Area clienti
Seleziona il tuo paese
Ransomware e rischio cyber in sanità, la cultura della prevenzione delle strutture sanitarie italiane
La digitalizzazione del sistema sanitario italiano è una prerogativa fondamentale e quanto mai urgente: con essa, tuttavia, emergono delle lacune dell’ecosistema non ancora sanate, una tra tutte la scarsa protezione a livello informatico delle strutture del nostro Paese. Il settore sanitario è infatti uno dei principali obiettivi dei cybercriminali, alla luce di un livello di protezione spesso non ottimale e di una scarsa formazione a livello di cultura del rischio cyber. Vulnerabilità che offrono il fianco al sempre crescente valore economico che i dati sanitari continuano ad avere. Pasquale Draicchio, Cyber Risk Manager Italy di Relyens, ci accompagna in questo approfondimento a partire da uno degli attacchi più diffusi nel nostro territorio, ovvero il Ransomware.
Cos’è un ransomware e in che modo influisce sul rischio cyber in sanità
Il termine ransomware deriva dall’unione delle parole inglesi ransom, che significa riscatto, e malware, ovvero un software malevolo che può compiere diverse azioni, tra cui il blocco o la distruzione di un file, o compiere attività di spionaggio o di modifiche non autorizzate, e molto altro ancora.
Nel caso specifico del Ransomware, l’attacco operato dai cybercriminali ha come azione il blocco dell’accesso ai dati a scopo di estorsione e ad oggi coinvolge un numero sempre maggiore di strutture sanitarie.
Stando ai dati pubblicati nel giugno di quest’anno all’interno della relazione annuale al Parlamento sulle attività svolte nel 2022 dall’Agenzia per la Cybersicurezza Nazionale, emerge che la sanità in Italia è il quarto settore più colpito dalle attività cybercriminali, e che il ransomware risulta l’attacco principale.
Si tratta di un attacco molto invasivo, che può compromettere gravemente il funzionamento delle strutture sanitarie. Un effetto su tutti è l’impossibilità di garantire quelli che sono i servizi essenziali, a partire dalla prenotazione delle prestazioni mediche, fino all’erogazione delle stesse, poiché gli operatori, non potendo accedere alle cartelle cliniche, ai dati dei pazienti e quindi al loro storico, si trovano impossibilitati a proseguire alcune cure o a portare avanti interventi chirurgici, perché bisogna sapere, ad esempio, quali siano i farmaci che il paziente assume, o se vi siano patologie o allergie specifiche.
Ransomware ed estorsione
Parlare di estorsione in senso stretto è però riduttivo rispetto a quanto accade; questa, infatti, viene categorizzata secondo tre livelli, in base anche alla gravità e agli effetti che l’attacco tramite ransomware può avere. L’estorsione quindi può essere singola, doppia o tripla.
Il primo livello consiste nell’andare a cifrare tutti i dati della struttura sanitaria vittima dell’attacco e chiedere un riscatto per decifrarli. Quando il riscatto è quindi funzionale al recupero parliamo di singola estorsione. La doppia estorsione, invece, si ha quando, oltre alla prima, segue anche una minaccia da parte dei cybercriminali alla struttura di rendere pubblici i dati che sono stati ottenuti. Se non viene pagata la cifra richiesta, si subisce la minaccia di vedere i propri dati sanitari rivenduti sul dark web. Laddove sovviene questo livello, parliamo di doppia estorsione.
La tripla estorsione, che ovviamente include le prime due, si spinge uno step più avanti. Essendo in possesso dei dati dei pazienti, che possono includere anche numero di telefono, e-mail e altre forme di contatto diretto, i cybercriminali si rivolgono direttamente a questi, chiedendo un riscatto per non divulgare i dati personali. In questo caso vi è quindi un rapporto diretto tra criminali e pazienti.
La scelta delle strutture sanitarie da attaccare
Si può dire che i cybercriminali svolgano dei veri e propri test a tappeto sfruttando software specifici, individuando quindi una lista delle strutture più vulnerabili, i cui sistemi informatici possono essere potenzialmente violati. L’attacco, quindi, non avviene nel giro di qualche ora: possiamo dire che vi sia una sorta di “sonda” che parte qualche settimana prima e che individua le strutture a cui lanciare gli attacchi. Ma quali sono le conseguenze più gravi di questi attacchi?
Le conseguenze degli attacchi cyber e come diminuire il rischio in sanità
Le conseguenze per una struttura sanitaria colpita da un ransomware possono essere di diversa entità. In alcuni casi il ransomware può comportare la chiusura delle strutture sanitarie, come avvenne nel 2020 a Düsseldorf, in Germania, dove ad essere colpito fu un ospedale universitario, caso eclatante perché nello specifico registriamo il primo decesso di una paziente per via dell’attacco cyber. Ricordiamo anche che, a seguito di una serie di attacchi ransomware avvenuti nel 2021, il St. Margaret’s Health è stato costretto a chiudere definitivamente le sue strutture in Perù e a Spring Valley, Illinois.
Un’altra conseguenza importante è chiaramente il furto dei dati. Secondo diverse stime e studi, infatti, sappiamo che nel dark web le cartelle cliniche hanno un valore economico altissimo, arrivando ad essere vendute a cifre altissime che, a volte, superano anche i 2000 dollari.
Un’altra evidente conseguenza è il rallentamento del lavoro di medici e operatori sanitari, costretti a ricorrere a ‘carta e penna’, rallentando quindi processi solitamente automatizzati e digitalizzati, e senza poter accedere allo storico dei pazienti, fattore determinante per l’erogazione di trattamenti e cure.
Attualmente emerge la necessità di promuovere innanzitutto una cultura di prevenzione in tema cyber, soprattutto in ambito sanitario. Oltre a dotarsi dei giusti strumenti per gestire eventuali danni, infatti, è fondamentale seguire il principio cardine del Risk management, che parte proprio dalla formazione e dall’anticipazione del problema.
La situazione di attacchi ransomware nel nostro Paese
Stabilire una media precisa degli attacchi cyber è sempre complesso, poiché non sempre vengono riportati o denunciati, men che meno pubblicizzati a livello mediatico e comunicativo. I dati che vediamo sono quindi sempre la punta di un iceberg, dove al di sotto vi sono tantissimi attacchi, anche di altra tipologia, che vengono lanciati quotidianamente, tra cui anche quelli intercettati e bloccati. Possiamo dire che nell’ultimo triennio sono circa 30 gli attacchi accertati andati a buon fine contro strutture sanitarie nel nostro Paese, considerando che questi sono gli attacchi che sono stati pubblicizzati dai media e che quindi hanno avuto impatti più o meno gravi.
Come prevenire gli attacchi cyber in sanità
Alla luce di quanto spiegato, emerge la necessità di promuovere innanzitutto una cultura di prevenzione in tema cyber, soprattutto in ambito sanitario. Oltre a dotarsi dei giusti strumenti per gestire eventuali danni, infatti, è fondamentale seguire il principio cardine del Risk Management, che parte proprio dalla formazione e dall’anticipazione del problema.
Ogni struttura sanitaria ha le proprie specificità e opera in un contesto cyber differente; per procedere alla messa in sicurezza dei sistemi informatici bisognerebbe adottare un approccio di tipo risk-based che porti all’adozione di misure di sicurezza volte alla minimizzazione del rischio cyber. Tra le principali misure di sicurezza che la struttura sanitaria può adottare per contrastare i ransomware e consolidare la propria infrastruttura di cyber security abbiamo le procedure di patch management, backup management e rollback.
Il ‘Patch Management’ altro non è che l’attività puntuale di aggiornamento dei sistemi per ridurre le vulnerabilità emerse, mentre la procedura di “backup management” consiste nella copiatura dei dati e delle configurazioni dei sistemi, in modo da poterli ripristinare se bloccati. È importante che queste copie si trovino in un luogo fisico differente da dove sono state prodotte, anche per ragioni di sicurezza fisica (ad esempio per salvaguardarle da danni, incendi ed eventi simili) e siano offline, in modo da non poter essere attaccate in alcun modo. Inoltre, il salvataggio della copia tendenzialmente andrebbe fatto quotidianamente o comunque il più spesso possibile, per ridurre il volume dei dati non recuperabili.
Infine, vi sono le procedure di “rollback management” ovvero la pratica di testare il corretto funzionamento di questi backup in assenza di rischio e non sotto attacco. L’obiettivo è quello, come suggerisce la parola, di verificare che sia possibile “tornare indietro”.
Relyens attraverso le polizze e le indagini sullo status delle strutture sanitarie, si pone come risk manager di riferimento per la sanità, aiutando la struttura a comprendere i rischi a cui è esposta in primis, e a selezionare le azioni più adatte a ridurre tali rischi. Questo avviene sia tramite attività di formazione sia tramite servizi di consulenza dei nostri risk manager che, tramite partnership tecnologiche con vendor di cybersecurity, presentano soluzioni che consentano di affrontare le sfide cyber specifiche per la sanità.
