Attacchi cyber agli ospedali: perché i dati sanitari fanno gola agli hacker e come possono proteggersi le aziende?

Dagli ospedali, ai centri medici, ai laboratori di analisi, nel nostro Paese, come in tutto il mondo, le strutture sanitarie sono sempre di più nel mirino di attacchi hacker. Abbiamo potuto osservare le conseguenze dell'ultimo incidente capitato ad inizio maggio, quando i sistemi gestionali informatici dell’Asst Fatebenefratelli Sacco di Milano (l’azienda che gestisce gli ospedali Luigi Sacco, Fatebenefratelli e Oftalmico, il Macedonio Melloni, l’ospedale dei bambini Vittore Buzzi e 33 sedi sanitarie e sociosanitarie territoriali) hanno subìto un imponente attacco hacker che ha messo offline i portali di ogni struttura gestita dall’azienda; costringendo il personale sanitario ha ripiegare sulla modulistica cartacea, con inevitabili ripercussioni sui pazienti e sui processi, sia diagnostici che amministrativi, delle aziende ospedaliere stesse.
La Regione Lombardia ha confermato l’accaduto, secondo cui l’entità massiccia dell’attacco ha colpito nel segno, nonostante l’accrescimento delle misure di sicurezza poste in essere negli ultimi mesi.
Dai recenti report elaborati da leader globali di cyber security (uno tra gli altri il Rapporto Clusit), emerge che le aziende sanitarie italiane, oltre ad avere un rischio elevato di attacchi informatici e violazioni, hanno anche ridotte capacità di reazione.
Ormai i dati, la loro proprietà, l’analisi e il loro trattamento rappresentano una concreta parte della ricchezza di un’azienda, sanitaria e non, motivo per cui sono nelle mire degli hacker.
Ma tra tutte le tipologie di dati presenti nella rete, quelli più preziosi sono i dati che si possono ottenere tramite un attacco a una struttura medica. Una cartella sanitaria, per esempio, può valere fino a 2.000 dollari nel Dark web, perché è tra le più dettagliate, nonché “ricche”, di informazioni utili necessarie a un criminal hacker per portare a termine altri attacchi come il furto d’identità.
Strutture come ospedali e cliniche, di rado possono permettersi periodi di disservizio causati da un cyber attacco, per ovvi motivi. I criminali informatici, dunque ne approfittano per cercare di usare l’importanza vitale di tali strutture come leva per forzare il pagamento di un ricatto. Ed è il caso, in particolare, di attacchi come il ransomware: una tipologia di malware (ovvero di software malevolo) che danneggia i dati critici di un'organizzazione, ed è devastante in quanto può arrivare a danneggiare o meglio crittografare tutti i dati critici. La chiave per decrittografare i dati si trova in possesso del criminal-hacker il quale è pronto a fornirla alle vittime dietro pagamento di un riscatto. Tale riscatto deve essere pagato in criptovalute, il che porta ad una posta economica molto alta.
Tutto ciò viene poi amplificato dal continuo aumento di tecnologie IoT (Internet of Thing) attraverso cui abbiamo una connessione online di moltissime tipologie di oggetti. Questi oggetti, nel settore sanitario, tipicamente rilevano dati che spediscono a sistemi di monitoraggio (a volte tramite i canali internet tradizionali), attraverso i quali possono essere rilevate le condizioni del paziente e prese, a volte automaticamente, decisioni anche rilevanti.
Un esempio può essere il controllo remoto di una pompa infusionale o trasfusionale. Tutti questi dispositivi, e i canali di trasmissione, se non protetti opportunamente, possono costituire la porta di ingresso per colpire poi la struttura bersaglio.
Da qui un esempio concreto: i criminal hacker intenzionati ad attaccare un ospedale devono, in qualche modo, ottenere accesso alla rete o a uno dei device presenti nella struttura. Per farlo utilizzano due metodi principali: il social engineering (l’invio di e-mail di phishing, atte a ingannare gli utenti e ottenere le credenziali account) e l’impiego di Botnet: reti di computer “infetti”, utilizzati per attacchi automatizzati.
I danni vanno dalla compromissione delle informazioni personali dei pazienti, fino al blocco totale dei sistemi ospedalieri, andando a impattare duramente la capacità di questi di gestire le emergenze.
È sempre più rilevante parlare di cyber security nel settore sanitario: a parte sottrarre le cartelle cliniche dalle strutture che non le proteggono come necessario, infatti, un criminale hacker potrebbe anche prendere il controllo di apparati e tanto altro, con esiti funesti.
Il caso più noto è accaduto a Düsseldorf, nel 2020. Un team di paramedici era stato allertato del deterioramento delle condizioni di una 78enne affetta da un aneurisma aortico. Ciò che doveva essere un semplice prelievo di routine, si è trasformato in tragedia al punto da richiedere l’ospedalizzazione immediata della paziente, scoprendo però, poco dopo la chiamata, che un attacco ransomware aveva costretto l’ospedale a dirottare l’ambulanza verso un’altra struttura, causando il decesso della paziente.
Da tutto ciò si evince come gli attacchi informatici siano in grado di minacciare direttamente sia la sicurezza di sistemi e informazioni, sia la salute e la sicurezza dei pazienti.
In questo senso, le aziende ospedaliere per prevenire il più possibile gli attacchi informatici, devono ridurre il livello di esposizione al rischio cyber delle strutture. Ciò significa abbracciare completamente la filosofia della sicurezza informatica moderna con i suoi tre pilastri: sicurezza predittiva, preventiva, proattiva.
Bisogna implementare nel perimetro delle strutture un sistema di tecnologie e processi non solo in grado giocare “di risposta” agli attacchi, ma anche in grado di prevederli e anticiparli tramite l’utilizzo di sistemi come la threat intelligence, associata all’expertise di un Centro operativo di sicurezza, attivo 24/7.
Non va poi sottovalutato Il tema della consapevolezza e della formazione per i dipendenti della struttura sanitaria: un punto fondamentale al pari di quello della resilienza tecnologica. La migliore tecnologia, infatti, è inutile se non è affiancata a un lavoro di riduzione del rischio dell’errore umano.
Venendo alla situazione nel nostro Paese, purtroppo l’Italia è il quarto Stato al mondo ad aver subito più attacchi informatici a strutture sanitarie ed ospedaliere negli ultimi mesi. Alla luce di molti confronti tra operatori del settore possiamo affermare che: i criminal hacker lavorano “by opportunity”, ovvero bilanciano l’equazione costo/ricavo di un attacco molto attentamente prima di cimentarsi. Di certo (già prima del conflitto in Ucraina) il nostro paese, essendo tra i leader del G8, rappresenta uno dei bersagli prediletti, vuoi per estensione del perimetro digitale, vuoi per la posizione favorevole nella piramide delle nazioni più “abbienti”.
Ad ogni modo la causa di tali attacchi non è direttamente imputabile ad un singolo fattore, poiché dobbiamo tenere anche conto degli sforzi massicci fatti da tutto il settore durante il periodo più nero della pandemia, sia in termini di digitalizzazione per raggiungere la popolazione, sia per permettere a tutto il personale non di “prima linea” di continuare a svolgere le proprie mansioni.
Oggi, dalle parole del Segretario Generale della Nato, e dai fatti che si stanno osservando è innegabile che ci dobbiamo preparare a quella che sarà sicuramente la più lunga e massiccia cyber-war mai osservata sin ora. È innegabile, infatti, che dal punto di vista digitale, il conflitto tra Ucraina e Russia (nell’ambito del quale proseguono gli attacchi alla sanità contro ospedali, cliniche, ambulanze, operatori sanitari, pazienti) sia oramai uscito dai confini dei due paesi interessati.
Abbiamo osservato svariati gruppi di criminal hacker schierarsi da entrambi i lati; chi in supporto di Kiev chi del Cremlino. Ed è anche risaputo che Mosca, per esempio, ha da tempo nel suo arsenale avanzate competenze di Cyber war. Lo spettro, pertanto, che dietro ogni attacco che viene registrato in queste settimane contro l’Italia ci sia qualche azione di disturbo oppure di rappresaglia è sicuramente presente nella mente di molti.
Occorre poi considerare la crescente connivenza tra Cyber Crime e Cyber war. Un attacco ransomware, anche se portato a segno da attori non ufficialmente schierati o senza alcuna motivazione politica, è comunque in grado di aumentare indirettamente la potenza di fuoco di un attore statale, proprio grazie alla quantità di dati messi in rete, venduti o consegnati dai cyber criminali.
Purtroppo i fatti accaduti in Regione Lombardia negli ultimi tempi (anche se alcuni si erano già vissuti in tempo di pandemia) denotano che le strutture sanitarie oggi non sono ancora mature per il livello di protezione cyber richiesto dal processo di digitalizzazione.
Spesso sentiamo dire che digitalizzare vuol dire scansionare il cartaceo per renderlo digitale, invece digitalizzare vuol dire "far nascere il dato iniziale in formato digitale"; in sintesi digitalizzare una cartella sanitaria non vuol dire trasferire i documenti cartacei su supporto digitale, bensì creare la cartella in formato digitale dove i dati singoli saranno contenuti in un database. Questo implica non solo la creazione del sistema applicativo e la ristrutturazione dei processi aziendali, ma anche la progettazione di tutti i sistemi di sicurezza a supporto.
Le aziende sanitarie poi, non potendo gestire in proprio i sistemi e la sicurezza, dovrebbero affidarsi a partner scelti non in base al concetto del miglior prezzo d'offerta (come oggi avviene nelle gare d'appalto), ma il criterio di selezione dovrebbe basarsi sulle competenze e le evidenze dei casi gestiti con successo avuti sul campo.
Occorre che questi provider siano in grado di dimostrare concretamente che possiedono le skill corrette per gestire queste operazioni, abbiano strutturato processi affidabili e dispongano di un’organizzazione interna in grado di risolvere queste problematiche concretamente e in tempi rapidi.
Quanto recentemente accaduto nelle strutture sanitarie lombarde fa emergere una carente cultura della sicurezza del personale su questo tema, mancanza di strutture tecniche di sicurezza adeguate a rispondere in tempi brevi all'incidente e, infine, un’assenza di coordinamento tra le strutture interne e quelle dei partner esterni.
In conclusione è fondamentale prendere consapevolezza del rischio cyber in sanità, affrontandolo correttamente e formando il personale interno ed esterno a prevenire e gestire queste problematiche. Prima che sia troppo tardi.

* docente del corso specialistico di Cineas "La Cyber sicurezza in Sanità" (inizio il 1° giugno 2022)