Gyala riconosciuta Sample Vendor nel documento “Emerging Tech: AI in CPS Security” di Gartner Leggi

Cyberattacchi agli ospedali:

Come proteggere OT/IoT e azzerare il rischio diretto sul paziente

La Sanità italiana è nel mirino globale del cybercrime, con attacchi in crescita quasi triplicati negli ultimi 5 anni secondo i dati Clusit. La minaccia va oltre il furto di dati, impattando direttamente la continuità operativa e la sicurezza del paziente. Le principali vulnerabilità sono l’adozione massiccia di tecnologie OT/IoT (che espongono apparati elettromedicali vitali) e la Supply Chain (spesso vettore di infiltrazione per via degli accessi remoti dei fornitori). Di fronte a minacce emergenti come gli attacchi DDoS da hacktivism, è indispensabile un approccio integrato (IT, OT, Supply Chain) e un investimento in soluzioni di sovranità per il discovery degli asset e la gestione sicura degli accessi, in linea con la direttiva NIS 2

La Sanità in Italia è un settore critico e vulnerabile alla minaccia informatica. Le conseguenze di un cyber attacco vanno ben oltre la semplice tutela dei dati, minacciando direttamente la continuità operativa e la sicurezza del paziente.

Un contesto sensibile e costantemente sotto attacco

Il settore sanitario è globalmente nel mirino. Secondo i dati Clusit, negli ultimi 5 anni gli incidenti cyber globali sono quasi triplicati, passando da 200 casi nel 2020 a 471 nel 2024, nonostante un leggero rallentamento della crescita (dal +30,3% nel 2023 al +18,9% nel 2024).

Un fattore emergente, osservato nel primo trimestre 2025, è l’anomalia nel tipo e nella geografia delle vittime. Clusit ha notato un rilevante aumento degli attacchi DDoS (Distributed Denial of Service), riconducibili a fenomeni di hacktivism, e uno spostamento geografico significativo verso l’Asia.

Questi dati indicano che la Sanità, pur essendo ancora dominata da attacchi ransomware e cybercrime (99,4% degli attacchi nel 2024), deve ora affrontare anche nuove minacce emergenti, contro cui le strutture sono generalmente meno preparate. Sebbene i DDoS abbiano impatti operativi medi, gli incidenti attribuibili a hacktivism compromettono non solo le attività ma anche la reputazione delle strutture sanitarie.

Le vulnerabilità strutturali:
OT/IoT e Supply Chain

La minaccia in sanità è amplificata da due vulnerabilità chiave:

  • Rischio clinico da OT e IoT. La crescente digitalizzazione e l’adozione massiccia di tecnologie OT (Operational Technology) e IoT (Internet of Things) nel contesto ospedaliero espongono a effetti estremamente perniciosi. Un attacco può interrompere non solo la disponibilità delle informazioni, ma anche il funzionamento di apparati elettromedicali fondamentali per la diagnostica e la cura, mettendo a repentaglio la vita dei pazienti e ostacolando la gestione delle emergenze. La complessità delle infrastrutture OT/IoT, spesso con componenti legacy non progettate per la sicurezza, amplia la superficie di attacco.
  • La Supply Chain come vettore d’infiltrazione. Una quota importante delle violazioni deriva dalla catena di fornitura (supply chain). I fornitori esterni presentano di frequente vulnerabilità interne non monitorate. Di conseguenza, manutentori e partner possono rivelarsi perfetti canali d’ingresso nei sistemi IT delle strutture sanitarie. È essenziale dedicare un focus speciale alla gestione sicura degli accessi remoti di questi soggetti, che sono spesso vettori d’infiltrazione non adeguatamente controllati né protetti.

Data la natura inarrestabile e necessaria della trasformazione digitale, è fondamentale un investimento in cybersecurity, inteso come garanzia di continuità operativa e di sicurezza del paziente.

Strategia Integrata: l’approccio necessario

La cybersecurity sanitaria richiede un approccio integrato, tecnologicamente avanzato e calibrato sulle esigenze specifiche del settore.

Nicola Mugnato, CTO e fondatore di Gyala, sottolinea la necessità di risposte settoriali specifiche:

“I sistemi elettromedicali delle infrastrutture sanitarie, al pari dei sistemi di depurazione e distribuzione dell’acqua, delle centrali elettriche o dei sistemi IT delle pubbliche amministrazioni richiedono tutti regole diverse, perché ciascuno ha bisogno di reazioni specifiche che siano in grado non solo di bloccare l’attacco, ma anche di ripristinare il servizio. Non basta garantire integrità, disponibilità o riservatezza delle informazioni, bisogna garantire che le macchine che utilizziamo per la diagnosi e la cura dei pazienti non possano invece arrecare danno, così come occorre impedire che uno stato straniero possa spegnere le nostre centrali elettriche o bloccare comunicazioni e trasporti”.

Gli interventi più efficaci guardano a un modello esteso di governance della sicurezza, capace di integrare IT, OT e supply chain e di monitorare dispositivi e accessi con tecnologie intelligenti. In questo scenario, abilitare un risk management basato su dati e automazione è ormai un must.

Per la difesa, discovery e accessi sicuri

Considerate le specifiche vulnerabilità (OT/IoT, accessi deboli dei fornitori), è necessario individuare strumenti che rafforzino gli endpoint e permettano il discovery degli asset:

  1. Discovery e difesa OT/IoT: è fondamentale effettuare in modo automatizzato il discovery di ogni dispositivo OT/IoT presente nelle reti ospedaliere (PLC, macchine a controllo numerico, apparati elettromedicali e sensori) per identificare tempestivamente dispositivi non autorizzati o compromessi.
  2. Mitigazione Supply Chain (NIS 2): l’adozione di un Secure Gateway è indispensabile per limitare l’esposizione al cybercrime veicolato da manutentori e supply chain. Questa soluzione è in linea con la direttiva NIS 2, che obbliga le organizzazioni sanitarie a includere la gestione del rischio supply chain nelle proprie strategie.

Le soluzioni: Agger 3.0 e Secure Gateway

Sul mercato, Gyala propone tecnologie avanzate e integrate per il settore sanitario: Agger 3.0 e il Secure Gateway.

  • Agger 3.0 è in grado di identificare automaticamente, classificare e monitorare in tempo reale ogni dispositivo OT/IoT presente nelle reti ospedaliere, grazie a regole di detection espresse in Sigma, Yara e Suricata. Il sistema di tagging agentless facilita la gestione tempestiva delle anomalie.
  • Agger 3.0 integrato con il Secure Gateway permette di monitorare e proteggere la rete e di gestire in sicurezza gli accessi dei fornitori, creando un canale sicuro per gli accessi remoti con finestre temporali predefinite e un audit trail completo.

Infine, Mugnato evidenzia l’importanza dell’italianità di queste soluzioni:

“La Sovranità Nazionale per le tecnologie di cyber security è un tema a cui noi crediamo molto e che è stato ribadito dal Governo con il recente DPCM del 30 Aprile… I clienti stessi apprezzano la tecnologia italiana […] e sono felici di sapere che per qualsiasi esigenza non si devono rivolgere ad una insensibile multinazionale, ma possono contare su una reattiva e flessibile azienda nazionale pronta a sopportarli come se fossero parte della loro stessa organizzazione”.