La Cybersecurity come presupposto necessario allo sviluppo della Sanità digitale in Italia

L’Italia continua a essere uno dei Paesi Europei con il più basso rapporto tra spesa sanitaria pubblica e Pil. Dal Def e dalla Nadef si evince come, ancora una volta, tale rapporto sia inferiore ai livelli che si registravano prima della pandemia.
Se si guarda il dato in valore assoluto non si coglie quello che sta accadendo. Nonostante migliorino le stime di spesa rispetto alla Nadef di novembre 2022, non ci sono gli incrementi richiesti da tutto il mondo sanitario. Né la prossima manovra finanziaria agevolerà la crescita.
L’incremento di 4,3 mld nel 2023 è solo apparente a causa dello spostamento del rinnovo contrattuale del personale dirigente, a causa dell’erosione del potere di acquisto (secondo l’Istat a oggi l’inflazione acquisita per il 2023 si attesta a +5%, un valore superiore all’aumento della spesa sanitaria che, invece, si ferma a +3,8%) e un indice dei prezzi del settore sanitario è superiore all’indice generale di quelli al consumo.
Ci si assesterà intorno al 2024 con una decrescita e un peso rispetto al Pil del 6,3, quando la media dei paesi Ocse è 8,8 e circa il 10% di Francia e Germania (Figura 1).
All’interno degli investimenti previsti, una voce ampia è quella relativa alla tecnologia, all’interno della quale il Def stesso sottolinea l'importanza della telemedicina e della digitalizzazione nel migliorare l'efficienza del sistema sanitario. Gli investimenti in tecnologie sanitarie avanzate sono visti come una via per migliorare l'accesso alle cure e ridurre i costi a lungo termine.
La trasformazione digitale nel settore sanitario italiano è in corso da molti anni. L'adozione di sistemi informatizzati per la gestione dei dati dei pazienti, la condivisione di informazioni tra strutture sanitarie e il miglioramento delle diagnosi grazie alla tecnologia ha reso il sistema sanitario più efficiente e accessibile. Tuttavia, questa digitalizzazione ha anche aperto la porta a nuove minacce informatiche.
All’interno dell’indagine 2023 effettuata da NetConsulting cube, società di analisi di mercato e consulenza, emerge quanto tra le aree principali di investimento ci sia la cybersecurity (Figura 2). Dall’analisi emerge come nel 2022 l’ambito cybersecurity veda investimenti pari a 120 milioni di euro, un valore certamente contenuto se si pensa alla "strategicità" dei dati gestiti dal sistema salute e alla numerosità degli attori presenti sull’intero territorio nazionale. Tuttavia, è un mercato che evidenzia crescite importanti del 19%, del 20% e del 17% negli anni a venire. Tale trend è da imputare sia alla velocità di evoluzione tecnologica che richiede un allineamento degli investimenti, sia anche alla progressiva digitalizzazione di molti processi di cura, supportati da dispositivi medici connessi. E anche a una sensibilità della domanda accresciuta negli ultimi anni a causa dei numerosi e gravi attacchi subiti.
A conferma: in Italia nel 2022 gli attacchi sono stati 188, in crescita del 169% rispetto all’anno precedente. Di questi, il 7,6% è andato a segno con una gravità che è risultata elevata o critica nell’83% dei casi. Il 12% degli attacchi è stato rivolto alla Sanità. E il 2023 sembra confermare questo andamento. I primi dati relativi al primo trimestre del 2023 fanno pensare a una crescita di cyberattack nel mondo sanità del 22%.
Nonostante l’inasprirsi delle minacce, le risposte fornite dai Cio intervistati sull’organizzazione e le misure adottate in ambito cybersecurity evidenziano ancora aree di miglioramento nella capacità di risposta e di gestione delle minacce cyber.
Le ragioni sono molteplici e da ricondursi a motivi organizzativi e di competenze. Infatti, dall’indagine svolta durante il primo semestre 2023 da NetConsulting cube emerge che nel 46% dei casi manca una funzione responsabile interamente dedicata alle attività relative alla cybersecurity (soprattutto nella Sanità pubblica dove questo dato arriva al 52%). Al Centro e nel Sud e Isole, poi, questa percentuale si impenna rispettivamente al 67% e 63%.
Laddove, invece, esista un responsabile Cyber all’interno del dipartimento IT (24% del totale), questo ha una struttura numericamente esigua e con competenze non del tutto rispondenti alle esigenze.
Si comprende, pertanto, come le strutture sanitarie facciano un forte ricorso ai fornitori specializzati e a servizi di monitoraggio H24 (Security Operation Center) e a servizi di consulenza per verificare le vulnerabilità e adottare i corretti criteri di tutela (Figura 3).
Certamente, nel corso di questi ultimi mesi, è emersa una maggiore sensibilità sia da parte dei Cio sia da parte delle figure apicali delle strutture sanitarie e ospedaliere. Questo sta portando alla costruzione di un approccio più strategico e olistico alla cybersicurezza. A partire dai percorsi formativi rivolti a tutto il personale medico, amministrativo e tecnico, attraverso una formazione continua, esercitazioni, per proteggere i dati dei pazienti, come rispondere agli incidenti di sicurezza, come evitare possibili comportamenti errati (cybersecurity awareness).
Ma includendo anche un dialogo più frequente, fitto e strutturato sia con le autorità competenti (Acn in primis) sia con le altre strutture sanitarie per condividere informazioni sulle minacce e sviluppare strategie di difesa congiunte. Se ciascun singolo attore, infatti, dispone di risorse comunque limitate, l’intelligenza e l’esperienza collettiva possono generare effetti moltiplicativi di grande efficacia.
All’interno del Digital Health Summit, l’evento dedicato alla Sanità Digitale e organizzato da GGallery, NetConsulting cube e del Convegno annuale di AISIS, una tavola rotonda sarà proprio dedicata al tema della cybersecurity, per stimolare quel confronto necessario tra i diversi attori del mondo della sanità, quella contaminazione capace di creare nuove soluzioni sinergiche.

* NetConsulting cube