Claroty, l’azienda americana che offre sistemi di protezione cyber-fisici (Cyber Physical Protection -CPS), ha pubblicato a fine marzo 2025 una nuova ricerca sulle esposizioni più rischiose dei dispositivi medici connessi per lo sfruttamento da parte dei cyber criminali.
Il rapporto “State of CPS Security: Healthcare Exposures 2025” è il risultato di interviste a oltre 1.000 CISO e dell’analisi di più di 2,25 milioni di dispositivi Internet of Medical Things (IoMT) e 647.000 dispositivi di tecnologia operativa (OT) in 351 organizzazioni sanitarie.
Indice degli argomenti
“State of CPS Security: Healthcare Exposures 2025”
Gli attacchi informatici che colpiscono gli ospedali e strutture sanitarie (HDO – Hospitals and healthcare delivery organizations) e altre entità sanitarie sono una parte dei numerosi rischi che i CISO devono affrontare nel settore, il cui unico obiettivo guida è la conservazione della sicurezza dei pazienti e la disponibilità ininterrotta delle cure per i pazienti.
I CISO devono affrontare, altresì, la gestione di tecnologie obsolete e legacy che presentano numerose vulnerabilità di sicurezza, sia nei sistemi operativi soia in altre tecnologie non più supportate dai fornitori.
Inoltre, devono gestire dispositivi medici vulnerabili che richiedono l’approvazione della Food and Drug Administration (FDA) prima di poter implementare patch software e aggiornamenti firmware.
Di conseguenza, il rischio aumenta e la superficie di attacco delle reti HDO si espande man mano che un numero crescente di dispositivi IoMT (Internet of Medical Things) viene connesso a Internet, molti dei quali non sono stati progettati con la cyber security in mente.
Fonte immagine: Report Claroty –”State of CPS Security: Healthcare Exposures 2025″.
Minacce rivolte agli HDO
Il report conferma che le bande russe di cyber criminali stanno prendendo di mira gli HDO con attacchi ransomware sempre più sofisticati. Essi sfruttano le vulnerabilità nella cyber security di queste strutture che, per garantire la continuità dell’assistenza, sono tra le più inclini a pagare i riscatti.
È doveroso ricordare che i gruppi russi Black Basta e BlackCat/ALPHV sono stati responsabili delle maggiori violazioni sanitarie del 2024.
In particolare, Black Basta ha attaccato Ascension – uno dei più grandi gruppi ospedalieri american – causando perdite per 1,8 miliardi di dollari, mentre BlackCat/ALPHV ha colpito Change Healthcare – unit della divisione Optum del colosso assicurativo americano UnitedHealth Group – che ha pagato un riscatto di 22 milioni di dollari senza recuperare i dati, subendo danni per 2,5 miliardi di dollari.
Si ritiene che, nel corso del 2025, gli attacchi a doppia estorsione diventeranno la norma, ovvero, i cyber criminali, oltre a crittografare i sistemi continueranno a rubare credenziali e dati sensibili, minacciando di divulgarli per aumentare la pressione sulle vittime.
Di seguito la tabella del report di Claroty che fornisce le principali tattiche, tecniche e procedure impiegate dai cyber criminali.
Fonte immagine: Report Claroty –”State of CPS Security: Healthcare Exposures 2025″.
Le bande di cyber criminali russi non si limitano a colpire gli ospedali, ma prendono di mira l’intera catena di approvvigionamento sanitaria, inclusi processori di pagamento e fornitori terzi.
Inoltre, la attuale situazione geopolitica gioca un ruolo chiave: gruppi affiliati agli Stati e criminali informatici collaborano con un tacito sostegno reciproco, perseguendo obiettivi economici e destabilizzando il settore sanitario.
Pertanto, i responsabili della cyber security devono identificare le vulnerabilità nei sistemi connessi e dare priorità alla protezione degli asset più esposti per proteggersi efficacemente.
Le esposizioni più critiche che minacciano gli HDO
Gli HDO sono altamente esposti a minacce informatiche, in particolare a causa dei dispositivi IoMT, spesso basati su sistemi operativi obsoleti e vulnerabili. Il report rivela che 99% delle strutture utilizza dispositivi con vulnerabilità note (KEV), e il 96% di queste ha KEV collegati a ransomware attivi. Inoltre, il 93% presenta connessioni Internet non sicure, aumentando il rischio di compromissione.
Fonte immagine: Report Claroty –”State of CPS Security: Healthcare Exposures 2025″.
Sebbene le KEV siano una metrica cruciale per la gestione del rischio, non bastano: anche le problematiche relative a credenziali deboli, a comunicazioni non protette e a connettività insicura devono essere affrontate.
Pertanto, per mitigare il rischio, le organizzazioni devono dare priorità alla protezione di tre aree chiave: i sistemi informativi ospedalieri (HIS -Health Information System), i dispositivi IoMT critici (come quelli di imaging) e le infrastrutture OT.
Di seguito un’esamina delle principali vulnerabilità e delle raccomandazioni in termini di strategie per ridurre al minimo i rischi che potrebbero compromettere la cura dei pazienti.
Sistemi informativi ospedalieri (HIS -Health Information System)
Il report evidenzia come gli HIS siano il cuore operativo degli HDO, gestendo dati clinici, amministrativi e finanziari. Si tratta di sistemi – spesso basati su PC Windows – che si convertono in obiettivi privilegiati per il ransomware, poiché un attacco riuscito può crittografare informazioni essenziali, impedendo ai medici di accedere alle cartelle cliniche e mettendo a rischio la sicurezza dei pazienti.
L’analisi su 12.500 HIS in 325 organizzazioni ha rivelato che il 45% contiene vulnerabilità note (KEV), utilizzate in campagne ransomware e da attori statali per fini economici o geopolitici. Di questi, quasi 5.600 presentano KEV confermate.
Per ridurre il rischio, le priorità di mitigazione si concentrano sul 20% dei dispositivi con KEV legate a ransomware e connessioni non sicure, ottimizzando gli sforzi di protezione.
Fonte immagine: Report Claroty –”State of CPS Security: Healthcare Exposures 2025″.
I sistemi di imaging – i.e. macchine a raggi X, MRI, TC e ultrasuoni – sono strumenti diagnostici essenziali negli HDO, ne consegue che, un attacco informatico che comprometta questi sistemi può ostacolare il triage, ritardare le cure e mettere a rischio la vita dei pazienti.
Inoltre, i sistemi di archiviazione e comunicazione delle immagini (PACS -Picture archiving and communication systems), utilizzati per la trasmissione delle immagini mediche, sono vulnerabili se connessi in modo non sicuro a Internet, esponendo gli ospedali a ransomware, manipolazione dei dati e violazioni della privacy.
L’analisi su oltre 195.000 dispositivi di imaging ha rilevato che il 28% presenta vulnerabilità note (KEV), con sistemi esposti nel 99% delle organizzazioni analizzate. Per mitigare il rischio, la priorità è stata data all’8% dei dispositivi con KEV collegate a ransomware e connessioni non sicure.
Fonte immagine: Report Claroty – “State of CPS Security: Healthcare Exposures 2025”.
Dispositivi per pazienti
I dispositivi per pazienti – i.e. monitor ECG, pulsossimetri e monitor fetali, ecc. – sono sempre più connessi a Internet, aumentando il rischio di compromissione in termini di disponibilità e di integrità.
L’analisi svolta su 1,5 milioni di dispositivi ha rilevato che l’86% delle organizzazioni utilizza dispositivi con KEV, mentre il 70% ha KEV collegate a ransomware e connessioni non sicure.
Tra tutti i dispositivi analizzati, l’8% contiene KEV, ma le esposizioni più critiche – che includono vulnerabilità gravi, connettività insicura e difetti di progettazione – rappresentano solo lo 0,5% del totale.
Fonte immagine: Report Claroty – “State of CPS Security: Healthcare Exposures 2025”.
Sistemi OT
I sistemi OT negli HDO includono dispositivi di automazione, gestione degli edifici (BMS), alimentatori e sensori critici. Un attacco a questi sistemi può compromettere la conservazione dei farmaci, il funzionamento degli ascensori e altre infrastrutture vitali, mettendo a rischio la cura dei pazienti.
L’analisi di oltre 647.000 dispositivi OT ha rivelato che il 78% delle organizzazioni utilizza sistemi con vulnerabilità note (KEV) e il 65% ha dispositivi con KEV esposti a connessioni Internet insicure.
La connettività diretta a Internet rappresenta un rischio critico, poiché i dispositivi esposti possono essere individuati tramite servizi di scansione, offrendo agli attaccanti un facile accesso.
Pertanto, per ridurre il rischio, è fondamentale dare priorità alla bonifica dei dispositivi OT più esposti, ovvero quelli con KEV confermate, collegati a ransomware e con connessioni non sicure, che rappresentano lo 0,3% del totale analizzato.
Fonte immagine: Report Claroty – “State of CPS Security: Healthcare Exposures 2025”.
Raccomandazioni
Gli HDO devono adottare un approccio più completo nella gestione delle minacce informatiche, andando oltre la semplice gestione delle vulnerabilità. È fondamentale che siano pienamente consapevoli delle esposizioni a cui sono soggetti, non solo in relazione a vulnerabilità note e sfruttate, ma anche riguardo a connessioni insicure, credenziali deboli e protocolli non sicuri, che possono facilitare attacchi di ransomware ed estorsioni.
È essenziale, per mitigare i rischi, un approccio strategico basato sulla gestione dell’esposizione e che comprenda controlli compensativi e misure specifiche per dispositivi medici regolamentati.
A tal proposito, il report suggerisce agli HDO un piano d’azione in cinque fasi – come di seguito riportato -che funge da quadro strategico che va oltre la gestione delle vulnerabilità e fornisce ai team di sicurezza informatica e ai proprietari di asset una valutazione reale della loro postura di sicurezza.
Piano d’azione in cinque fasi
- Ambito – Valutare i processi critici in base al dispositivo.
- Identificazione – Identificare i dispositivi, gli attributi granulari e la comunicazione.
- Definizione delle priorità – Adottare un framework di cybersecurity che consideri l’impatto aziendale.
- Validazione –Validare che l’intero spettro delle esposizioni sia reale e raggiungibile esternamente.
- Mobilitazione – Ridurre il rischio e proteggere le operazioni con misure di mitigazioni e strategie attuabili.
Grazie a questo piano, i CISO avranno una visione più chiara della sicurezza complessiva dell’organizzazione, supportando al contempo la funzione di Risk Management e il Top Management nel prendere decisioni informate e attuare interventi mirati a garantire la cyber resilience.
Fonte immagine: Report Claroty – “State of CPS Security: Healthcare Exposures 2025”.
Dal punto di vista tattico, la responsabilità della protezione dei dispositivi medici e delle reti ospedaliere è spesso condivisa tra i proprietari dei dispositivi, i team di ingegneria clinica e biomedica e i team di gestione delle tecnologie sanitarie, nonché i team IT e di cyber security.
Ognuno di essi ha la responsabilità di identificare e di valutare le esposizioni che potrebbero comportare rischi per i dispositivi e per la rete.
Il report, a tal proposito, fornisce un elenco di responsabilità condivise di gestione delle esposizioni strategiche in termini di cyber resilience. E, precisamente:
- Responsabilità per la gestione delle patch e gli aggiornamenti di sicurezza – Essa è fondamentale per affrontare le vulnerabilità con exploit disponibili pubblicamente. Gli aggiornamenti devono essere testati per evitare interruzioni del sistema e del servizio.
- Aggiornamenti del firmware – Essi sono importanti quanto l’applicazione di patch al software, poiché i cybercriminali sfruttano le vulnerabilità critiche nel firmware. Pertanto, gli HDO devono assicurarsi che il firmware sia aggiornato e protetto.
- Chiusura delle porte aperte e applicazione di protocolli sicuri – Si tratta di azioni essenziali per impedire ai cyber criminali di ottenere l’accesso alla rete. I dispositivi esposti a Internet possono essere identificati utilizzando strumenti come Shodan (i.e. motore di ricerca dedicato ai dispositivi collegati a Internet), il che rende fondamentale limitare strettamente la comunicazione alle connessioni necessarie.
- Supervisione della gestione della configurazione – Si tratta di garantire l’eliminazione delle password predefinite e delle configurazioni predefinite non sicure per ridurre i rischi di accesso non autorizzato.
- Gestione degli aggiornamenti dei certificati sui dispositivi medici – È fondamentale implementare le firme digitali e garantire le comunicazioni crittografate per proteggere le reti ospedaliere da accessi non autorizzati e mitigare gli attacchi man-in-the-middle che potrebbero manipolare i dati medici o inviare aggiornamenti dannosi.
- Disabilitazione dei servizi non necessari nei dispositivi medici – Molti servizi sono abilitati per impostazione predefinita, aumentando la superficie di attacco. Pertanto, se non necessari, è fondamentale disabilitarli in modo da ridurre al minimo i rischi per la sicurezza.
- Utilizzo della protezione degli endpoint dei dispositivi medici con agenti di supporto – Esso è essenziale per identificare e mitigare le minacce in tempo reale, fornendo un ulteriore livello di difesa contro attacchi informatici come ransomware ed exploit di vulnerabilità.
Conclusioni
La cyber security è diventata una necessità strategica per il settore sanitario e non può più essere rimandata. Essa comprende una serie di misure volte a proteggere le strutture sanitarie da attacchi informatici interni ed esterni, garantendo la continuità dei servizi medici, la riservatezza delle informazioni, il corretto funzionamento dei sistemi e delle apparecchiature mediche, l’integrità dei dati dei pazienti e la conformità alle normative del settore.
Oggi è fondamentale integrare la cultura della cyber security in ogni parte dell’organizzazione, dalla gestione del rischio alla governance, fino alle strutture di continuità aziendale, ponendo questa tematica come priorità assoluta per la sicurezza dei pazienti e la continuità delle cure.
Concludendo, si tratta di implementare i principi di risk management, business continuity e cyber security per rafforzare la comprensione del contesto operativo e dotare il personale delle competenze necessarie per affrontare le sfide attuali e future, assicurando così la cyber resilience e facilitare la conformità alle regolamentazioni stringenti del settore sanitario.
