Cyber security in sanità: nel 2022 il comparto healthcare è stato il più colpito dai criminali informatici (escludendo il fatto che la maggioranza degli attacchi è stata rivolta ai cosiddetti “multiple targets”, i bersagli multipli). E nel primo trimestre di quest’anno viene confermato il trend di crescita: i cyber attacchi sferrati alla sanità a livello globale sono stati il 17% sul totale da gennaio a marzo 2023 (contro il 12% del 2022). Non fa eccezione l’Italia, dove gli attacchi negli ultimi quattro anni sono triplicati.
I dati emergono dal focus Healthcare del Rapporto Clusit relativo al primo trimestre 2023, da cui affiora che l’obiettivo della criminalità nel settore sanitario – un comparto che, è bene precisarlo, al pari di tanti altri è stato costretto a una veloce digitalizzazione e risulta particolarmente sotto pressione dagli anni di pandemia – rimane la monetizzazione, piuttosto che le azioni dimostrative o di spionaggio: gli attacchi nei primi tre mesi dell’anno sono stati infatti quasi tutti riferibili al cybercrime, in linea con la tendenza del 2022, eccetto per una minima percentuale (3%) riferibile ad episodi di hacktivism, forma di attivismo digitale non violento, il cui obiettivo principale risulta scevro da interessi economici personali.
Dettaglia Alessandro Vallega, membro del comitato scientifico di Clusit, Associazione italiana per la sicurezza informatica, che rappresenta oltre 600 organizzazioni, appartenenti a tutti i settori del sistema Paese: “Il Rapporto ci mostra che la quasi totalità degli attacchi sono effettuati dalla criminalità allo scopo di trarne profitto. La tassonomia utilizzata nella nostra ricerca riporta anche le motivazioni di espionage/sabotage e hacktivism per le quali tuttavia misuriamo, per la sanità, percentuali risibili”. Le ragioni? “Sono di facile comprensione – riprende – osservando che spionaggio e sabotaggio riguardano soprattutto settori a rilevanza statale strategica (guerra e conflitto) e aziende che crescono rapidamente in termini di ricerca e sviluppo e hanno segreti importanti da proteggere, e che l’hacktivism colpisce aziende che sono percepite dall’attaccante come ingiuste, inique, non rispettose dell’ambiente e dei diritti dell’uomo o degli animali. La sanità è invece di grande interesse per i cybercriminali perché è relativamente arretrata dal punto di vista della protezione degli asset digitali ed è quindi un bersaglio facile. A parità di sforzo, i criminali guadagnano di più”.
Ma non è tutto. Dal Rapporto Clusit emerge che nel primo trimestre del 2023 le strutture italiane sono state colpite, in un terzo circa dei casi, ed escludendo i casi in cui la tecnica di attacco non è conosciuta al pubblico, da malware. L’utilizzo di vulnerabilità come punto di ingresso per violare sistemi ha rappresentato invece nello stesso periodo il 16% dei casi. Di ulteriore rilievo, secondo i ricercatori dell’Associazione italiana per la sicurezza informatica, anche il 9% di attacchi basati su furti di identità e violazione di account, più alto della media.
La sanità è di grande interesse per i cybercriminali perché è relativamente arretrata dal punto di vista della protezione degli asset digitali ed è quindi un bersaglio facile
Al contempo, va evidenziato che la gravità dell’impatto degli incidenti nel settore healthcare è stata complessivamente, per i primi tre mesi dell’anno, più bassa rispetto alla media, con il 71% di incidenti classificati come “grave” o “critico” rispetto a una media dell’80%. Ciò nonostante, trattandosi del settore più colpito, l’impatto globale risulta comunque assai alto, e gli effetti sociali dell’interruzione di servizi in questo ambito, oppure la diffusione di informazioni in merito allo stato di salute dei cittadini, sono rilevanti. Oggi il numero crescente di incidenti in sanità in assoluto (262 nel 2021 contro 304 nel 2022) e rispetto agli altri settori aziendali (12,21% nel 2021 contro 16,77% nel 2022) desta apprensione, dimostrando che il comparto fatica non poco a reagire alla sfida di cyber security in sanità.
Healthcare e cyber attacchi: gli strumenti e le tecniche dei criminali informatici
I dati sanitari, dunque, sono preziosi per numerosi soggetti – hanno sottolineato i ricercatori di Clusit – e vanno ad alimentare un mercato nero, individuabile nel dark web, nel quale, infatti, sono quelli che vengono venduti a prezzo più elevato. E non è una coincidenza che questa tipologia di furto sia in costante aumento.
I dati sanitari sono preziosi per numerosi soggetti e la sanità non è più al riparo dagli attacchi criminali solo perché è un servizio ai cittadini
Sulla sicurezza dei dati in ambito sanitario l’Italia sta facendo abbastanza? Quanto ancora può fare e dove, nel caso, occorre migliorare? Pronta la replica di Vallega: “L’idea di appartenere a un’organizzazione che non meriti l’attenzione degli attaccanti – e, quindi, non è nel loro mirino e perciò non vale la pena investire grandi risorse per proteggersi – è sempre stata piuttosto popolare, soprattutto in questo settore. Tale percezione è fortunatamente in diminuzione, ma in passato ha avuto ancora più presa per via del servizio che la sanità porta ai cittadini (“noi facciamo del bene”). Alcuni gruppi criminali, addirittura, dichiaravano sui loro portali di non voler vendere i loro servizi e software d’attacco a chi intendesse usarli contro gli ospedali ma, ormai, anche questo fatto non è più vero”.
Al contempo, va osservato che ci sono due differenti modi per essere identificato come un possibile bersaglio da colpire. “Quello numericamente più rilevante consiste nel semplice fatto che gli attaccanti continuano a scansionare tutti i dispositivi raggiungibili dalla Rete per verificare se sono vulnerabili a causa di un difetto del software o di configurazione. Una volta trovata una “porta aperta” – incalza Vallega – l’informazione viene venduta ad altri che decideranno se proveranno ad ‘entrare’ sulla base delle loro capacità, della vulnerabilità e delle caratteristiche del bersaglio”.
Altresì, “ci sono acquirenti di ogni tipo per ogni tipo di bersaglio. È evidente che in questa ‘pesca a strascico’ possono essere prese organizzazioni di ogni tipo e grandezza”. Da qui la ‘caccia alla balena’, nel cui caso “l’attaccante identifica per vari motivi un bersaglio e prova a violarlo. In tale situazione le tecniche usate includono le precedenti ma si estendono ad altre in una sfida di intelligenze, di attacchi e di misure di sicurezza. Ma neanche in questa situazione le organizzazioni ‘minori’ sono esonerate perché le loro vulnerabilità e debolezze possono essere un veicolo per raggiungere il bersaglio grosso. Si parla, nel dettaglio, di supply chain attack e di supply chain security”.
Sicurezza informatica in sanità: il ruolo dell’IT e dell’Ingegneria Clinica
Vallega puntualizza che “l’informatica è arrivata in ospedale da due strade diverse: l’IT per gestire gli aspetti contabili e amministrativi e l’Ingegneria Clinica con le macchine di diagnosi e cura. Queste seconde nel tempo sono state potenziate con software sempre più sofisticati, poi sono state connesse alla rete interna e quindi a Internet. Oggi una parte del loro funzionamento può essere delegata al cloud per le elaborazioni più sofisticate, per esempio con l’intelligenza artificiale, oppure per una gestione centralizzata ottimizzata a vantaggio del medico o dell’ingegnere clinico. La superficie di attacco, ovvero quello che un attaccante può facilmente raggiungere per iniziare la sua esplorazione, è quindi cresciuta a dismisura”.
Il comparto sanitario ha affrontato una veloce digitalizzazione e risulta particolarmente sotto pressione dagli anni di pandemia
Quindi il membro del comitato scientifico di Clusit aggiunge: “Ho osservato che l’IT è consapevole del problema cyber security in sanità ma spesso non riesce a ottenere l’attenzione del management per i fondi e le risorse necessarie a mettere in sicurezza i sistemi”, per poi dettagliare le figure e i ruoli professionali interessati.
“In Italia il responsabile dei sistemi informativi e quello dell’Ingegneria Clinica sono di prassi due persone diverse che condividono la rete di trasmissione dati ma hanno vincoli operativi differenti. Il responsabile del servizio di Ingegneria Clinica deve garantire la continuità di funzionamento dei dispositivi medici, anche quando questi risultino infettati da un virus informatico perché sono usati in quel momento per delle cure vitali. Inoltre, è abbastanza comune che tali dispositivi si basino su sistemi operativi obsoleti e, quindi, non siano più aggiornati dal produttore, anche rispetto a tutte le vulnerabilità scoperte dopo la data di de-supporto”.
La situazione è complicata ulteriormente per via dei requisiti delle certificazioni che devono essere di nuovo ottenute qualora il sistema sia aggiornato dal produttore. “La certificazione, che ha lo scopo di garantire il paziente rispetto ai malfunzionamenti che possono causare errori di diagnosi e cura, è un ostacolo per la sicurezza informatica che ad oggi consiste in una correzione continua degli errori immessi involontariamente nel software”, ammette Vallega.
Formazione e consapevolezza nell’uso delle tecnologie sanitarie digitali
Oggi le organizzazioni sanitarie ricorrono alle tecnologie sanitarie digitali, alla rete e agli strumenti innovativi per gran parte della loro attività: a vantaggio della tutela dell’intero sistema, però, è imprescindibile che ciascuno sia consapevole del loro uso, conosca i rischi informatici e le contromisure. In caso contrario, si permette ai cyber criminali di creare grandi danni alle persone e alle organizzazioni, interrompendo i servizi di cura, ricattando gli uni e gli altri e vendendo i dati rubati sul dark web.
“Parliamo di minacce per le quali le organizzazioni sanitarie dovrebbero attrezzarsi meglio, anche con costanti verifiche delle vulnerabilità dei sistemi, poiché le conseguenze di questi attacchi non sono solo economiche e organizzative: a rischio ci sono i cittadini e la società”, circoscrive Vallega, convinto (a ragione) che anche nel settore healthcare la migliore forma di prevenzione è rappresentata dalla formazione (“utile a condurre alla consapevolezza nell’uso delle tecnologie digitali, per operare in sicurezza e non compromettere eventuali contromisure già messe in atto”).
Anche nel settore healthcare la migliore forma di prevenzione è rappresentata dalla formazione
Purtroppo però, al contrario di quanto spesso si crede – e il focus “Healthcare” del Rapporto Clusit relativo al primo trimestre 2023 lo rimarca – non sono solamente gli utenti con posizioni intermedie all’interno delle aziende sanitarie e farmaceutiche a necessitare di formazione; sovente, accade che anche i vertici delle organizzazioni con competenze specifiche e di elevato livello in economia, in temi legali e di salute, non abbiano consapevolezza in ambito di cybersecurity. Gli stessi profili ai quali, tutt’altro che di rado, sono riservati accessi ad account privilegiati, con autorizzazioni per compiere operazioni bancarie e fornire input amministrativi (ragione per cui sono bersagli molto interessanti per i cyber criminali).
Certamente il PNRR prevede finanziamenti pari a 2,5 miliardi circa in relazione al potenziamento degli strumenti digitali, dell’infrastruttura e del fascicolo sanitario, ma non sono compresi gli investimenti per la formazione specifica del personale sanitario. Ragione per cui è basilare che le singole organizzazioni investano in programmi di sensibilizzazione e formazione per il personale e, in parallelo, adottino una serie di politiche e procedure di sicurezza appropriate per proteggere i dati sanitari e prevenire gli attacchi cyber.
A livello di singola azienda sanitaria, le iniziative di consapevolezza e formazione del personale devono prevedere diversi livelli di approfondimento, a seconda delle responsabilità
A livello di singola azienda sanitaria, invece, si possono suggerire una serie di azioni funzionali da mettere in campo? “La risposta è sì – interviene Vallega – e devono includere diverse iniziative tese ad aumentare la consapevolezza e la formazione del personale aziendale facendo attenzione a distinguere almeno tre diverse audience e livelli di approfondimento adeguati. In particolare, bisogna formare gli utenti “normali” (quelli che semplicemente usano l’IT come strumento di lavoro e devono semplicemente conoscere le regole di “igiene” cyber), gli utenti di tipo IT (amministratori di sistema, sviluppatori e altre figure che devono conoscere e adottare le “buone pratiche”) e il management aziendale (che deve comprendere in cosa consiste la sfida cyber e sostenere praticamente con l’esempio e adeguati mezzi la cultura della sicurezza).
E ancora, non vanno sottovalutati “il controllo e il monitoraggio della rete di trasmissione dati e dei dispositivi connessi tramite tecnologie atte a impedire l’accesso da parte di entità non autorizzate, a scoprire la presenza ostile di un attaccante all’interno del perimetro aziendale sia esso on-premises sia nel proprio cloud” né “l’analisi e la riduzione delle vulnerabilità tecnologiche seguendo un approccio che tiene in conto delle priorità di lavoro tramite costanti aggiornamenti e ‘patching’ dei sistemi. Dunque, a seconda della maturità aziendale e dello stato dell’arte, si possono scegliere percorsi di miglioramento anche assai differenti tra loro”.
È prioritario perciò investire quanto prima il tempo e l’energia sulla formazione e sulla consapevolezza, poiché – a maggior ragione in sanità – la sicurezza non si implementa a stretto giro ed è tanto il gap accumulato da recuperare.