attacco cyber. Per quanto sia possibile mitigare i danni e prevenire i rischi, inoltre, c’è sempre una componente di rischio residuo che non può essere evitata. Per essere pronti ad affrontare anche questi aspetti, le strutture ospedaliere possono ricorrere a una polizza assicurativa contro i danni informatici che non solo copra il danno finanziario e il rischio di danni a terzi ma che preveda anche un supporto tecnico attivo per il cliente in caso di necessità.
Quanto è importante fare ricorso a una polizza cyber?
Poiché nella pratica sanitaria usiamo sempre più strumenti elettromedicali e facciamo ricorso alla telemedicina, gli attacchi informatici sono sempre più frequenti e purtroppo meno complicati da realizzare. Come abbiamo visto dalla survey, la percezione del rischio cyber è in aumento tra il personale sanitario. Nonostante ciò, la percezione della necessità di sottoscrivere una polizza cyber è ancora molto bassa. Non è sufficientemente diffusa la cultura dell’assicurazione per il rischio cyber, né è percepito particolarmente il bisogno o il vantaggio della sottoscrizione di una copertura adeguata.
Come si pone il mercato delle assicurazioni in questa situazione?
Le società assicurative sono in prima linea nell’azione contro i rischi informatici e offrono numerose offerte dedicate, forti anche dell’esperienza con i rischi digitali maturata in altri ambienti come quello bancario. Attualmente vi sono in gioco due fattori: la percezione delle strutture, che resta molto basso, e il fatto che la cyber insurance sia attualmente un hard market con premi in crescita. Per uscire da questo empasse è necessario sensibilizzare le strutture rispetto ai danni esponenziali che questo rischio può provocare: ciò potrebbe contribuire a un incremento del numero di polizze vendute che, in un contesto di mutualizzazione del rischio, consentirebbe agli assicuratori di abbassare i premi.
Quali sono le azioni da mettere in campo per superare questa situazione?
La realizzazione di audit negli ospedali è un perfetto strumento per mettere in evidenza le debolezze della struttura e focalizzare la questione in modo tecnico. La chiave è continuare a informare e a sensibilizzare gli ospedali sul rischio informatico, focalizzando l’attenzione sulle problematiche sanitarie. In questo momento gli ospedali si stanno misurando con gli effetti di una pandemia mondiale, che incide negativamente sulla liberazione di risorse ulteriori. È quindi molto complicato pensare di poter investire in soluzioni per un problema che non sembra essere percepito come reale e imminente. Per questo serve diffondere consapevolezza sui rischi reali e sul costo dei danni che potrebbero insorgere qualora questi vengano trascurati.