LA SANITÀ HA BISOGNO DI UNA POLIZZA CYBER
Di fronte al netto incremento della minaccia, la sicurezza informatica si compone di tre elementi inseparabili: prevenzione, tecnologia e assicurazione. Come funziona “Sham Cyber Protection”, la prima polizza in Italia sviluppata specificamente per il mondo della sanità.
Di Luca Achilli, Direttore Sviluppo Healthcare di Sham – gruppo Relyens in Italia
La sanità è divenuta il terzo settore più colpito dagli attacchi informatici, con un incremento del 24% rispetto al 2020 secondo il rapporto Clusit sulla Sicurezza ICT in Italia recentemente pubblicato. Due terzi degli attacchi sono ransomware. Le cause, data la complessità dell’ecosistema sanitario, sono molteplici.
IL CONTESTO: INNOVAZIONE E PNRR
La sanità, innanzitutto, si trova sulla direttrice di due fenomeni coincidenti: da un lato, la forte accelerazione dell’evoluzione digitale, trend che verrà ulteriormente amplificato grazie agli investimenti del PNRR; dall’altro, la crescente minaccia cyber alle aziende e alle istituzioni sanitarie che sfrutta le vulnerabilità create da questa repentina innovazione. La correlazione tra i due fenomeni non è, però, immutabile. Anzi. Solo una sanità matura dal punto di vista della sicurezza digitale potrà completare la trasformazione tecnologica che ha avviato.
LE VULNERABILITÀ INFORMATICHE DELLE STRUTTURE SANITARIE
I recenti attacchi informatici subiti da numerose strutture sanitarie confermano l’intensità e l’attualità della minaccia cyber. E non è un caso che sia così. L’ecosistema sanitario, per la sua complessità, presenta numerose potenziali vulnerabilità che possono essere sfruttate dai cyber criminali. Per citarne alcune: l’alto numero di device medicali e apparecchiature in rete con diversi gradi di obsolescenza informatica; i tanti fornitori esterni delle strutture; la carenza di una formazione del personale che sottolinei la necessità di integrare senza soluzione di continuità il cyber risk nella gestione globale del rischio sanitario.
GLI EFFETTI DEGLI EVENTI AVVERSI CYBER SANITÀ
La sanità, inoltre, è uno dei pochissimi settori in cui un attacco informatico può creare un pericolo per la vita e la salute delle persone, oltre che un danno finanziario e operativo alle organizzazioni colpite. Nel 2020 si è registrato, in Germania, il primo caso in cui la morte di un paziente è stata direttamente causata da un attacco hacker. Una realtà sanitaria vittima di un evento cyber avverso può vedere, infatti, compromessa la sua capacità di erogare cure, eseguire esami, accedere alle cartelle cliniche. A questo si aggiunge il rischio di furto e diffusione dei dati sensibili, nonché il costo delle risorse dirottate per reagire all’attacco e ristabilire l’operatività compromessa.
IN QUESTO SCENARIO, OGNI STRUTTURA SANITARIA HA BISOGNO DI UNA STRATEGIA INTEGRATA DI GESTIONE DEL RISCHIO CYBER
La sicurezza cyber in sanità non può prescindere dalla compresenza di tre strumenti fondamentali: una dotazione tecnologica all’avanguardia; una strategia globale di cyber risk management per la mitigazione del rischio; una polizza assicurativa per la copertura del rischio residuale. È essenziale ribadire la complementarità di questi tre elementi.
È questa la strategia del gruppo Relyens su ogni aspetto del rischio clinico: affiancare le strutture sanitarie con un approccio a 360 gradi che include specifici interventi e strumenti proprietari di risk management, per poi coprire con la componente assicurativa il rischio residuale al suo manifestarsi.
PERCHÈ C’È BISOGNO DI UNA POLIZZA CYBER IN SANITÀ
Al momento, Sham Cyber Protection è l’unica polizza in Italia specificamente progettata per affrontare la minaccia cyber in sanità. Il prodotto si compone di tre elementi fondamentali: il primo è l’assistenza 24 ore su 24, 7 giorni su 7, basata in Italia. Non è un servizio che, nell’immaginario, si associa immediatamente a una polizza assicurativa, ma è essenziale in questo settore. Un evento avverso cyber può avvenire in qualsiasi momento e la risposta nelle prime ore è determinante per arginare l’estensione del danno. Non si può sovrastimare il beneficio che un’azienda trae dal poter accedere alla consulenza di professionisti legali, tecnologici e di comunicazione specializzati espressamente nel fronteggiare questo nuovo genere di crisi. Il tutto potendo dialogare con loro in modo chiaro, rapido e inequivocabile, senza alcuna barriera linguistica.
La seconda area riguarda la copertura del danno subito dalle strutture sanitarie, compresi i costi per ristabilire l’attività quotidiana e recuperare i dati persi.
La terza area, infine, protegge le strutture dalla responsabilità civile per danni a terzi, quindi per i danni alla salute e alla privacy dei pazienti.
IL NUOVO ORIZZONTE DELLA CYBER SECURITY IN SANITÀ
Il lancio della nuova polizza pone il gruppo Relyens in netta controtendenza rispetto a un mercato assicurativo che si è progressivamente ritirato dal settore sanitario, in particolare nell’ambito cyber, giudicandolo troppo “difficile” e poco redditizio.
Sham Cyber Protection non è, perciò, solo un nuovo prodotto assicurativo, ma un nuovo ambito di opportunità per la sicurezza delle strutture sanitarie e, più in generale, dell’intero settore. Ci auguriamo che il top management della sanità e i Chief Information Officer guardino sempre più a una polizza cyber come a uno strumento integrato con tutti gli altri interventi di protezione.
Le attività di gestione del rischio sono, infatti, un crocevia del futuro sanitario. Solo una sanità sicura potrà essere al tempo stesso sostenibile, innovativa e capace di impiegare i dati per implementare l’efficacia e l’efficienza sia delle cure che della governance.