Se, da un lato, la pandemia da Covid-19 continua a mettere a dura prova il sistema sanitario mondiale, dall’altro le attività di ransomware e dei criminali informatici non sembrano arrestarsi. Nonostante molti dei più noti gruppi ransomware abbiano annunciato pubblicamente che non avrebbero attaccato le organizzazioni sanitarie impegnate in prima linea nella lotta alla pandemia, una ricerca di CrowdStrike ha evidenziato che, nel corso del 2020, 18 gruppi hanno infettato 104 strutture sanitarie.
Le recenti notizie sugli attacchi ransomware, compresi quelli sferrati a discapito del complesso ospedaliero Villefranche-sur-Saône e del Dipartimento della Salute Irlandese, e l’avvertimento da parte dell’FBI sulla banda criminale Conti che ha preso di mira più di 290 reti sanitarie negli Stati Uniti (e che in Italia ha colpito la San Carlo e il Comune di Torino), dimostrano che l’attività informatica malevola sta più che mai dilagando anche nel settore sanitario.
Quelli citati sono soltanto alcuni esempi, nonché gli ultimi di una serie di attacchi informatici succedutisi che hanno paralizzato le organizzazioni sanitarie di tutto il mondo.
Indice degli argomenti
L’impatto del ransomware sul sistema sanitario
Gli attacchi ransomware posso avere diversi effetti negativi su un’azienda, come il danno di reputazione, multe imposte dal governo, perdita di clienti, riduzione della produttività e molti altri.
L’impatto di un attacco sul settore sanitario, però, ha una rilevanza cruciale per la vita delle persone. La perdita di informazioni o l’impossibilità di accedere tempestivamente alle cartelle cliniche e ai dati sui pazienti possono avere effetti disastrosi e, in alcuni casi, anche estremamente pericolosi per la salute.
Gli attacchi mirati alle reti sanitarie e di primo soccorso spesso criptano le liste dei pazienti, le cartelle cliniche, gli appuntamenti programmati e altri sistemi critici. Questo impedisce agli operatori sanitari di svolgere attività di base ma fondamentali, come la programmazione dei farmaci.
Alcune strutture ospedaliere hanno quindi deciso di fare ricorso e si sono battute per tornare alla gestione tradizionale fatta di “carta e penna”. Ne è un esempio l’attacco ransomware WannaCry avvenuto nel 2017, che ha causato la cancellazione di 19 mila appuntamenti, con conseguenze ovvie e incommensurabili sulla salute pubblica, costate al settore sanitario inglese 116,4 milioni di sterline. L’attacco WannaCry fu il primo a portare il ransomware al centro dell’attenzione pubblica.
Perchè i criminali informatici prendono di mira il settore sanitario
Il settore sanitario comprende ospedali e cliniche, case farmaceutiche, istituti di ricerca e organizzazioni accademiche, oltre ad assicurazioni e centri di archiviazione delle informazioni. Le motivazioni alla base di questi attacchi solitamente riguardano lo spionaggio e la smania di guadagno.
Gli avversari informatici possono essere attratti dal valore della proprietà intellettuale o dal denaro, come nel caso del ransomware. Le attività cyber criminali a livello Nation-State, invece, possono essere interessate principalmente a bloccare il funzionamento delle infrastrutture critiche o a creare interruzioni sulle reti, con l’obiettivo di ricavarne un guadagno finanziario.
L’anno scorso, in particolare, il sistema sanitario è stato uno dei principali obiettivi degli operatori di Big Game Hunting (BGH), le cui pratiche avversarie consistono nell’esaminare accuratamente la situazione finanziaria delle aziende per identificare il proprio obiettivo ed infiltrarsi poi nei sistemi informatici con lo scopo di accedere a dati preziosi per renderli inaccessibili fino al momento in cui avviene il pagamento di un riscatto.
Gli ospedali spesso archiviano ed elaborano un quantitativo considerevole di informazioni molto sensibili e confidenziali sui pazienti, informazioni che possono essere facilmente vendute o utilizzate per ottenere un riscatto elevato, rendendo queste strutture le vittime perfette del ransomware.
Un altro grande problema nelle strutture sanitarie, che contribuisce a renderle particolarmente vulnerabili agli attacchi informatici, riguarda l’utilizzo di sistemi e dispositivi spesso datati e non aggiornati con patch.
Nonostante attrezzature mediche come le apparecchiature per i raggi X o la risonanza magnetica siano indispensabili per la diagnosi e la cura della salute, esse non sono concepite a prova di cybersecurity, aspetto che fa di questi macchinari un facile punto d’accesso per gli autori del crimine informatico.
L’anno scorso, i medici che usavano il sistema Pinnacle IT hanno ricevuto messaggi d’errore in cui veniva notificato un “problema all’infastruttura”, che ha causato un rallentamento nel lancio del vaccino per la Covid-19. In alcuni casi ci si trova a dover fare i conti con sistemi IT di livello al di sotto degli standard che portano il personale medico a dover accedere a 15 diversi sistemi.
La collaborazione è un elemento chiave nella sanità, dove è necessario assicurare assistenza al paziente nel modo più efficiente possibile, ma questa cultura della condivisione spesso apre la strada ad attacchi ransomware. Medici, cliniche, laboratori, tecnici, fornitori di hardware e altre terze parti hanno spesso accesso a informazioni ospedaliere critiche. Qualsiasi violazione a uno di questi account individuali o all’innumerevole numero di dispositivi che utilizzano può avere un impatto diretto sulle attività ospedaliere.
Il personale ospedaliero è uno dei più impegnati, specialmente durante la fase più acuta della lotta alla pandemia, per questo le best practice per la sicurezza informatica non sono sempre in cima alla lista delle priorità.
Un dilemma che molte istituzioni sanitarie devono affrontare è soppesare la cura del paziente rispetto alla sicurezza informatica. Il tempo impiegato a formare il personale clinico in materia di sicurezza informatica spesso riduce il tempo da dedicare alla cura del paziente. Inoltre, l’implementazione di misure di sicurezza su sistemi usati a supporto dell’assistenza clinica talvolta può causare ritardi o rendere l’utilizzo macchinoso.
Gli esperti in sicurezza informatica devono dunque battersi alla ricerca del giusto equilibrio per tenere alto il livello di sicurezza degli ospedali con il minor impatto possibile sulla cura del paziente.
Come mitigare gli attacchi ransomware al settore sanitario
La Covid-19 ha fornito al cyber-crimine una nuova, grande esca. Le persone sono condizionate dalle informazioni sul virus, per questo sono anche più propense ad aprire allegati o a cliccare su link malevoli contenuti in e-mail ben scritte.
Attraverso le e-mail di phishing, le credenziali dell’utente vengono compromesse, così gli autori degli attacchi possono muoversi lateralmente verso altre aree della rete, talvolta ottenendo accesso a credenziali di livello elevato, mentre sono alla ricerca dei “gioielli della corona” del sistema sanitario, ovvero le informazioni più sensibili sui pazienti e sul business. Una volta trovati i dati che vogliono, i criminali recuperano i dati dalla rete, per poterli poi utilizzare in uno schema di estorsione, e il ransomware viene distribuito.
L’approccio migliore per bloccare la diffusione del ransomware è avere visibilità nella prima fase possibile dell’attacco. Questo avviene attraverso una formazione di base dei dipendenti sul malware che può consentire al team IT di individuare un potenziale attacco e, ancora più importante, di ricevere segnalazioni su attività malevoli.
In quanto esseri umani, però, il rischio rimane. È quindi fondamentale avere implementato un software di sicurezza che può rilevare comportamenti anomali, quando ad esempio l’account di un utente finale agisce in modo inusuale.
Con questo tipo di tecnologia, le aziende e le organizzazioni hanno maggiori possibilità di individuare un comportamento anomalo in modo più veloce, chiudere l’account e rimuovere il criminale dalla rete, evitando così l’attacco ransomware.
Una formazione dei dipendenti efficace dovrebbe essere sempre accompagnata da policy personalizzate, specifiche dell’azienda o organizzazione e utile a neutralizzare l’attacco ransomware. Il personale dovrebbe essere a conoscenza delle policy di sicurezza. Gli utenti in remoto dovrebbero essere a conoscenza delle regole stabilite dagli accordi di lavoro e audit periodiche dovrebbero essere condotte regolarmente affinchè ogni individuo abbia accesso ai soli dati richiesti.
È inoltre fondamentale che le organizzazioni sanitarie abbiano un piano per l’esecuzione dei back-up dei dati cruciali, che devono essere separati dalla rete IT in uso. Le migliori pratiche stabiliscono che un ulteriore backup dovrebbe essere tenuto offline.
Con l’attuale aumento degli attacchi di estorsione dei dati, il settore sanitario necessita inoltre di implementare e rivalutare regolarmente la segmentazione della rete, nel tentativo di proteggere i sistemi che, per alcune ragioni, non possono avere sistemi operativi o applicativi aggiornati. Una segmentazione adeguata in questi casi può rappresentare un ulteriore livello di protezione dai criminali informatici.
Quando possible, i sistemi dovebbero essere riparati rapidamente, non appena scoperte nuove vulnerabilità. Le vulnerabilità senza patch sono un poteziale bersaglio per attori malintenzionati. E’ inoltre importante eseguire prontamente gli aggiornamenti necessari e aggiungere adeguate tecnologie, come le soluzioni di protezione degli endpoint e antivirus di prossima generazione, per ridurre il rischio di attacco.
Gli attacchi ransomware al sistema sanitario non si attenueranno, nel contesto attuale il settore medico continuerà a rappresentare il target ideale per l’attività criminale informatica.
Le istituzioni devono implementare un approccio zero trust più aggressivo alla sicurezza informatica.
Per molte organizzazioni sanitarie questo può significare un aumento degli investimenti in termini di tempo e di denaro, ma coloro che scelgono di implementare rigorosamente queste tecniche hanno una maggiore possibilità di mitigare i rischi per il futuro.
