Le debolezze del sistema (informatico) sanitario, una manna per gli hacker

A partire dall'inizio della pandemia fino allo scorso settembre oltre 8 ospedali su 10 hanno subito un attacco informatico che aveva come obiettivo oggetti connessi a Internet. Questo racconta una ricerca internazionale realizzata congiuntamente dalle società di sicurezza Medigate e Crowdstrike.

A garantire il successo dei criminali si può immaginare sia una combinazione di almeno due fattori. Il primo riguarda un settore che in materia di cybersecurity sconta una arretratezza storica, afflitto da sistemi obsoleti, carenza di risorse e di personale; il secondo è relativo alla pervasività delle tecnologie dell'informazione che, in questo settore, offrono opportunità straordinarie (operazione chirurgiche a distanza, applicazioni che sfruttano algoritmi intelligenti e via dicendo), ma vengono inserite in un contesto estremamente vulnerabile.

In piena crisi pandemica, poi, il sistema sanitario è assurto al ruolo di infrastruttura critica per eccellenza, un dato che non è sfuggito ai criminali che hanno concentrato i loro sforzi su questi obiettivi ritenendoli evidentemente anche più disponibili a cedere al ricatto. Non a caso una volta su tre si è trattato di un ransomware, questo significa che l'aggressione ha colpito un dispositivo della struttura bloccandone il funzionamento e quindi compromettendo i servizi erogati. I numeri del report dicono che tragicamente la scelta dei delinquenti è stata quella giusta, perché stando ai numeri del report il 30 per cento delle strutture colpite alla fine ha pagato. Il trend evidenziato su scala internazionale dal report è sostanzialmente confermato anche nel nostro paese in cui nello stesso periodo oltre una trentina di aziende sanitarie sono state vittime di un attacco. Il problema si prospetta drammatico se proiettato nel futuro perché la maggior parte degli studi prevedono che la crescita delle aggressioni per il settore sarà da due a cinque volte maggiore rispetto a quella degli altri comparti economici. Si parla soprattutto di aumentare la spesa in cybersecurity per i sistemi sanitari: certo può essere utile, quello che però manca e purtroppo non si può comprare è il tempo. Adeguare e svecchiare i sistemi avendo a disposizione tante risorse può richiedere almeno un paio di anni, formare dei professionisti cyber in grado di affrontare ambienti complessi come quelli ospedalieri non meno di tre anni, creare una cultura della sicurezza nella popolazione aziendale è un impegno quinquennale. Teniamo tutti presente che se un virus biologico può impiegare qualche mese per scatenare una pandemia, a uno informatico basta qualche minuto.