Aggiornamento sulla Governance della Cyber Sicurezza del NHS

Il National Health Service (NHS) dell’Inghilterra, in collaborazione con il National Data Guardian (NDG), ha annunciato oggi un nuovo framework per la resilienza cibernetica per le organizzazioni di salute e assistenza sociale. Questo framework mira ad allineare gli standard di sicurezza cibernetica del NHS con quelli di altri settori.

Questo cambiamento, parte della strategia di sicurezza cibernetica 2023-2030 del Dipartimento di Salute e Assistenza Sociale, mira a portare la salute e l’assistenza in linea con gli standard di resilienza cibernetica utilizzati in altri settori.

A partire dal 2 settembre 2024, il NHS Data Security and Protection Toolkit inizierà la transizione dagli standard di sicurezza dei dati NDG ai Cyber Assessment Framework (CAF) del National Cyber Security Centre come suo principale framework di valutazione.

La fase iniziale coinvolgerà un gruppo selezionato di grandi organizzazioni, con altre che seguiranno gradualmente. Il DSPT allineato al CAF mira a concentrarsi sul raggiungimento degli obiettivi piuttosto che sul superamento semplice dei controlli di sicurezza, permettendo alle organizzazioni di personalizzare il loro approccio in base alle loro specifiche esigenze, come riportato nella dichiarazione originale.

Questo cambiamento è una risposta a diversi attacchi informatici di alto profilo che hanno interrotto i servizi del NHS.

Un incidente degno di nota si è verificato nel giugno del 2024 quando il fornitore di patologia Synnovis è stato colpito da un attacco informatico. L’attacco ha comportato il rinvio di migliaia di appuntamenti e operazioni dei pazienti in tutto il sud-est di Londra mentre l’azienda lavorava per ricostruire i suoi sistemi informatici.

Nel marzo 2024, l’NHS Dumfries e Galloway è caduto vittima di un attacco ransomware. Gli aggressori hanno rubato tre terabyte di dati dei pazienti e li hanno pubblicati sul dark web. Questo incidente ha spinto il consiglio sanitario a mettere in guardia quasi 150.000 pazienti sul fatto che le loro informazioni personali potrebbero essere state compromesse.

Nell’agosto 2024, un altro incidente informatico ha colpito un subappaltatore di un fornitore terzo per diverse direzioni dell’NHS Scotland. L’attacco ha portato alla compromissione dei numeri di cellulare appartenenti al personale NHS.

Questi attacchi evidenziano la crescente vulnerabilità delle organizzazioni sanitarie alle minacce informatiche. Man mano che l’affidamento ai sistemi digitali aumenta, è imperativo per queste organizzazioni investire in misure di sicurezza informatica robuste per proteggere i dati dei pazienti e garantire la continuità dei servizi essenziali.