Quasi un quarto delle organizzazioni sanitarie colpite da un attacco ransomware negli ultimi due anni ha affermato di aver subito un aumento dei tassi di mortalità dei pazienti, secondo un nuovo rapporto sponsorizzato dalla società di sicurezza informatica Censinet. La scoperta si aggiunge a una pila crescente di dati che mostrano che gli attacchi informatici non causano solo problemi finanziari o logistici, ma potrebbero anche rappresentare gravi rischi per la salute.
“L'impatto del ransomware sulla cura dei pazienti è innegabile”, afferma Ed Gaudet, CEO e fondatore di Censinet. “Non dovremmo aver paura di guardare questi dati e di continuare a insistere su questa domanda”.
L'analisi, condotta da un istituto di ricerca chiamato Ponemon Institute, ha raccolto le risposte al sondaggio di quasi 600 organizzazioni sanitarie negli Stati Uniti , dai sistemi sanitari regionali ai produttori di dispositivi medici. Poco più del 40% ha dichiarato di aver subito un attacco ransomware negli ultimi due anni, attacchi informatici che bloccano i sistemi informatici e richiedono un pagamento per sbloccarli. Questi attacchi hanno interrotto la capacità delle strutture di prendersi cura dei pazienti. Circa il 70% dei gruppi che hanno subito attacchi ransomware ha affermato che tali interruzioni ha portato a ricoveri ospedalieri più lunghi per i pazienti e a esami o procedure ritardati. Inoltre, il 36% ha affermato di aver riscontrato più complicazioni dovute alle procedure mediche e il 22% ha affermato di aver aumentato i tassi di mortalità.
Questi numeri vengono forniti con alcuni grandi avvertimenti: provengono da un sottoinsieme relativamente piccolo di organizzazioni sanitarie e non c'è un doppio controllo su ciò che le organizzazioni hanno riportato. Il sondaggio non ha chiesto alle organizzazioni perché o come sono arrivate a tali conclusioni, non ha detto come hanno misurato i cambiamenti nei tassi di mortalità, ad esempio. Senza ulteriori dettagli su questi metodi, è importante interpretare i risultati con cautela, afferma Gaudet. Probabilmente è troppo presto per affermare con sicurezza che il ransomware ha causato direttamente risultati negativi a quelle frequenze. “Dobbiamo stare attenti come industria a non reagire in modo eccessivo”, dice. Ma è ancora qualcosa a cui l'industria dovrebbe prestare attenzione e preoccuparsi. “Anche se è solo l'uno percento o il mezzo percento, dovremmo preoccuparci di questi dati”.
Nel complesso, oltre la metà dei gruppi sanitari che hanno risposto al sondaggio ha affermato di non essere sicura che le proprie organizzazioni possano gestire i rischi degli attacchi ransomware.
Le persone che lavorano nel settore sanitario sono state storicamente riluttanti a dire che il ransomware danneggia i pazienti. Ci sono stati pochissimi sforzi per quantificare la relazione tra attacchi informatici e salute dei pazienti, e gli ospedali tendono a essere riluttanti a condividere molte informazioni sulle loro esperienze a causa dei potenziali impatti sulla reputazione dell'ospedale. “Penso che come industria, questa è una domanda a cui quasi non vogliamo conoscere la risposta”, afferma Gaudet. “Perché se è vero, allora amico, abbiamo davvero il nostro bel da fare.”
Gli attacchi informatici alle strutture sanitarie sono aumentati nell'ultimo anno, il che conferisce nuova urgenza alla questione . E ci sono state recenti spinte ad approfondire la questione: una nuova analisi della Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, ad esempio, ha mostrato che gli ospedali del Vermont colpiti da attacchi ransomware durante la pandemia di COVID-19 hanno iniziato a hanno morti in eccesso più rapidamente degli ospedali che non si occupano di attacchi informatici.
“Penso che questo stia raggiungendo un livello di criticità che sta attirando l'attenzione dei CEO e dei consigli di amministrazione”, afferma Gaudet. “Dati come questo inizieranno a prendere in considerazione il modo in cui le persone pensano alle aree di interesse e di investimento. Se il ransomware sta davvero diventando un problema per la sicurezza dei pazienti, dovranno affrontarlo”.