Dall’inizio della pandemia ma anche con l’invasione russa dell’Ucraina, le strutture ospedaliere (così come i pazienti, i dati sanitari, i dispositivi medici) sono maggiormente esposte ai cyber attacchi. Con il Covid-19, infatti, la digitalizzazione ha assunto un ruolo sempre più centrale, basti pensare alle piattaforme di telemedicina oggi in uso e all’aumento delle soluzioni di smart working effettuato dal personale sanitario. In parallelo, il Computer Security Incident Response Team dell’Agenzia per la Cybersicurezza Nazionale ha ammonito che le aziende sanitarie e ospedaliere, “probabilmente in virtù degli aiuti umanitari che si stanno ponendo in essere”, sono “obiettivo molto sensibile” di attacchi informatici. Invitandole, di conseguenza, ad “alzare al massimo i livelli di sicurezza”, e a riporre “massima attenzione alla posta elettronica, all’antivirus, ai siti esposti verso l’esterno”.
La cybersecurity negli ospedali è un tema caldo a livello mondiale, e l’Italia non fa difetto: il nostro Paese, infatti, viene interessato con regolarità da minacce informatiche sanitarie. Già nel primo semestre dello scorso anno, diverse aziende sono state colpite da attacchi ransomware (un malware che, partendo dalla posta elettronica, può criptare le informazioni custodite in un sistema informatico, per poi renderle di nuovo fruibili dietro il pagamento in criptovalute di un riscatto), mirati al blocco totale o alla sottrazione delle cartelle cliniche.
Clusit: in aumento gli attacchi informatici alla sanità
Il rapporto Clusit 2022 sulla sicurezza ICT in Italia (che, come prassi, apre con una panoramica degli incidenti più probanti, avvenuti a livello globale nel primo semestre 2022, rapportandoli con i dati raccolti nei quattro anni precedenti) evidenzia come il comparto sanitario sia tra i primi obiettivi degli attacchi informatici, con circa il 12% delle incursioni complessive (+2% rispetto all’anno precedente). Il motivo risiede nel fatto che il settore healthcare ha registrato una digitalizzazione particolarmente rapida, sovente poco strutturata e non sostenuta da finanziamenti consoni, esperienze e soluzioni di protezione. Lasciando aperti, inevitabilmente, rilevanti fronti d’attacco. Le tipologie di danno spaziano dalla compromissione delle informazioni personali dei pazienti al blocco completo dei sistemi informatici, impattando con forza sulla capacità di quest’ultimi di gestire le emergenze. Il malware si riconferma in testa come tecnica di assalto, ma per la prima volta dal 2018 scende sotto la soglia del 40% (38%, -3% rispetto al 2021).
Le principali cause di vulnerabilità e inefficacia spaziano da software antiquati ai circoscritti livelli di protezione per i device medici
Casualità? Assolutamente no, poiché dai recenti rapporti elaborati da leader globali di cybersecurity in sanità affiora che le aziende italiane sono sì ad alto rischio di subire tentativi di hackeraggio, ma possiedono anche limitate capacità reattive.
Le principali cause di vulnerabilità e inefficacia spaziano da software non supportati oppure antiquati ai circoscritti livelli di protezione per i device medici, dall’insufficiente monitoraggio dei rischi in relazione alle infrastrutture sanitarie e ai dispositivi medico-diagnostici al ridotto budget per proteggersi dagli hacker fino alla carenza di cultura della sicurezza e di formazione dei dipendenti.
Subito dopo l’attacco al sistema informatico della Asl Napoli 3 Sud avvenuto un anno fa, lo stesso presidente del Clusit, Gabriele Faggioli, aveva parlato di “sanità che continua ad essere al centro dell’interesse dei cyber criminali: basti pensare che il 13% degli attacchi che abbiamo analizzato nel primo semestre 2021 ha riguardato il mondo sanitario con un aumento del 20% rispetto al secondo semestre 2020. Sempre nel 2020, il 14% degli eventi criminali online ha avuto come causa lo spionaggio cyber: in molti casi è stato nel mirino anche lo sviluppo dei vaccini”.
Sull’argomento interviene Giuliano Pozza, Chief Information Officer presso l’Università Cattolica del Sacro Cuore: “Di certo la sanità è un bersaglio interessante per gli attaccanti per almeno due motivi. Innanzitutto, rispetto ad altri ambiti, le vulnerabilità sono maggiori. Infatti, la frammentazione, almeno in Italia, della governance sanitaria, la mancanza di regolamentazioni stringenti (che ci sono ad esempio nel mondo bancario) e l’inadeguatezza quantitativa delle risorse a disposizione (parliamo di budget ma anche di professionisti qualificati) rendono la sanità un bersaglio tutt’altro che complicato”.
Parliamo di un ambito in cui si possono creare danni notevoli con poco sforzo
E in merito alla seconda ragione? “Parliamo di un ambito in cui si possono creare danni notevoli con poco sforzo – prosegue Pozza –, è semplice utilizzare dei ransomware per chiedere un riscatto, ma la fragilità dei sistemi informativi e soprattutto del contesto che si collega a tali sistemi espone a diversi tipi di attacchi. Si pensi a tutto il tema delle grandi diagnostiche, con macchinari spesso obsoleti (almeno nella parte informatica) ma connessi alla rete ospedaliera. Possiamo allargare l’orizzonte parlando di IoMT (Internet of Medical Things), che oltre alle diagnostiche include la robotica, i dispositivi impiantabili ed altro ancora”. A questo proposito, nel libro che Pozza ha scritto con John D. Halamka (“The Fifth Domain”), gli autori ipotizzavano proprio un attacco devastante su un’infrastruttura sanitaria per costringere all’evacuazione di una intera città. “È uno scenario purtroppo verosimile”, puntualizza Pozza.
Perché gli hacker prendono così spesso di mira gli ospedali
Cybersecurity negli ospedali: qual è lo stato dell’arte? Queste strutture sono tra gli obiettivi preferiti dai pirati informatici poiché all’interno di edifici di per sé contraddistinti da un’estesa superficie convivono differenti reti con diversi livelli di privacy o sensibilità non sempre ben segmentati, agevolando così l’accesso degli hacker. Quest’ultimi sì agiscono “by opportunity” da una rete all’altra (dunque, soppesando con scrupolo l’equazione costo/ricavo di un crimine prima di cimentarsi), ma sono anche consapevoli che le organizzazioni sanitarie risultano estremamente motivate a pagare per rispristinare in modo veloce i propri sistemi.
Per l’intrinseca natura della sua attività, infatti, il personale lavora di frequente sotto la pressione del tempo, un aspetto che può indurre a cliccare, scaricare e gestire le email in maniera sommaria, con il conseguente pericolo che i propri account vengano colpiti da attacchi informatici e minacce via email. Non tralasciando il fatto, poi, che in taluni casi gli operatori si rapportano ai sistemi informatici ospedalieri al pari dei propri social; ciò è legato al fatto che la sanità non è stata fino a questo momento valutata un sistema critico, e pertanto la cautela non rientra nella mentalità. E ancora, spesso i corsi di formazione e training non sono sufficienti e i sistemi di sicurezza richiesti a volte risultano farraginosi e meccanici e i dipendenti bypassano taluni basilari step.
Sul tema si esprime Fabrizio Baiardi, professore ordinario di informatica, responsabile gruppo ICT risk assessment and management presso l’Università di Pisa, spiegando che “i sistemi informatici degli ospedali sono concepiti per condividere informazioni di una cartella clinica tra un elevato numero di utilizzatori, e ciò semplifica la vita degli attaccanti“. Inoltre, sottolinea, “nel caso dei ransomware che impediscono di accedere ai dati e bloccano i vari servizi, nascondere l’attacco è impossibile. Sono gli attaccanti stessi, infatti, a pubblicizzare il successo della loro azione così da accelerare il pagamento del riscatto sotto le pressioni dell’opinione pubblica per la ripresa del servizio. A questo occorre affiancare gli obblighi di legge per la comunicazione dell’attacco alle persone i cui dati sono stati persi”.
Secondo Baiardi, poi, “non bisogna trascurare che nella dirigenza degli ospedali, come in molte altre organizzazioni, manchino spesso competenze adeguate per valutare il rischio informatico generato da alcune scelte di progetto dei sistemi utilizzati. Ciò è anche evidente dai costi previsti per la sicurezza informatica in molti bandi e capitolati d’asta del settore. La sottovalutazione continua del rischio in materia rappresenta una delle armi più potenti a disposizione degli attaccanti. Nel caso dei sistemi informatici degli ospedali, poi, tale sottovalutazione ha costi drammatici che sono spesso arrivati, non in Italia, alla perdita di vite umane per l’impossibilità di accedere alle informazioni cliniche necessarie per le diagnosi e/o le cure”.
Spesso le infrastrutture dei nosocomi esternalizzano i propri servizi di cartelle cliniche elettroniche
Va altresì detto che sovente le infrastrutture dei nosocomi esternalizzano i propri servizi di Electronic Health Record (cartelle cliniche elettroniche), magari sottovalutando quell’indispensabile e preventivo controllo dei vendor/partner che, invece, sono tenuti a fornire “garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate” (monitoraggio richiesto dall’articolo 28 del regolamento Ue 2016/679).
I sistemi informatici che ricorrono a questo servizio risultano spesso presi di mira da attacchi alla supply chain. Nel caso specifico, i cybercriminali raggiungono la propria vittima “passando” per i fornitori della catena di approvvigionamento. Spesso questa tipologia di attacco è eseguita con obiettivi di lucro ma può avere anche altre mire, come la manomissione dei device medici per il controllo a distanza. È il caso, ad esempio, dei defibrillatori connessi al sistema di monitoraggio remoto.
La violazione dei dati personali nelle strutture ospedaliere
Il valore dei dati sanitari costituisce una tangibile parte della ricchezza dei nosocomi, ragione per cui sono bersagli privilegiati dei pirati informatici. In particolare, i dati custoditi nelle cartelle cliniche sono tra i più ricercati nel dark web. Perché sono così preziosi? La ragione è semplice: non solo contengono informazioni identificative personali (dal nome all’indirizzo al codice fiscale) ma racchiudono anche indicazioni relative a carte di credito e metodi di pagamento, congiuntamente ai numeri identificativi delle polizze assicurative. A causa della perdita dei dati (il Financial Times ha sviluppato un algoritmo capace di quantificarne il valore economico), i sistemi ospedalieri si trovano a dover affrontare ritardi per la continuità dei percorsi diagnostico-terapeutici-assistenziali anche per settimane o mesi. Veri e propri assalti capaci di minacciare non solo la difesa di sistemi e informazioni, ma anche la salute e la tutela dei pazienti.
Studi recenti sottolineano un collegamento diretto tra gli attacchi dei criminal hacker e l’incremento della mortalità nelle realtà colpite
In riferimento alla violazione dei data breach (episodi di infrazione della sicurezza di una banca dati che possono scaturire sia da attacchi ransomware o phishing sia da procedure inadatte e da banali errori materiali del personale, studi recenti sottolineano un collegamento diretto tra gli attacchi dei criminal hacker e l’incremento della mortalità presso le realtà colpite. Un caso su tutti: nell’autunno del 2020 una donna che necessitava di cure mediche urgenti sarebbe deceduta a seguito di un attacco informatico che ha interessato la rete dell’ospedale di Düsseldorf, in Germania, dopo essere stata reindirizzata in un nosocomio della città di Wuppertal, a 30 chilometri dalla sua meta iniziale, che era appunto l’ospedale universitario di Düsseldorf. Quest’ultimo non ha potuto ricevere la paziente per via del blocco informatico (oggi ci si è resi conto che i “fermo-macchina” costano all’assistenza sanitaria più che a qualsivoglia altro comparto) ma il trasferimento, e il conseguente ritardo delle cure, sarebbe risultato fatale.
In sanità il tema del furto dei dati (data breach) è tra i fattori a rischio, ma non è il solo che deve preoccupare. Altrettanto rilevanti, infatti, sono l’interruzione di servizi critici (service interruption) e i rischi di sicurezza fisica per pazienti e operatori (safety). “Nel primo caso – riprende Pozza – rientrano ad esempio il blocco di servizi di prenotazione e/o di accettazione, come è successo nel 2021 alla Regione Lazio, il blocco dei sistemi clinici usati per la diagnosi e la cura dei pazienti, il blocco dei servizi trasversali ospedalieri come il laboratorio o la radiologia, e di quelli amministrativi”.
Come anticipato, un livello di rischio ulteriore ed ancora più inquietante è quello della sicurezza fisica per i pazienti e gli operatori. Su questo, il Direttore Sistemi Informativi dell’Università Cattolica del Sacro Cuore porta alcuni esempi: “Si pensi a cosa potrebbe succedere, e in qualche caso è successo, in caso di attacco verso i sistemi energetici o verso un reparto di terapia intensiva. È inoltre possibile ipotizzare (e la fattibilità è stata dimostrata più volte) un attacco di prossimità verso dispositivi impiantabili come pompe ad insulina, defibrillatori impiantabili o pace maker. Mi pare chiaro quindi che il data breach è una casistica rilevante ma non l’unica quando si parla di rischi di attacchi informatici in sanità”.
Sicurezza informatica in ospedale: le best practice da attuare
Considerati gli esiti funesti non soltanto sui sistemi informatici della sanità ma anche sulla salute dei pazienti, i nosocomi sono chiamati, oggi più che mai, a valutare in modalità predittiva, proattiva e preventiva la difesa dei sistemi informatici e delle apparecchiature medicali.
È d’obbligo, dunque, che le organizzazioni attuino uno sforzo comune per investire nella cybersecurity negli ospedali, attribuendo maggiore priorità alla sicurezza IT. Il sistema sanitario necessita di modernizzare la propria difesa informatica così come ha potuto modernizzare le proprie infrastrutture e i propri servizi. Circoscrive Pozza: “Purtroppo non ci sono scorciatoie: bisogna da subito (o da ieri) aumentare gli investimenti in cultura digitale (è dimostrato che gli utenti sono spesso l’anello più debole della catena), in potenziamento degli organici e infrastrutture tecnologiche. La sanità di ieri poteva ignorare certi rischi, quella attuale sempre più digitalizzata non può più permetterselo”.
L’intento, dunque, è duplice: potenziare la gittata degli investimenti, incrementando la resilienza del sistema informativo ospedaliero e aumentare il margine di consapevolezza nei dipendenti, sensibilizzandoli sui pericoli e sull’uso idoneo dell’infrastruttura informatica di cui dispongono.
L’implementazione di soluzioni in grado di fortificare il livello di protezione del sistema informativo e accrescere il grado di competenza per identificare segnali lampanti o precorritori di una minaccia online, potrebbe assicurare – e sarebbe già un risultato importante – un livello minimo di operazioni e il rientro alla normalità il più velocemente possibile. In questo scenario, la direttiva NIS 2 (Network and Information System Security) approvata il 10 novembre 2022 dal Parlamento Europeo e pubblicata in Gazzetta Ufficiale lo scorso 27 dicembre, ha apportato un contributo rilevante poiché, rispetto alla precedente NIS 2016/1148, estende gli obblighi in materia di cyber sicurezza e fortifica la responsabilità degli attori interessati.
Fermo restando che il perimetro delle criticità in materia delle strutture ospedaliere risulta complesso da circoscrivere e che non esiste un’organizzazione sicura al 100%, è indispensabile poter contare su un piano di risposta agli incidenti e, in parallelo, disporre delle risorse adeguate per agevolare e velocizzare sia il recovery sia l’implementazione di misure correttive.
Troppo spesso gli attaccanti hanno successo sfruttando vulnerabilità che potevano e dovevano essere eliminate da tempo
In riferimento alle best practice da mettere in campo, Baiardi precisa che “le tecniche sono le stesse che si applicano in un qualunque sistema informatico per la gestione di dati di interesse per il cybercrime. Una classificazione sia dei dati in base alla loro criticità, per stabilire i vari controlli da utilizzare, sia degli utenti per decidere a quali dati ogni classe possa accedere. E ancora, una segmentazione della rete informatica in sottoreti separate da firewall per ostacolare i movimenti dell’attaccante nel sistema e limitare i danni di un possibile attacco”.
Altri punti fondamentali, nell’esperienza maturata da Baiardi, risiedono “nell’aggiornamento dei vari software applicando le varie patch di sicurezza. Troppo spesso, infatti, gli attaccanti hanno successo sfruttando vulnerabilità che potevano e dovevano essere eliminate da mesi, se non da anni”. E ancora, bisogna riservare particolare attenzione “nell’adottare soluzioni zero trust che concedono accesso alle informazioni in base ad un vasto insieme di indicazioni su chi richiede l’accesso ed il dispositivo che sta utilizzando. In alternativa, usare almeno autenticazione a due fattori”, nonché prevedere “l’esistenza di strumenti e competenze per riconoscere e gestire eventuali intrusioni in atto prima che abbiano successo. Come richiesto dal Regolamento Generale sulla Protezione dei Dati (Gdpr), ma anche da normali regole di prevenzione, è importante che la sicurezza informatica venga considerata a priori, durante il progetto del sistema informatico, quando il costo di eventuali modifiche risulta minore e pertanto l’investimento in sicurezza è più redditizio”, chiosa Baiardi.