“Facing the Cyber Risk Challenge” è il titolo di una ricerca promossa dai Lloyd’s – il mercato assicurativo e riassicurativo per i rischi speciali – che rileva come nel settore sanitario e medicale la sicurezza dei dati informatici è oggi di responsabilità dei vertici aziendali: per il 59% delle aziende è il Ceo ad avere diretta responsabilità sulla sicurezza informatica. Tuttavia molte aziende europee attive nel settore sanitario e medicale sottovalutano ancora il potenziale impatto sul business di un attacco informatico: solo il 12% delle aziende ritiene di poter avere una perdita di clientela a causa di questo. L’indagine, che ha preso in esame i comportamenti dei leader di business europei sulla sicurezza informatica, ha rivelato che sebbene il 96% delle aziende sanitarie abbia già subito una violazione informatica negli ultimi cinque anni, soltanto il 32% teme ne possa accadere un’altra in futuro. Secondo l’amministratore delegato dei Lloyd’s, Inga Beale, i risultati dovrebbero servire da monito per le aziende che si considerano preparate per far fronte ai rischi informatici e agli impatti per le loro aziende. «È rassicurante – ha dichiarato Inga Beale – sapere che la responsabilità per il rischio cyber è nelle mani dei vertici aziendali ma risulta chiaro che troppe aziende sottovalutano i pericoli derivanti da una violazione informatica che potrebbero avere gravi conseguenze. Purtroppo non viviamo più in un mondo nel quale è possibile prevedere questo genere di rischi; quello che importa è come questi rischi vengono gestiti e come ci si prepara ad affrontarli per proteggere l’attività aziendale e soprattutto i dati dei vostri clienti. Come dimostrato da eventi recenti, ottime reputazioni guadagnate con il lavoro di anni possono svanire in un secondo se non sono stati implementati piani adeguati di protezione».
Inga Beale ha sottolineato che l’industria assicurativa può svolgere un ruolo chiave nel sostenere le aziende in questo scenario, non solo con la copertura per le perdite finanziarie ma nel supportarle a far fronte alla nuova regolamentazione europea e nella gestione delle collegate potenziali problematiche di reputazione. “La nuova regolamentazione europea prevede che le aziende siano più reattive, rispetto al passato, rispetto ai tema dei rischi informatici e alla protezione dei dati. Le compagnie di assicurazione mettono a disposizione molto di più che la sola copertura assicurativa; offrono un servizio completo che può indirizzare le aziende verso i nuovi obblighi di regolamentazione per proteggere i loro clienti ed il loro brand”. Con il recepimento del Regolamento Generale per la Protezione dei Dati (GDPR), le organizzazioni che gestiscono dati di cittadini europei saranno obbligati a rendere note entro 72 ore le eventuali perdite di dati e potranno essere soggette a sanzioni fino a €20 milioni, qualora non si adoperino per attivare sistemi di protezione dei dati. Nonostante questo, ben il 53% dei leader delle aziende sanitarie afferma di non aver pienamente compreso le implicazioni potenziali del GDPR sui loro business.
I punti chiave evidenziati dall’indagine sono:
- Il 96% delle aziende sanitarie e medicali ha subito una violazione della sicurezza informatica negli ultimi cinque anni
- Tuttavia, solo il 32% è preoccupato di poter subire un’ulteriore violazione sulla protezione dei dati
- Sebbene il 97% degli intervistati abbia sentito parlare del GDPR, solo il 3% ha dichiarato di avere un’approfondita conoscenza del tema. Il 53% ha confermato di conoscere “poco” o “nulla” riguardo a questo tema.
- Grado di conoscenza dell’impatto del GDPR da parte di aziende nel settore sanitario e medicale: controlli da parte degli enti preposti (67%), sanzioni finanziarie (62%), impatto sul prezzo delle azioni (valore azionario) (52%) e reputazione (55%). Solo il 12% delle aziende ritiene di poter perdere clienti in caso di una violazione.
- Minacce interne identificate dalle aziende sanitarie e medicali quali possibili cause di una violazione dei dati: perdita, furto o scarto di un’apparecchiatura (46%), perdita fisica di documenti cartacei o di dispositivi non elettronici (44%), un interno che viola intenzionalmente i dati (40%).
- Minacce esterne identificate dai leader di aziende sanitarie e medicali quali possibili cause di una violazione dei dati: attività di hackers a scopo di lucro (49%), attività di hackers per ragioni politiche (48%) attività di hackers da parte di competitors (42%).