Si dice che i dati siano l’oro della nostra epoca. Eppure, non siamo molto attenti alle casseforti che costruiamo per custodirli. L’ultimo rapporto Clusit, l’associazione italiana per la sicurezza informatica, evidenzia come nel 2021 gli attacchi informatici siano aumentati del 10% a livello mondiale rispetto all’anno precedente. A crescere è anche il loro grado di raffinatezza e, di conseguenza, il loro impatto.
I cyber attacchi che riguardano i dati sanitari non fanno eccezione: “Nel 2021 gli attacchi verso questo settore sono stati 262 e rappresentano il 13% del totale”, spiega Sofia Scozzari, membro del comitato scientifico di Clusit. E il dato è in crescita: i tentativi andati a buon fine di “bucare” un sistema informatico sanitario erano il 10% nel 2018 e l’11% nel 2019 e 2020. La motivazione principale, che vale per il 99% dei casi, è il cybercrime.
“La pandemia ha acuito il problema – riflette Scozzari – Se, soprattutto nei primi mesi, alcuni cybercriminali si sono rifiutati di attaccare i sistemi sanitari, altri non si sono fatti scrupoli, anzi: hanno visto un’opportunità. Le loro possibilità di profitto erano infatti massimizzate: le strutture potevano permettersi ancora meno di perdere dati sanitari e avrebbero pagato”.
Il tipo di attacco più frequente, infatti, è il ransomware, un programma che crittografa i dati impedendo o limitando l’accesso. Una volta impantanato il sistema, si chiede un riscatto.
Durante la pandemia, poi, si sono moltiplicati i tentativi di phising: “Link con dati sui contagi e simili hanno avuto un successo straordinario – conferma l’esperta in cybersicurezza – Il tema era caldo e tutti eravamo ossessionati da queste informazioni”. Salvo poi scoprire, dopo aver cliccato, che i contenuti promessi non erano disponibili e che probabilmente un software aveva appena sfruttato una nostra vulnerabilità (emotiva, prima che informatica) per accedere ad alcune nostre informazioni.
Il rapporto Clusit si basa sui cyber attacchi andati a buon fine e di pubblico dominio: la punta di un iceberg rispetto a quelli che vengono sferrati quotidianamente e che sono bloccati o di cui non si viene a conoscenza (magari perché riguardano attività di spionaggio).
Gli attacchi alle strutture sanitarie
Per quanto riguarda l’Italia, nel 2021 sono state colpite un paio di strutture sanitarie di importanza primaria: il Centro Cardiologico Monzino ad aprile e l’ospedale San Giovanni Addolorata di Roma in settembre, oltre a diverse aziende sanitarie locali, regionali o provinciali (Umbria, Toscana, Savona, Messina, Lecco).
“Nella maggior parte dei casi si è trattato di attacchi tramite ransomware, con severity mediamente alta o critica – ricorda Scozzari – Inoltre, il grave attacco ransomware subito dalla Regione Lazio in agosto ha causato lo stop forzato del portale di prenotazione dei vaccini Covid-19. Il sistema è andato in tilt, provocando la sospensione delle prenotazioni per l’impossibilità di accedere al sistema e il rallentamento delle procedure operative di somministrazione, che hanno dovuto essere condotte manualmente”.
L’attacco alla sanità del Lazio è stato definito “senza precedenti”, ma, come ci ricorda l’esperta, si è trattato di un “normale” ransomware, un attacco dal quale aziende strutturate dovrebbero aver imparato a proteggersi.
Secondo l’ultimo rapporto Clusit, nel 2021 gli attacchi informatici sono aumentati del 10% a livello mondiale rispetto all’anno precedente
“Sfortunatamente le strutture sanitarie risultano ancora decisamente impreparate a difendersi da minacce ormai largamente diffuse e questa è certamente una situazione a cui bisognerà porre rimedio rapidamente, perché il trend dei cyber attacchi non accenna a diminuire”, commenta Scozzari.
Nonostante la maggioranza degli attacchi registrati nel rapporto Clusit siano avvenuti in America (il 78% nel 2021, +1,4% rispetto al 2020), il fenomeno è in crescita anche in Europa (parliamo del 15% nel 2021, il 2% del totale, con un incremento dello 0,6% rispetto al 2020). Restano stabili, invece, gli attacchi condotti verso l’Asia, che costituiscono lo 0,5% del totale, come nel 2020.
Figura 1. Gravità dei cyber attacchi nel settore Healthcare in Italia
Fonte: Clusit – Rapporto 2022 sulla sicurezza ICT in Italia
Furto d’identità per Green pass
Il Cnaipic, il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche, nel solo 2021 ha gestito 5.509 attacchi informatici classificati come significativi sferrati nel nostro Paese verso i servizi informatici di sistemi istituzionali, infrastrutture critiche informatizzate di interesse nazionale, infrastrutture sensibili di interesse regionale, grandi imprese. Questa cifra non riguarda solo la sanità, ma nell’anno appena trascorso la Polizia postale si è concentrata sul contrasto alle truffe legate all’ambito sanitario. In particolare, ha concluso la più avanzata operazione realizzata finora nel settore per la messa in commercio di Green pass falsi, in grado di resistere anche ai controlli mediante l’App di verifica. Il furto dei dati personali è avvenuto in genere dai database dei farmacisti e dal successivo accesso illegale ai sistemi sanitari regionali di Campania, Lazio, Puglia, Lombardia, Calabria e Veneto.
Nel 2021 la Polizia postale si è concentrata sulle truffe in ambito sanitario, in particolare per contrastare la messa in commercio di Green pass falsi
Secondo il rapporto Clusit, “Le credenziali di accesso erano carpite alle farmacie mediante sofisticate tecniche di phishing, attraverso email che simulavano la provenienza dal sistema sanitario, e che inducevano le vittime a collegarsi ad un sito web, anch’esso falso, perfettamente identico a quello della sanità regionale, in grado di sottrarre le preziose credenziali. In altri casi, i falsi Green pass risultavano prodotti ricorrendo a servizi di chiamata VoIP internazionali, capaci di camuffare il vero numero di telefono del chiamante e simulare quello del sistema sanitario regionale, attraverso cui gli hacker si spacciavano per agenti del supporto tecnico della Regione interessata e inducevano il farmacista ad installare nel proprio sistema un insidioso software che consentiva di assumere il controllo da remoto del computer e rubare così le credenziali di accesso ai sistemi informativi regionali”.
Il Ciso, questo sconosciuto
Di fronte a queste minacce ci sono delle azioni di contrasto che si possono attuare, sia da parte delle aziende, sia, seppur in misura minore, dei cittadini.
“Purtroppo la mia esperienza come consulente mi dice che spesso le imprese che non hanno il loro core sulla tecnologia sono poco attente alla sicurezza informatica”, afferma Scozzari. Questo avviene perché spesso manca una figura dedicata che si occupi di proteggere l’azienda. “Di solito c’è un tecnico informatico che può istallare un antivirus, ma difficilmente ha le competenze per fornire un’analisi dei bisogni personalizzata”.
Quando si parla di sicurezza informatica, infatti, “è importante spendere bene il budget a disposizione. Per farlo, occorre effettuare un’analisi sulla singola realtà e prendere di conseguenza delle misure contro le vulnerabilità individuate”. Un approccio one-fits-all, insomma, non funziona.
“Negli ultimi anni le aziende più grandi si stanno dotando di un Ciso, un manager in grado di occuparsi della sicurezza informatica aziendale. In un organigramma che funziona, questi dovrebbe riportare direttamente al Ceo o al board dell’azienda, perché dovrebbe essere in grado di elaborare strategie che possano essere implementate ai vari livelli”.
L’acronimo sta per Chief Information Security Officer, una figura ibrida, un manager con competenze tecniche che disegni una strategia personalizzata e che sia anche in grado di metterla a terra e di controllarne gli effetti.
Il Chief Information Security Officer (Ciso) è un manager con competenze tecniche per disegnare e monitorare la strategia personalizzata più adatta alla singola realtà
“Per la natura del ruolo è una figura costosa – ammette Scozzari – ma per le piccole realtà si potrebbe pensare a un servizio on demand: aziende poco strutturate non hanno bisogno di un Ciso h24, ma di qualcuno che abbia la visione della loro situazione e che intervenga al bisogno”.
Sarebbe però sbagliato pensare che una Pmi sia automaticamente meno attenta alla propria sicurezza informatica rispetto a una grande azienda: “Purtroppo le dimensioni non sono garanzia di affidabilità – commenta l’esperta – Un’azienda più grande può essere più caotica da questo punto di vista, soprattutto se è cresciuta in fretta. Occorre un cambio di mentalità importante: bisogna capire che la cybersecurity non è come l’idraulica: non basta chiamare il tecnico solo quando serve. Quando qualcosa si “rompe” spesso è tardi”.
Altro passaggio da compiere è superare l’idea che la cybersecurity sia limitata a qualcosa di virtuale, senza ricadute nel mondo offline: “Non è più così da quando l’informatica permea il nostro quotidiano, dalla domotica ai device medici collegati alla Rete”.
La sanità italiana non è messa benissimo, quanto a consapevolezza del problema: “Ancora qualche anno fa non erano rari i casi nei quali i professionisti si loggavano ai programmi per la gestione dei dati clinici da un unico account, quello con più permessi – racconta Scozzari – Questa comodità però si paga in sicurezza: in caso di un malfunzionamento, infatti, è più complicato definirne i confini”. E ancora: “Un istituto verticale, per esempio sui tumori, deve tutelare in modo ancora più attento i dati dei propri pazienti. È infatti sufficiente che diventino pubblici i nomi di chi ha effettuato una visita da loro per avere un notevole danno di privacy (per il paziente) e di reputazione (per la struttura)”.
Lo smart working ha portato alla luce l’impreparazione delle aziende e delle istituzioni nella gestione dei dispositivi da remoto
Lo smart working, che ha toccato solo tangenzialmente l’ambito sanitario, ha portato alla luce tutta l’impreparazione delle aziende e delle istituzioni italiane nella gestione dei dispositivi da remoto. “Da almeno dieci anni esistono soluzioni tecniche che permettono di lavorare da remoto in sicurezza – afferma Scozzari – Il problema è che nel nostro Paese, quando si è chiuso tutto, poche aziende si sono ricordate anche della cybersecurity. Le priorità hanno riguardato la logistica, più che la sicurezza informatica”.
E il problema non riguarda solo il lavoro a distanza: “Con l’introduzione dei dispositivi mobili come smartphone e tablet, non basta più limitare il perimetro della cybersicurezza all’ufficio: bisogna garantire la protezione dei dati anche al professionista che risponde alle mail mentre è in treno”.
Per farlo, serve una cultura aziendale che arrivi anche ai lavoratori: “Una persona che lavori con dati sensibili da un portatile utilizzato anche da altri membri della famiglia, per esempio, non va bene. Così come sfruttare la connessione alle reti di wi-fi pubbliche: serve una Vpn che riduca le vulnerabilità dei dispositivi che utilizziamo per l’azienda”.
Security by design
Di fronte a queste minacce, come può il cittadino tutelarsi? “Purtroppo le armi a sua disposizione non sono molte: nel momento in cui qualcuno affida i propri dati a un’azienda o a un’istituzione, poi non ha modo di controllare come siano gestiti”, spiega Scozzari.
Eppure, non tutto è perduto: “Quello che si può fare è non abbassare la guardia e non commettere leggerezze: durante la pandemia, per esempio, si sono moltiplicate le comunicazioni medico-paziente attraverso la messaggistica istantanea. Capisco la comodità: si tratta di applicazioni molto diffuse, hanno un uso intuitivo e sono veloci. Eppure non sono tutte uguali e alcune non dovrebbero essere utilizzate per scambiarsi informazioni sensibili”.
Il sistema di crittografia utilizzato dall’App, infatti, da solo non garantisce la sicurezza. C’è per esempio la questione dei metadati, cioè di tutte quelle informazioni legate indirettamente al contenuto scambiato: “Nel caso delle App di messaggistica, i metadati raccolti possono includere i numeri telefonici di mittente e destinatario, l’elenco dei contatti, la durata e l’ora della conversazione, i dati sul dispositivo utilizzato, l’indirizzo IP, e così via. Tramite i metadati, pur non potendo leggere il contenuto dei messaggi, è in ogni caso possibile dedurne informazioni utili e profilare l’utente e i suoi interlocutori”. Queste informazioni, se la policy dell’App lo prevede, sono immagazzinate nei server delle società che gestiscono le applicazioni e utilizzate per la profilazione degli utenti.
La comodità di utilizzo non deve pregiudicare la sicurezza del dato: è necessario prevedere la sicurezza informatica come parte integrante del processo produttivo
Sarebbe quindi importante che le aziende sanitarie mettessero a punto sistemi sicuri per scambiarsi informazioni di tipo medico, anche alla luce dell’apertura al territorio che avverrà nei prossimi anni grazie ai fondi per il Pnrr.
Il secondo aspetto nelle mani dei cittadini è la richiesta di maggiore trasparenza: “Purtroppo nemmeno il Gdpr prevede che le aziende effettuino e certifichino controlli periodici sui loro livelli di sicurezza – afferma Scozzari – Per questo il cittadino dovrebbe insistere di più. In America le aziende comunicano con molta più facilità di aver subito attacchi informatici, offrendo poi diverse compensazioni ai loro clienti. Credo che questa cultura sia il frutto di richieste sempre più pressanti e delle varie class action che sono state intentate negli anni”.
Il meccanismo è lo stesso che abbiamo visto per la sicurezza stradale: “Trent’anni fa era normale non mettere la cintura di sicurezza. Oggi non compreremmo mai un’auto senza airbag, anche se costasse la metà. Perché invece risparmiamo sulla sicurezza informatica? Anche in questo ambito dobbiamo chiedere la security by design, cioè integrata nel processo produttivo, proprio come succede con le automobili”.