Sham, società mutua specializzata in assicurazione e gestione dei rischi degli operatori sanitari e socio-sanitari, ha pubblicato insieme al Dipartimento di Management dell’Università di Torino, una ricerca sulla preparazione e consapevolezza del rischio informatico nella sanità italiana.
Il sondaggio, i cui risultati sono approfonditi nel whitepaper “Capire il rischio Cyber: il nuovo orizzonte in sanità”, raccoglie e analizza le risposte di 68 professionisti sanitari operanti in strutture distribuite su 14 Regioni italiane.
I professionisti intervistati sono Risk Manager, Responsabili Qualità, Data Protection Officer (DPO), Responsabili della sicurezza informatica (CISO) e dell’Ingegneria Clinica, nonché Referenti della Direzione Sanitaria e Generale.
Il 70% delle strutture è appartenente alla sanità pubblica, il 30% al comparto privato, con dimensioni che variano da meno di 250 posti letto a più di 750, rappresentando in maniera omogenea la composizione del sistema sanitario nazionale.
“È un’analisi circoscritta ma rappresentativa, che fotografa lo stato dell’arte della preparazione dei nostri operatori sanitari rispetto alla minaccia cyber e i cui risultati possono contribuire concretamente alla ricerca sulla sicurezza del comparto salute” afferma Roberto Ravinale, direttore esecutivo di Sham Italia.
Dalla ricerca emerge che il24% delle strutture ha dichiarato di aver subìto attacchi informatici, dei quali l’11% è costituito da ransomware e il 33% da accessi abusivi ai dati. La minaccia hacker però non è sottostimata: il 59% delle strutture percepisce il tema cyber risk in sanità come una priorità che impatta su prestazioni erogate e modelli organizzativi interni. Un ulteriore 31% ha valutato il tema come parzialmente prioritario. Ciononostante sono ancora poco frequenti le misure adottate dalle strutture per prevenire e gestire il rischio cyber: mappature, analisi dei rischi e test di vulnerabilità figurano solo in un terzo del totale.
Gli autori Anna Guerrieri, Risk Manager di Sham in Italia e Enrico Sorano, Professore aggregato di Economia aziendale presso il Dipartimento di Management dell’Università di Torino, spiegano che complessivamente “l’ambito normativo, il livello di priorità all’interno della gestione aziendale e la dotazione hardware risultano all’altezza della sfida crescente. Ma il livello di guardia e di competenza tecnica tra il personale che quotidianamente utilizza i dispositivi non è sufficiente. Molto spesso si aprono porte agli hacker in modo del tutto inconsapevole. È essenziale alzare il livello di allerta introducendo percorsi di formazione continuativa e nuove competenze”.
“C’è bisogno di un altro paradigma”, ha detto Antonio Furlanetto, futurista e risk manager esperto in responsabilità civile; Docente di Risk Management Anticipante presso l’Università di Trento. “Non possiamo più fare affidamento su una gestione del rischio esclusivamente reattiva, ma dobbiamo accettate che il futuro ci riserva intenti che non possiamo prevedere, ma ai quali ci possiamo preparare. Non è un limite delle nostre conoscenze, è nella natura delle cose che ci siano dei rischi autenticamente incerti. Il rischio informatico rientra in questa categoria e non può essere limitato ai soli attacchi hacker. Abbiamo un rischio legato al malfunzionamento della tecnologia stessa, all'uso dei dati, all'attenzione o meno delle persone. Tutto questo fa del rischio cyber un rischio polivalente che richiede una preparazione contemporanea su tutti i piani nei quali si manifesta”.
“Tutti i dati in nostro possesso confermano che la chiave della sicurezza e della sostenibilità sanitaria passano attraverso una cultura della prevenzione a 360°”, ha concluso Roberto Ravinale. “Più sicuro è l’ecosistema, più sicuro diventa ogni singolo attore, più diventano sicure le cure. E, in questo nuovo contesto di rivoluzione tecnologica, la sicurezza assurge a conditio sine qua non per l’innovazione e la digitalizzazione: solo una sanità pienamente sicura potrà essere pienamente digitale e quindi in grado di assicurare cure più performanti. Sham è in prima linea nell’accompagnare i propri clienti-associati lungo questo percorso e continuerà nel contribuire alla diffusione delle buone pratiche e nel condividerle con l’ecosistema sanitario con l’obiettivo ultimo di una messa in sicurezza dell’intero comparto”.