Come ha scoperto il Ponemon Institute in uno studio, gli attacchi informatici portano a un aumento del tasso di mortalità in oltre il 20% delle strutture sanitarie statunitensi colpite. Gli attacchi informatici provocano ritardi nel trattamento o nei test. Questo costa vite.
Proofpoint, Inc., una delle principali società di sicurezza informatica e conformità di nuova generazione, e il Ponemon Institute, un importante istituto di ricerca sulla sicurezza IT, presentano i risultati di un nuovo studio sulle conseguenze degli attacchi informatici nel settore sanitario. Il rapporto, intitolato "Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care", ha rilevato che l'89% delle organizzazioni intervistate ha subito una media di 12 attacchi negli ultimi 43 mesi, quasi un attacco a settimana. Oltre il 20% delle organizzazioni colpite dai quattro tipi di attacco più comuni (compromissione del cloud, ransomware, attacco alla catena di fornitura o compromissione della posta elettronica aziendale (BEC)) ha registrato un aumento della mortalità dei pazienti.
Molti attacchi = aumento della mortalità dei pazienti
Per lo studio sono stati intervistati 641 professionisti IT e della sicurezza sanitaria. Secondo lo studio, i ritardi nel trattamento e nei test sono le conseguenze più comuni degli attacchi. Ciò si traduce in esiti peggiori per il paziente per il 57% degli operatori sanitari statunitensi e in un aumento delle complicanze dovute a procedure mediche per quasi la metà. Il tipo di attacco che ha più probabilità di avere un impatto negativo sull'assistenza ai pazienti è il ransomware. Causa ritardi nel trattamento o nei test per il 64% delle organizzazioni e degenze più lunghe per il 59% delle organizzazioni.
"Gli attacchi che abbiamo analizzato mettono a dura prova le risorse sanitarie. Non solo generano costi enormi, ma hanno anche un impatto diretto sull'assistenza ai pazienti e mettono a rischio la sicurezza e il benessere delle persone", ha affermato Larry Ponemon, presidente e fondatore dell'Istituto Ponemon. "La maggior parte dei professionisti IT e della sicurezza considera le proprie organizzazioni vulnerabili a questi attacchi e due terzi ritengono che tecnologie come il cloud computing, il mobile computing, i big data e l'IoT continuino ad esacerbare i rischi per i dati dei pazienti e la sicurezza".
Risultati importanti dello studio:
- L'insicuro Internet of Medical Things (IoMT) è un grosso problema. In media, le organizzazioni sanitarie hanno più di 26.000 dispositivi connessi alla rete. Sebbene il 64% degli intervistati sia preoccupato per la sicurezza dei dispositivi medici, solo il 51% li include nella propria strategia di sicurezza informatica.
- aziende sanitarie sentirsi più vulnerabili e meglio preparati per i rischi del cloud. Il 75% degli intervistati ha affermato che la propria organizzazione è a rischio di attacchi al cloud e il 54% ha confermato che la propria organizzazione è stata colpita con successo da un attacco al cloud almeno una volta negli ultimi due anni. Le società di questo gruppo hanno affrontato una media di 22 casi di questo tipo negli ultimi due anni. Da un lato, sono i più a rischio, ma dall'altro sono i più preparati a una violazione del cloud: il 63% degli intervistati si concentra sull'adozione di misure per prepararsi e rispondere a questi attacchi.
- Il ransomware è la seconda più grande minaccia. Il 72% degli intervistati ritiene che le proprie organizzazioni siano a rischio di attacchi ransomware e il 60% afferma che questo tipo di attacco li preoccupa maggiormente. Di conseguenza, il 62% ha adottato misure per prevenire e rispondere agli attacchi ransomware.
- Una scarsa preparazione mette a rischio i pazienti. Sebbene il 71% degli intervistati ritenga di essere a rischio di attacchi alla catena di approvvigionamento e il 64% la pensi allo stesso modo per BEC e phishing, solo il 44% e il 48%, rispettivamente, ha un metodo definito per rispondere a questi attacchi.
- Il danno finanziario causato dagli attacchi informatici è enorme. L'attacco informatico più costoso è costato alle organizzazioni una media di 12 milioni di dollari negli ultimi 4,4 mesi, con la perdita di produttività che ha avuto il maggiore impatto finanziario (1,1 milioni di dollari).
I programmi di formazione e sensibilizzazione nonché il monitoraggio dei dipendenti sono le misure di protezione più importanti. Le organizzazioni si stanno sempre più rendendo conto che i dipendenti disattenti e negligenti rappresentano un rischio significativo. Il 59% sta prendendo provvedimenti per sensibilizzare i dipendenti, con il 63% che conduce regolari programmi di formazione e sensibilizzazione e il 59% monitora l'attività dei dipendenti. - Mancanza di mezzi e risorse finanziarie rimangono una sfida Il 53% dei partecipanti ha affermato che la mancanza di competenze interne è una sfida e il 46% ha affermato di non disporre di personale sufficiente, entrambi fattori che incidono negativamente sulla sicurezza informatica.
I punti deboli devono essere eliminati
“Rispetto ad altri settori, l'assistenza sanitaria è tradizionalmente rimasta indietro quando si tratta di eliminare i punti deboli. E questa inerzia ha un impatto negativo diretto sulla sicurezza e sulla salute dei pazienti", ha affermato Ryan Witt, Healthcare Cybersecurity Leader di Proofpoint. “Finché la sicurezza informatica sarà una priorità inferiore, gli operatori sanitari metteranno a rischio i loro pazienti. Per evitare ripercussioni fatali, le organizzazioni sanitarie devono capire in che modo la sicurezza informatica sta influenzando la cura dei loro pazienti e adottare misure per proteggere persone e dati".
Altro su Proofpoint.com
A proposito di Proofpoint Proofpoint, Inc. è un'azienda leader nella sicurezza informatica. L'obiettivo di Proofpoint è la protezione dei dipendenti. Perché questi significano il capitale più grande per un'azienda, ma anche il rischio più grande. Con una suite integrata di soluzioni di sicurezza informatica basate su cloud, Proofpoint aiuta le organizzazioni di tutto il mondo a bloccare le minacce mirate, proteggere i propri dati e istruire gli utenti IT aziendali sui rischi degli attacchi informatici.