La nostra Sanità a rischio attacco hacker

La Sanità in Italia, lo possiamo dire con certezza oramai, non è mai stata così tanto oggetto di attenzioni.

Gli incredibili sforzi messi campo nel periodo più nero della Pandemia hanno permesso al nostro Paese di fronteggiare una situazione difficilmente preventivabile, ma comunque egregiamente gestita, nonostante le criticità del caso.

Ciò non toglie che il settore non stesse arrivando da un periodo fiorente. L'ultimo decennio ha visto una drastica riduzione del personale sanitario in Italia dovuta al reiterarsi delle misure di spending review. In questo senso, tra il 2009 e il 2018, i dipendenti a tempo indeterminato sono diminuiti complessivamente del 6,5%, passando da 693.600 unità a fine 2009 a 648.507 a fine 2018.

La crisi sanitaria provocata dalla pandemia da Covid-19 non ha fatto altro che esacerbare questo problema: l'Italia si è infatti trovata con una dotazione insufficiente di risorse umane necessarie per poter fronteggiare un'emergenza di tale portata.

Contestualmente, il Covid ha accelerato la transizione digitale, al punto che importanti aziende sanitarie hanno, in poco tempo, adottato dispositivi mobili e servizi cloud all'avanguardia.

Queste nuove tecnologie oggi sono fondamentali poiché favoriscono una migliore analisi dei dati e un maggiore coordinamento dell'ecosistema, oltre ad avere il potenziale di monitorare la salute del paziente, fornire diagnosi a distanza e salvare vite umane.

L'85% delle organizzazioni sanitarie hanno dichiarato che, entro cinque anni, il "mobile" sarà il principale mezzo per fruire dei servizi di assistenza sanitaria.

Tuttavia, questa digitalizzazione ha comportato e comporterà dei rischi cyber; più dispositivi al di fuori del perimetro protetto significano una maggiore superficie di attacco che i criminali informatici possono prendere di mira.

Se non protetti dalle minacce cyber, infatti, anche i migliori ospedali del mondo sono vulnerabili e rischiano un'interruzione delle proprie attività e delle procedure sanitarie quotidiane.

Qual è il livello di rischio Cyber a cui è esposto il Settore Sanità nel nostro Paese?

Lo rivela Swascan nel suo ultimo Cyber Risk Indicators Report, l'analisi che determina e misura il potenziale rischio cyber del settore merceologico oggetto di analisi, prendendo in considerazione 20 aziende tra le prime 100 su base fatturato o dimensione facendo riferimento ai 30 giorni precedenti alla pubblicazione della stessa.

Come rivela Pierguido Iezzi, CEO della società milanese, "il tema della digitalizzazione diffusa e improvvisa – causa Covid-19 – è stata abbastanza trasversale per tutti i settori. Questo ha avuto il beneficio di permettere al Paese di sopravvivere in condizioni di limitata mobilità e restrizioni mai viste prima. D'altro canto però questa impennata nella remotizzazione della forza lavoro ha ampliato notevolmente quella che chiamiamo superfice d'attacco. Più device sono connessi, più sarà facile per un possibile attaccante sferrare un attacco contro un bersaglio. Il settore della Sanità, sfortunatamente non è rimasto escluso da questo risvolto negativo della Pandemia".

Cosa rivela l'analisi

Il Soc Team di Swascan ha rilevato un rischio concreto di subire un cyber attack per le strutture sanitarie analizzate. Nello specifico, operando solo su informazioni pubbliche e semipubbliche - disponibili nel web, dark web e deep web - è venuto a conoscenza che le aziende del Settore

Sanità del campione in esame presentano diversi rischi:

Figura 1: Fonte Swascan

Il numero totale delle potenziali vulnerabilità riscontrate per il settore oggetto di analisi è 942, così distribuite: 4 aziende (20% del campione) hanno 0 potenziali vulnerabilità, 4 aziende (20% del campione) hanno tra 1 e 25 potenziali vulnerabilità, 7 aziende (35% del campione) hanno tra 26 e 50 potenziali vulnerabilità e 5 aziende (25% del campione) hanno più di 50 potenziali vulnerabilità.

La media delle potenziali vulnerabilità è 47, ma sono presenti 3 aziende che espongono oltre 100 potenziali vulnerabilità; escludendole dal calcolo della media, il numero medio di potenziali vulnerabilità per azienda si abbassa da 47 a 28.

Rischio Ransomware?

Il risultato di questi dati, si concretizza in un rischio innalzato di attacchi Ransomware contro le strutture sanitarie.

Basti pensare che è stato stimato che entro la fine del 2021 questi ultimi quintuplicheranno, secondo un rapporto di Cybersecurity Ventures.

Più è debole il perimetro, maggiore sarà la probabilità che si verifichino minacce di questo tipo. Un sistema con un alto numero di vulnerabilità, infatti, rappresenta per i Criminal Hacker un target molto più appetibile di uno ben difeso.

Pratiche di sicurezza inadeguate, password deboli o condivise e scarsa formazione sui temi di cyber security, espongono gli ospedali al rischio di subire tecniche di hackeraggio alle cartelle cliniche dei pazienti.

Non a caso si è fatto riferimento al ransomware come minaccia principale per le aziende. Questo

tipo di attacco – secondo le stime di Cybersecurity Ventures - entro il 2031 supererà 265 miliardi

di dollari a livello globale.

D'altronde, il profitto di cui possono godere i Criminal Hacker è in costante aumento. Schiere di aggressori si sono "convertiti" a questo modello di business, pur non possedendo le abilità necessarie a portare avanti gli attacchi. Questo grazie al Ransomware-as-a-Service che, come suggerisce il nome, permette loro di disporre di strumenti e assistenza utili a perpetrare le minacce.

Il ransomware è un problema enorme non solo sotto l'aspetto finanziario. Nel momento in cui esso si attiva in un sistema vulnerabile, i file vengono prima copiati poi crittografati. Gli utenti non possono più lavorare i dati rischiano di essere pubblicati o messi in vendita sul dark web, con gravi danni alla reputazione. La vittima rischia multe e danni d'immagine, oltre a essere sottoposta a riscatto per poter ripristinare i sistemi.

Basti pensare che – secondo quanto riporta Cyberreason – l'80% delle aziende che cedono ad un riscatto finiscono per subire un secondo attacco (spesso per mano dello stesso gruppo di attori).

Vince quasi sempre l'attaccante. Quando sono in gioco i dati dei pazienti, i criminali hanno l'opzione aggiuntiva di ricattare direttamente i pazienti con la minaccia di esporre la loro storia medica.

A questo si somma il fatto che il 46% delle aziende colpite non è riuscita a recuperare totalmente i dati compromessi. Se una volta questo tipo di attacco era sporadico, adesso è una minaccia costante per qualsiasi organizzazione, grazie anche alla rapidissima evoluzione delle tecniche cyber.

"Il ransomware è e sarà una delle più grandi minacce per il comparto pubblico, ma anche privato. Il grande profitto che i Criminal Hacker riescono a trarne lo ha reso la tecnica d'attacco principe, per questo stiamo vendendo sempre più casi eclatanti", ha commentato Iezzi.

Non solo bottino dai ricatti

Non è solo l'attacco diretto alle strutture sanitarie l'obiettivo dei Criminal Hacker. C'è infatti un'altra componente di grande valore per gli aggressori: i dati dei pazienti. Il valore di una cartella sanitaria sul mercato nero è ormai superiore a quello della carta di credito. Secondo un rapporto della CBS, le cartelle cliniche possono essere vendute fino a 1.000 dollari ciascuna sul dark web, questo

perché esse contengono importanti informazioni personali e altrettanti dati sensibili. Rubando e chiedendo riscatti per i dati dei pazienti, i Criminal Hacker possono ricevere milioni di euro dalle organizzazioni sanitarie, disposte a pagare il riscatto pur di evitare lunghe interruzioni delle cure mediche. In alternativa, i criminali possono rubare i dati delle cartelle cliniche dei pazienti per creare "kit di identità" che valgono fino a 2.000 dollari sul deep web, con gli acquirenti che utilizzano le informazioni per creare documenti fasulli, presentare false richieste di assicurazione o accumulare altri tipi di spese.

I danni ai pazienti colpiti potrebbero non essere mai annullati. Lo dimostra il caso di un paziente americano la cui identità è stata rubata nel 2004, che ha trascorso un decennio cancellando accuse su falsi debiti. Con più di 31 milioni di cartelle cliniche esposte da incidenti di Data Breach nel 2020 (considerando solo quelli di cui siamo a conoscenza), questa storia potrebbe diventare fin troppo comune.

Una preoccupazione non solo per i pazienti potenzialmente colpiti, ma anche per le organizzazioni sanitarie che contano sulla fiducia dei propri pazienti per garantirsi entrate critiche.

Come rimediare?

Commentando i dati Iezzi, spiega che la minaccia è destinata solo a crescere e che "per arginare il fenomeno È necessario rafforzare gli strati di difesa cyber delle strutture. Stiamo parlando di sicurezza predittiva, preventiva e proattiva. Al giorno d'oggi assenze o carenze in uno di questi campi non è più accettabile. In particolar modo la sicurezza predittiva, specialmente tramite la Domain Threat Intelligence e Cyber Threat Intelligence, è uno degli ambiti meno sfruttati al momento, ma potrebbe rivelarsi chiave. Questa è in grado rendere visibili i possibili rischi che incombono sull'intera infrastruttura e rivalutare e ridefinire continuamente le priorità d'intervento. Uno step fondamentale per proteggere un ambiente digitale in espansione ed evoluzione da un panorama di minacce cyber altrettanto in crescita. Di fatto questa integra e rafforza le altre due aree più tradizionali della Cyber Security; da un lato la sicurezza preventiva tramite servizi di security testing e dall'altro la sicurezza proattiva tramite servivi di SOC as a Service e Incident Response Team."

Positiva, sempre a detta del CEO di Swascan anche l'istituzione della Agenzia Nazionale per la Cyber Sicurezza, che definisce una svolta per l'Italia.

Questa diventerà necessaria per mettere in campo un coordinamento pubblico-privato in termini di Cybersecurity oltre a dare un'iniezione di liquidità per dare la giusta spinta verso la digitalizzazione in quelle aree o settori che meno avevano beneficiato della trasformazione digitale.

Il tema adesso, ricorda Iezzi, è quello di impostare, in tutto il Paese, un framework di sicurezza - condiviso e impostato sulla cooperazione pubblico-privato – bastato su tecnologie, processi e competenze.