Sblocca gratuitamente l'Editor's Digest
Un attacco informatico che ha colpito migliaia di pazienti del Servizio Sanitario Nazionale del Regno Unito ha contribuito a far scattare l'azione del governo di Sir Keir Starmer per costringere i fornitori privati di servizi pubblici essenziali a rafforzare le protezioni contro gli hacker.
I contraenti dovranno rafforzare la sicurezza digitale, secondo i piani svelati nel discorso del Re, per affrontare la crescente vulnerabilità delle “catene di fornitura” digitali al servizio delle istituzioni statali.
L'attacco ransomware del 3 giugno da parte del gruppo russo Qilin ai danni della joint venture pubblico-privata Synnovis nel settore della patologia ha interrotto l'assistenza sanitaria di migliaia di persone iscritte ai grandi ospedali di Londra.
Sottolinea i rischi aggiuntivi per la sicurezza digitale derivanti dal crescente ricorso a fornitori di servizi privati da parte del Servizio Sanitario Nazionale, una politica adottata sia dai governi conservatori che laburisti.
“C'è una lacuna enorme nel sistema, poiché non abbiamo un chiaro regolatore della sicurezza informatica sanitaria che investigherà l'impatto sulla sicurezza dei pazienti degli incidenti di sicurezza informatica, monitorerà il comportamento dei fornitori e applicherà sanzioni in caso di inadempienza”, ha affermato il dott. Saif Abed, ex medico del Servizio Sanitario Nazionale ed esperto di sicurezza informatica e salute pubblica.
La grande interruzione informatica internazionale di venerdì, che ha impedito alla maggior parte degli studi medici di base in Inghilterra di accedere ai sistemi di cartelle cliniche dei pazienti, ha costretto alcuni ospedali a lavorare manualmente su carta e alcune farmacie non sono state in grado di distribuire medicinali essenziali, ha evidenziato il profondo impatto dell'interruzione dei servizi digitali sul Servizio Sanitario Nazionale.
Questa settimana i ministri hanno proposto un disegno di legge sulla sicurezza informatica e la resilienza in risposta agli attacchi di “criminali e attori statali” contro “ospedali, università, autorità locali, istituzioni democratiche e dipartimenti governativi”.
La legislazione mira a rafforzare le norme sulla sicurezza informatica e gli obblighi di segnalazione attualmente ripartiti tra 12 autorità di regolamentazione che coprono i principali settori infrastrutturali e i servizi digitali, come i mercati online.
La Gran Bretagna aveva bisogno di un “aggiornamento urgente” delle sue regole in modo che le sue infrastrutture e la sua economia non fossero “comparabilmente più vulnerabili” di quelle delle controparti dell'UE, ha affermato il governo. Il blocco ha lanciato il suo aggiornamento delle sue normative sulla resilienza informatica da quando il Regno Unito se n'è andato nel 2020.
Se approvato, il disegno di legge del Regno Unito rafforzerebbe le tutele informatiche e i requisiti di segnalazione degli incidenti per le aziende private che forniscono servizi pubblici. Fornirebbe inoltre risorse ai regolatori attraverso “potenziali meccanismi di recupero dei costi” e amplierebbe i loro poteri per indagare sulle potenziali vulnerabilità informatiche.
L'assistenza sanitaria è un obiettivo principale della mossa del Regno Unito e un grande bersaglio per gli hacker in tutto il mondo. Il governo ha evidenziato come l'hacking di Synnovis a giugno abbia finora portato al rinvio di 3.396 appuntamenti ambulatoriali e 1.255 procedure elettive presso King's and Guy's e St Thomas's.
L'incidente ha reso “dolorosamente chiaro quanto siano vulnerabili agli attacchi alcune parti del servizio sanitario”, ha affermato un funzionario governativo.
“Questi aggressori hanno visto un punto debole nella catena di fornitura del NHS e lo hanno sfruttato senza pietà”, ha aggiunto il funzionario. “I fornitori digitali devono avere le stesse protezioni del servizio sanitario stesso”.
Synnovis, di cui il 51% è di proprietà dell'azienda internazionale di diagnostica Synlab, ha affermato di accogliere con favore tutti gli sforzi volti a rafforzare le difese informatiche e a proteggere i servizi dalle attività di criminali e attori ostili.
Ha aggiunto di aver dedicato “tutte le risorse disponibili” per contenere l’impatto dell’attacco informatico del 3 giugno e per ricostruire la capacità del servizio, e ha indagato sull’incidente con l’NHS e il National Cyber Security Centre, una branca dell’agenzia di intelligence britannica GCHQ.
Il disegno di legge sulla sicurezza informatica ha rappresentato un “passo decisivo nella giusta direzione” per la protezione dell'assistenza sanitaria, ha affermato la dott.ssa Saira Ghafur, responsabile della salute digitale presso l'Institute of Global Health Innovation dell'Imperial College di Londra.
Restano ancora da definire dettagli importanti, ha aggiunto, tra cui quale ente regolatore supervisionerà le nuove norme, come saranno implementate e quali sanzioni saranno previste nel caso in cui le aziende non adottino misure di sicurezza adeguate.
“Dobbiamo essere più bravi a far rispettare gli standard informatici ai fornitori e ad adottare misure punitive quando questi standard non vengono rispettati”, ha affermato Ghafur. “Siamo forti solo quanto il nostro anello più debole, e abbiamo visto il danno risultante all'assistenza ai pazienti quando questo ha fallito”.