Perché continua il cyber disastro sanitario

Nelle ultime settimane hanno tenuto banco gli attacchi subiti da Multimedica e dalla ASL del capoluogo abruzzese. In entrambi i casi si sono rivelati devastanti. L’operatore lombardo ha lottato per tre settimane prima di annunciare che sabato 13 maggio avrebbe finalmente riaperto le prenotazioni; nel frattempo gli aggressori hanno pubblicato dei “campioni” di dati esfiltrati. Analogo trattamento quello subito dall’ASL dell’Aquila.

La sanità è diventata un obiettivo privilegiato di attacchi ransomware. Si tratta di un fenomeno ormai consolidato, manifestatosi chiaramente in tempo di pandemia. All’epoca si immaginava che la scelta dei criminali fosse connessa alla centralità del sistema sanitario in quel preciso momento storico. Colpire le strutture essenziali per la gestione della crisi significava, dal punto di vista dei criminali, avere maggiori possibilità di riscuotere il riscatto.

Sappiamo bene che i criminali sono organizzati per “fare affari”, quindi ragionano in termini aziendali, e il fatto che gli attacchi sono poi proseguiti senza soluzione di continuità apre le porte a qualche riflessione. La prima. Le cyber gang hanno capito che i sistemi di gestione della sicurezza di queste strutture sono, nella migliore delle ipotesi, deboli, nella peggiore inesistenti. Diciamo che si tratta di uno scenario molto probabile, figlio di decenni di trascuratezza. La seconda. Gli aggressori hanno maturato una certa competenza nel colpire questo tipo di obiettivo. In definitiva, si tratta di una categoria merceologica omogenea, in cui gli operatori lavorano tutti secondo processi noti e prevedibili, con strumenti spesso molto simili.

Quando un’organizzazione matura un adeguato expertise nel fare certe cose vorrà massimizzare l’investimento. Si tratta di un comportamento probabile viste le ragioni finanziarie alla base degli attacchi. La terza. I criminali hanno trovato un bersaglio disponibile a pagare. Se così fosse, l’accanimento con questo tipo di obiettivo sarebbe scontato: qualsiasi organizzazione si “affeziona” ai clienti che pagano. In questo caso diciamo che è possibile. La quarta. La quantità e la qualità dei dati detenuti da una struttura sanitaria ha un significativo valore di mercato. Se il numero di una carta di credito ha un “ciclo di vita” brevissimo dopo che è stato rubato (il blocco della carta è istantaneo), i dati sanitari vivono molto più a lungo o per sempre. La storia medica di un paziente è quella, ed è corredata da informazioni anagrafiche e di contatto complete, il tutto magari associato a una polizza assicurativa. Questa invece è una certezza visto che da tempo sui black market i dati sanitaria si vendono mediamente a cifre superiori di ordini di grandezza rispetto a qualsiasi altra informazione personale.

Con tali premesse il futuro cyber della sanità si tinge di un grigio piuttosto cupo, e quello dei pazienti tende al nero. Questo nonostante la presenza di norme e leggi che impongono alle strutture sanitarie di elevare il proprio livello di sicurezza, ma non saranno quelle a salvarci, perché nessuna legge può sostituire la consapevolezza della situazione, e quella sembra essere ancora di là da venire.