Cybersecurity e sanità nel 2022: gli attacchi e i rischi
“Quello che conta non è tanto l’idea, ma la capacità di crederci.”
EZRA POUND
Abbiamo spesso affrontato tematiche riguardanti la questione della cybersecurity strettamente correlata agli incidenti di sicurezza, fisica e logica, generati dagli attacchi informatici in ambito sanitario, un settore che oggi rappresenta il maggior target in fatto di incursioni hacking.
Sul ruolo della security nella sanità si è discusso molto in questi anni, senza giungere mai a soluzioni concrete; se escludiamo per un attimo l’unica proposta politica degna di nota discussa a livello regionale da un consigliere illuminato, l’On Giancarlo Righini, ebbene, a livello centrale nessun parlamentare mai, o ministro che fosse, si è fatto carico seriamente di questa delicata e preoccupante problematica: quella di dotare obbligatoriamente le infrastrutture sanitarie di una figura professionale che si prendesse l’onere di gestire la sicurezza del settore nel suo insieme.
Ebbene, mentre il Servizio Sanitario Nazionale (SSN) attraversa una vera e propria rivoluzione copernicana, mutando sempre più al digitale in conseguenza al forte impatto originato dall’emergenza pandemica, nessuno si preoccupa però di garantire le adeguate professionalità per gestire questa complessa transizione tecnologica determinata in primo luogo dall’interconnessione tra le apparecchiature strumentali mediche fisse e i Wearables IoT indossabili.
A questo punto, se appare sempre più ricorrente la domanda sul perché il mondo sanitario-ospedaliero risulti così bersagliato, è abbastanza semplice e consequenziale la risposta, o meglio, le risposte: sistemi operativi/gestionali (software) con bassi livelli di sicurezza, reti informatiche (hardware) inaffidabili, uso di dispositivi sanitari progettati per il facile utilizzo medico e/o diagnostico, assenti best practice sull’uso sicuro dei dispositivi informatici impartite ai dipendenti.
Già di per se queste motivazioni basterebbero a spingere gli hacker nello scegliere questo tipo di settore e dispositivi, come facili obiettivi dei loro attacchi; un offensiva informatica che comporta un grande rischio per la sicurezza e l’integrità di tutti i dati sanitari di ogni singolo paziente, contenuti nei data base, nei server o nei singoli device medici.
Tutto questo spiega bene come i dati sanitari, e dunque sensibili, rappresentino il nuovo Eldorado informatico (ricatti, riscatti, frodi, etc), un vero business delle informazioni personali gestito allegramente dai pirati del web; dati questi, che gli hacker rivendono solitamente sui canali del mare magnum rappresentato dal dark web.
Tuttavia il problema non va circoscritto esclusivamente al fattore tecnologico, perché non va sottovalutata un’altra variabile molto significativa nella catena degli incidenti cyber, ossia, il vero anello debole di tutto il sistema: il personale medico e infermieristico, eccellenti professionisti nel loro ambito, ma impreparati sul tema della sicurezza informatica, scarsamente informati sulle best practice che gli garantirebbero la totale sicurezza nella gestione dei sistemi digitalizzati e delle reti ad essi associate.
Su quanto sin qui detto, analizzando gli ultimi dati del biennio pandemico risulta evidente come il cybercrime mondiale proprio nel settore sanitario raggiungerà, nel 2025, circa 11 trillions of dollars di introiti, rendendolo di fatto più redditizio del traffico internazionale di stupefacenti; insomma, stiamo parlando di una delle economie globali più grande in fatto di fatturato.
Leggendo poi i dati raccolti da Earthweb, il crimine informatico invia ogni giorno, da ogni angolo della terra, oltre 3,5 miliardi di e-mail di phishing, mentre gli attacchi ransomware sono aumentati del 94% nel solo anno 2021, dati allarmanti riferiti, in particolare, proprio alle organizzazioni sanitarie, che rimangono fermamente l’obiettivo primario.
E non è tutto, perché gli hacker per infiltrarsi nel sistema sanitario pubblico sfruttano due distinte potenzialità, una offerta dallo scarso livello di sicurezza delle reti informatiche ospedaliere, l’altra rappresentata dalla capacità di penetrazione propria delle tecniche di social engineering.
In questo ultimo caso gli hacker usano un vettore tanto particolare, quanto ignaro: l’operatore stanco, ovverosia, il personale sanitario stressato dai massacranti turni dovuti all’emergenza epidemica, che in un momento di relax usa i device personali, collegati alla rete interna, per collegarsi alla casella di posta o per navigare sui vari canali social, consumando così l’irreparabile errore di assecondare determinate richieste in rete.
Una indagine di Paubox, ad esempio, ci racconta come il numero di attacchi contro gli operatori sanitari statunitensi sia in allarmante aumento; attacchi sferrati con la classica tecnica del phishing veicolata tramite le solite e-mail infette aumentate (+600%) esponenzialmente dall’inizio pandemia.
Tutto ciò ci conferma come gli attacchi di phishing siano eccezionalmente pericolosi per le organizzazioni sanitarie, perché i dati medici dei pazienti sono oggi una delle risorse più preziose per i pirati del web, essendo certe informazioni sanitarie “protette” una delle merci più calde del dark web, di particolare valore economico, dunque una giotta opportunità a portata di hacking.
Detto questo, non possiamo dimenticare però l’altra faccia della medaglia: gli attacchi di phishing per compiere ingenti frodi commerciali ai danni del settore sanitario, nella fattispecie, mettendo in piedi falsi servizi proposti da inesistenti imprenditori sanitari.
In questo caso il crimine informatico entrata direttamente nel campo degli attacchi mirati alla supply chain.
Perciò, non si attaccherà più direttamente la struttura sanitaria, qualunque essa sia, ma si useranno i diversi cavalli di troia rappresentati dalla rete stessa dei fornitori.
Ma gli attacchi informatici non si fermano qui, perché ci sono i ransomware, rappresentanti l’altra faccia della medaglia, che producono oggi esorbitanti profitti con la tecnica del ricatto/riscatto; ne è un tipico esempio il ransomware noto come Ryuk utilizzato per estorcere milioni di €/$ alle strutture sanitarie di tutto il mondo.
Qui dobbiamo sempre enfatizzare l’aspetto più importante quando parliamo di ITSecurity sanitaria: ogni attacco informatico contro una infrastruttura ospedaliera mette seriamente a rischio due cose fondamentali, la sicurezza del dato e la salute del paziente.
Perché in questi casi qualsiasi direzione sanitaria si troverà sempre davanti ad una scelta a così detta somma zero, ovvero, tra il pagare un riscatto o rischiare la vita dei suoi pazienti; amministrazioni che in un attimo si ritroveranno con i loro dati, i loro fascicoli/cartelle cliniche elettroniche criptate, e poiché i medici non potranno mai curare compiutamente una persona malata senza l’accesso a quelle informazioni, o a tutti i dati contenuti negli strumenti medici interconnessi alle reti sanitarie, spesso le direzioni non avranno altra scelta se non quella di cedere alla richiesta di pagamento, mettendo la vita dei pazienti sempre al primo posto.
Abbiamo visto fin qui, sommariamente, le vulnerabilità esistenti nel settore sanitario, le sue croniche criticità, ma soprattutto come soffra della mancanza di una figura professionale ad hoc, rappresentata appunto, dal manager della sicurezza, figura trasversale e skillata, per competenze e capacità, idonea nell’affrontare fattivamente questa complessa faccenda degli attacchi logici e fisici su più livelli.
L’Unione Europea nell’ultimo periodo ha esercitato molta pressione sulla definitiva implementazione delle misure di sicurezza adeguate e coerenti al perimetro health data.
Del resto, è la stessa Direttiva NIS che impone alle organizzazioni sanitarie, sinergicamente agli altri operatori dei servizi pubblici essenziali, l’applicazione dei corretti processi, controlli e procedure di sicurezza, la cui mancata applicazione esporrà i soggetti inadempienti a pesanti sanzioni economiche, quando i fatti più gravi non sfociano in vere e proprie violazioni di carattere penale.
Auguriamoci che la nascente Agenzia per la Cybersicurezza Nazionale faccia davvero la differenza, suggerendo al Parlamento italiano l’introduzione obbligatoria, e ormai inderogabile, della figura del Security Manager all’interno di tutte le infrastrutture critiche previste nella nuova Direttiva europea sulle infrastrutture (28 giugno 2022), un professionista che oltre a svolgere i compiti interni, funga soprattutto da punto di contatto con l’agenzia stessa.
Inoltre, credo sarebbe fondamentale l’istituzione di una direzione interna all’agenzia stessa, che puntualmente e in maniera random, ma senza preventiva comunicazione, svolga sopralluoghi di verifica sui reali livelli di sicurezza cyber (logica e fisica) delle infrastrutture protette, sulla falsa riga dei controlli esercitati da UCSe nei confronti delle aree industriali e non, sottoposte a livelli di classifica.
Se è vero che per fini di sicurezza nazionale si rese necessaria la creazione di un Centro di Valutazione e Certificazione Nazionale (CVCN struttura essenziale per la valutazione di beni, sistemi e servizi ICT destinati a essere impiegati su infrastrutture critiche che supportano la fornitura di servizi essenziali o di funzioni essenziali per lo Stato), ebbene, allora è altrettanto vero e imprescindibile la nascita di una struttura interna complementare, in modo da migliorare il più possibile i delicati compiti della nuova Agenzia cyber.
Articolo a cura di Giovanni Villarosa
Giovanni Villarosa, laureato in scienze della sicurezza e intelligence, senior security manager, con estensione al DM 269/2010, master STE-SDI in sistemi e tecnologie elettroniche per la sicurezza, difesa e intelligence.