Richard Meeus, Director of Security Technology and Strategy, EMEA di Akamai, spiega perché la cybersecurity nella sanità è una questione di vita o di morte.
Un attacco ransomware contro un’azienda può paralizzare le attività commerciali, ma nel settore sanitario può fare la differenza tra la vita e la morte. Nel corso del mese di giugno, Synnovis, un fornitore di servizi di analisi e diagnostica, ha annunciato di essere stato vittima di un attacco ransomware che ha bloccato i sistemi informatici, fondamentali per le analisi del sangue e i servizi di trasfusione negli ospedali. Il gruppo russo di criminali informatici noto come Qilin ha rivendicato l’attacco. Le conseguenze sono state enormi: i servizi devono ancora riprendere a funzionare correttamente, gli interventi chirurgici sono stati posticipati e i tempi per completare gli esami del sangue sono aumentati di sei volte rispetto alla norma.
Questo recente attacco a una struttura sanitaria non è un caso isolato, ma un chiaro esempio della pericolosa crescita dell’hacktivismo. Da gennaio 2019, ci sono stati 215 incidenti ransomware nel settore sanitario del Regno Unito, secondo l’Information Commissioner’s Office (ICO). Allo stesso modo, in Italia i cyber attacchi negli ultimi 4 anni sono praticamente triplicati: dai 3 del 2018 ai 9 del 2021 e 2022, con una severity che, nell’ultimo anno, è critica nel 78% dei casi e alta nel restante 22%.
Il livello di dati riservati gestiti da una struttura sanitaria la rende un obiettivo di alto valore. Quest’anno, si è registrato un rapido aumento dei criminali informatici che scelgono di rubare, anziché criptare, dati medici altamente sensibili, minacciando di pubblicarli sul dark web a meno che l’operatore sanitario non paghi un riscatto. Anche se i responsabili di un ransomware non ricevono il riscatto, guadagnano notorietà.
Il gruppo di criminali informatici Qilin avrebbe chiesto a Synnovis un riscatto di 50 milioni di dollari in cambio della decryption key. Con i ransomware mirati al settore medico che raggiungono livelli astronomici, è evidente che l’attuale approccio reattivo della sanità alla cybersecurity non è più sufficiente. Le istituzioni sanitarie devono andare oltre la semplice fortificazione della loro sicurezza di base, assicurandosi che le difese informatiche siano adeguate alle minacce di oggi e di domani, per proteggere sia i dati che le vite dei pazienti.
L’impatto umano di un attacco ransomware
Dato che i cybercriminali operano a livello internazionale, la criminalità informatica è diventata un business. Secondo il World Economic Forum, il costo della criminalità informatica potrebbe raggiungere i 10.500 miliardi di dollari all’anno entro il 2025. Tuttavia, quando gli attacchi colpiscono le istituzioni sanitarie, sono i pazienti a pagare il prezzo più alto. Infatti, se un attacco informatico contro un’azienda può interrompere servizi come i pagamenti e il controllo degli stock in magazzino, gli attacchi al settore sanitario possono impedire l’accesso a cure salvavita e minare la fiducia nei servizi sanitari.
Le strutture sanitarie sono obiettivi primari per i cyberattacchi a causa della quantità significativa di dati personali che conservano e utilizzano. Questi dati, cruciali per fornire assistenza, sono estremamente preziosi per i criminali informatici. La triste verità è che i cybercriminali non considerano i danni che causano e le vite che mettono in pericolo, cercano solo di fare soldi rapidamente.
Una ricerca di Akamai ha evidenziato che tra il 2021 e il 2023 gli attacchi ransomware contro le organizzazioni sanitarie sono aumentati del 162%, un incremento senza pari in altri settori. Inoltre, le istituzioni sanitarie sono più propense a subire perdite finanziarie: il 43% rispetto alla media generale del 36%.
I punti deboli della sicurezza nel settore healthcare
I fondi a disposizione del settore sanitario sono spesso limitati, questi limiti insieme a un approccio reattivo alla cybersecurity sono spesso barriere tipiche della resilienza informatica del settore. Tuttavia, approcci reattivi consentono ai malintenzionati di prendere l’iniziativa e mettono le istituzioni sanitarie in una posizione di svantaggio.
Sistemi informatici sanitari obsoleti rappresentano punti di ingresso allettanti per i criminali informatici. In alcuni casi, i sistemi legacy possono costituire tra il 30 e il 50% dei servizi IT, rimanendo aperti alle vulnerabilità. Progettati più di 20 anni fa, questi sistemi non sono rimasti al passo con i progressi tecnologici a causa dei costi di manutenzione.
Le organizzazioni sanitarie e i loro dipartimenti di sicurezza, spesso estremamente impegnati, non sempre riescono a trovare il tempo necessario per effettuare patch efficaci. Controlli regolari della sicurezza informatica e un approccio “Zero Trust” possono mitigare le minacce ai sistemi vecchi e nuovi. Un approccio efficace che possono adottare rapidamente è quello della “presunta violazione”. Questo non significa panico, ma garantisce che le organizzazioni siano pragmatiche, comprendendo dove sono conservate le risorse critiche e cosa è necessario per fornire cure essenziali. Questo consente di implementare solide misure di autenticazione e autorizzazione attorno a tali sistemi.
Inoltre, è fondamentale che le organizzazioni sanitarie promuovano una buona sicurezza informatica tra i dipendenti, proteggendoli il più possibile dalle e-mail di phishing e dagli attacchi informatici. Senza una formazione adeguata a riconoscere e segnalare le e-mail di phishing, gli aggressori possono facilmente ottenere credenziali sensibili spammando i loro obiettivi con messaggi dall’apparenza realistica.
È essenziale evitare di utilizzare password facili da decifrare e rendere l’autenticazione a più fattori una pratica standard. Adottando questi processi, le istituzioni sanitarie possono limitare l’impatto di eventuali violazioni.
Cybersecurity nel settore sanitario: prevenire gli attacchi futuri
La barriera d’ingresso per i criminali informatici si è abbassata negli anni. La proliferazione di siti web self-service e di strumenti di intelligenza artificiale che automatizzano il lavoro pesante consente anche ai criminali dilettanti di creare scompiglio.
L’utilizzo di partner e fornitori terzi amplia il panorama delle minacce e la vulnerabilità delle istituzioni sanitarie, poiché le funzioni di sicurezza informatica possono variare tra le diverse entità.
Nell’ambito di una strategia interna di resilienza informatica a lungo termine, le istituzioni sanitarie possono migliorare notevolmente le proprie capacità di difesa segmentando la rete. Questo significa identificare gli aspetti critici della rete e assicurarsi che siano delimitati, rendendo impossibile l’infiltrazione di malintenzionati. La segmentazione rende più difficile per i criminali informatici muoversi attraverso la rete una volta ottenuto l’accesso. Si può pensare a questo come all’installazione di porte tagliafuoco per contenere la propagazione di un incendio o all’obbligo di far passare gli scanner ID attraverso diverse sezioni di un ufficio. L’importante è che, anche se un criminale informatico riesce a entrare in una rete, non abbia la libertà di vagare dove vuole e di accedere a tutti i dati che desidera.
È dimostrato che la segmentazione migliora drasticamente la capacità di un’istituzione sanitaria di contenere un attacco informatico. Il tempo necessario per bloccare completamente un attacco ransomware, quando la rete di un’organizzazione è adeguatamente segmentata, è in media oltre quattro volte più rapido rispetto a una rete priva di una solida segmentazione. Quando il tempo è fondamentale e le vite sono a rischio, ogni secondo, minuto e ora contano.
