Il Covid 19 ha ridisegnato le priorità aziendali, personali, civili. Di certo ora la sicurezza si trova ai primi posti: da quella finanziaria al benessere dei familiari, la sicurezza è sicuramente nei nostri pensieri.
Sfortunatamente anche i cybercriminali conoscono bene le priorità e sfruttano ogni occasione per approfittarsene. Non sorprende, perciò, che in questo scenario si sia osservato un importante aumento dei cyberattacchi.
Il social engineering è sempre stato un mezzo efficace per compromettere e penetrare in una rete. In tempi di crisi le persone tendono a essere distratte, a concentrarsi su ciò che più conta, come la salute, la sicurezza, il benessere dei familiari.
Ma se è vero che praticamente ogni organizzazione è stata costretta a rivedere le proprie strategie di sicurezza e a effettuare una valutazione dei rischi, c’è un settore che è stato colpito forse più duramente: la sanità.
Per quale motivo le organizzazioni della sanità sono suscettibili agli attacchi? Cosa possono fare per proteggersi meglio? Secondo Samantha Madrid, VP Security Business & Strategy di Juniper Networks, le organizzazioni sanitarie sono più a rischio perché dispongono di informazioni confidenziali che i cybercriminali possono vendere o usare per chiedere riscatti.
Inoltre, con il proliferare di dispositivi connessi, è praticamente impossibile proteggerli tutti singolarmente, soprattutto perché una protezione individuale a livello di dispositivo semplicemente non funziona.
I dispositivi medici, dice Madrid, sono particolarmente vulnerabili perché la protezione è più problematica sin dalla progettazione fino alla manutenzione da parte del produttore. Non esistono, inoltre, precise linee guida sulla protezione dei dispositivi medici per cui il problema è delegato interamente alla struttura sanitaria.
In particolare per Madrid si possono individuare due tipi di problematiche legate alla sicurezza negli ambienti sanitari: accesso e copertura.
Accesso: chi ha accesso a quali dispositivi? In molti casi lo stesso dispositivo è usato da più operatori (ad esempio, il computer della saletta degli infermieri) e ciò ne aumenta la vulnerabilità.
Copertura: la necessità di proteggere questi dispositivi (in generale qualsiasi oggetto IP che faccia parte della rete). Ad esempio, sui sistemi di ventilazione polmonare o di monitoraggio cardiaco non è possibile implementare software di sicurezza endpoint poiché, essendo altamente regolati, non è possibile aggiornare i sistemi operativi o installarvi patch.
Ciò significa che tali oggetti sono altamente esposti. Poiché su questi dispositivi non è possibile aggiungere i tradizionali software di sicurezza, deve essere necessariamente la rete a monitorare e tracciare le minacce.
Trovare il compromesso tra la necessità di garantire un accesso autorizzato e gestire informazioni sensibili di pazienti e personale da vari dispositivi e posizioni, insieme all’esigenza di conformità ai diversi regolamenti a tutela della privacy (come il GDPR), e allo stesso tempo prevenire la compromissione intenzionale o meno dei sistemi non è semplice.
Legacy, compliance e privacy
Il mondo della sanità presenta sfide uniche a causa della necessità di bilanciamento tra caratteristiche dei sistemi legacy e le esigenze di privacy e compliance, cosa notoriamente difficile. Molte tecnologie di sicurezza violano, in qualche misura, la privacy del paziente al fine di proteggerlo.
I sistemi legacy secondo Madrid non offrono quel livello di segmentazione e accesso in base ai ruoli, che è invece necessario per garantire il rispetto della privacy e della compliance.
Non offrono, inoltre, i controlli di sicurezza necessari per identificare accuratamente le potenziali minacce.
Ad esempio, il ransomware si nasconde nel traffico criptato senza interrompere la crittografia ma compromettendo la privacy. C’è poi un problema di diminuzione della visibilità nel traffico criptato – che costringe inevitabilmente al compromesso tra privacy e sicurezza.
Da accesso e copertura a compliance e privacy il settore della sanità ha già dovuto affrontare un’impegnativa battaglia in nome della sicurezza.
Sommando a ciò la situazione mondiale attuale e la presenza di personaggi pronti a cogliere ogni occasione, il risultato è uno scenario ideale per attacchi da conseguenze potenzialmente molto gravi.
Essere consapevoli dei rischi immediati è il primo passo per risolverli, dalla prospettiva sia dell’operatore sia della tecnologia.
Per questo è necessario che i team IT del settore sanitario considerino una strategia capace di proteggere tutti i dispositivi presenti nella rete. La sicurezza non può ridursi a una narrativa del tipo “o questo o quello”, ma deve essere affrontata con la logica del “questo e quello”.
Proteggere un singolo dispositivo, per quanto grosso e importante, non risolve il problema – si limita a spostarlo da un luogo a un altro.
Qui entra in gioco la rete threat aware.
Se la vostra rete lo è già, spiega Madrid, non è necessario cominciare a proteggere ogni singolo elemento. La rete è resiliente in un modo che non avreste mai pensato fosse possibile.
In un momento in cui molti ospedali stanno isolando le proprie reti, costruendo strutture di triage standalone in cui fare test e analisi su larga scala, è importante che la rete sia più che threat aware. La sicurezza deve risiedere in ogni punto della connessione ed essere in grado di riconoscere le minacce ovunque si verifichino.
Lo stesso vale per l’integrazione della threat intelligence (TI) nella rete. Se un utente è stato vittima di un attacco e la TI è incorporata nella rete, la rete stessa riconoscerà automaticamente l’infezione isolandolo e riducendo così il rischio di diffusione.
Il settore sanitario, per Madrid, ha certamente ancora molti ostacoli da superare, ma i modi per difendersi dagli attacchi esistono. Adottando un atteggiamento “security first” e pensando a quali saranno i benefici possiamo fermare i cybercriminali e concentrarci su ciò che più conta in questo periodo: mantenere in salute e protette le nostre comunità.
