La pandemia ha messo in luce la grande fragilità del perimetro informatico del mondo ospedaliero. In questo ambito, i danni economici si sommano a quelli ancor più gravi legati alla salute pubblica. Quali sono le sfide più complesse per la cybersecurity in questo importante settore?
Abbiamo raccolto l’autorevole opinione di Morten Lehn, General Manager Italy di Kaspersky
Già nel 2020, è stato osservato un aumento degli attacchi alle attrezzature mediche anche nei Paesi in cui la trasformazione digitale nel settore sanitario era solo all’inizio, e ad una crescita dell’interesse dei criminali informatici per la ricerca medica, in particolare tra i gruppi specializzati negli attacchi mirati.
A causa della pandemia, infatti, i temi legati al settore sanitario e alla salute in generale sono diventati tra le esche più popolari per gli attacchi informatici di varia complessità. Questo trend non ha riguardato solamente gli utenti, presi di mira da campagne di phishing, allegati malevoli e false dichiarazioni inviate a nome di varie organizzazioni sanitarie come l’OMS, ma le infrastrutture sanitarie nel complesso e il mondo della ricerca medica. Nell’autunno 2020, ad esempio, i ricercatori di Kaspersky avevano rilevato due incidenti APT rivolti a un Ministero della Salute e a una società farmaceutica impegnata nello sviluppo, nella produzione e nella distribuzione di un vaccino COVID-19. A dicembre, invece, tramite una campagna di phishing globale rivolta alle aziende ed organizzazioni coinvolte nella distribuzione dei vaccini, era stata attaccata la “catena del freddo”. Questa serie di attacchi mirati dimostra che, durante l’anno appena trascorso, l’interesse dei gruppi per la sanità e in particolare per l’intelligence relativa al COVID-19 è aumentata.
Una seconda sfida che il mondo ospedaliero sta affrontando è rappresentata dalla transizione delle organizzazioni sanitarie verso infrastrutture cloud e l’archiviazione delle informazioni personali in esse contenute, che potrebbe facilitare l’esfiltrazione di dati delle cartelle cliniche dei pazienti. Per evitare questi nuovi rischi per il settore, è fondamentale che le istituzioni sanitarie dedichino le proprie energie alla protezione delle loro infrastrutture cloud, per tutelare i dati sanitari degli utenti dagli interessi malevoli dei cybercriminali, che potrebbero usarli per personalizzare e rendere più credibili le mail di phishing indirizzate alle loro vittime.
Già nelle sue Predictions per il settore healthcare per il 2021, Kaspersky prevedeva che gli attacchi contro gli sviluppatori di vaccini e farmaci per il COVID-19 e i tentativi di furto di dati sensibili sarebbero aumentati e che, in generale, i temi legati al settore sanitario sarebbero stati utilizzati come esca per gli attacchi fino alla fine della pandemia.
Nonostante la grave emergenza, la pandemia ha avuto un ruolo positivo nel generare una maggiore attenzione nei confronti della cybersecurity negli ospedali e ha incoraggiato una maggiore collaborazione tra la community di cybersecurity e il settore sanitario. L’esperienza passata ha dimostrato che lezioni come quella insegnata dalla diffusione di Wannacry nel 2017 e la pandemia da coronavirus nel 2020 sono proprio ciò che motiva le organizzazioni a prestare maggiore attenzione alla sicurezza delle loro infrastrutture.
I ransomware costituiscono una delle peggiori minacce per tutte le organizzazioni, e a maggior ragione quando si tratta di società e istituzioni sanitarie. A che punto è la trasformazione digitale in quest’ambito, dopo un anno vissuto fra mille incertezze?
Secondo fonti pubbliche, il 10% di tutte le aziende colpite da ransomware mirati tra gennaio e settembre 2020 riguardava ospedali e altre organizzazioni sanitarie. Questo settore è sempre stato un obiettivo privilegiato per vari hacker, ma durante la pandemia gli attacchi sono aumentati vertiginosamente poiché gli attaccanti avevano la certezza che gli ospedali fossero più disposti a pagare un riscatto. In situazioni di emergenza, alcune istituzioni medico-sanitarie ritengono infatti di non avere altra scelta se non quella di cedere al ricatto.
Le conseguenze di questi attacchi sono molteplici. Oltre all’ovvia e pericolosa interruzione dei servizi medici, le aziende sanitarie possono affrontare ripercussioni a lungo termine che vanno dalle multe inflitte per violazione delle norme alle richieste di risarcimento da parte dei pazienti i cui dati personali sono stati violati.
Uno dei casi più eclatanti è avvenuto nel settembre del 2020 ai danni dell’Universal Health Services (UHS), gruppo che gestisce 400 strutture mediche negli Stati Uniti, nel Regno Unito e in altri Paesi, che ha influito sul normale flusso di lavoro della clinica, con implicazioni sulla cura dei pazienti e sui test di laboratorio e altro. Calcolando il costo di recupero dei dati, la perdita di entrate a causa del tempo di inattività, un minor numero di pazienti in cura e ulteriori imprevisti, è stato stimato un danno per 67 milioni di dollari. Più recentemente, il servizio sanitario nazionale irlandese (Hse) ha subito un attacco ransomware che ha paralizzato diversi sistemi informatici, compreso quello che gestisce gli appuntamenti negli ospedali e nelle cliniche. Sebbene gli attaccanti abbiano fornito il programma per sbloccare i sistemi gratuitamente, secondo quanto dichiarato dal governo locale, gli hacker hanno comunque richiesto il pagamento di un riscatto per non divulgare dati sensibili dei pazienti ottenuti durante l’attacco.
Il caso descritto si configura come un esempio della nuova frontiera degli attacchi: i ransomware 2.0, attacchi sempre più mirati contro settori specifici che utilizzano un processo di estorsione che non si basa più solo sulla crittografia, ma implica anche la pubblicazione online di dati riservati sui siti di leak. Oltre ai danni economici e alla paralisi dei sistemi, tutto questo comporta anche danni reputazionali e la parte lesa può anche incorrere nella divulgazione non autorizzata di segreti commerciali.
La trasformazione digitale del settore sanitario non può più dunque prescindere dalla messa in sicurezza dei sistemi informatici. I sistemi sono ora interconnessi e i dispositivi mobili vengono ampiamente utilizzati sia per l’accesso remoto che per la condivisione dei dati. Questa digitalizzazione espone sempre di più le organizzazioni di assistenza sanitaria sia ad attacchi generici che mirati. In quanto infrastruttura critica, il settore sanitario è di vitale importanza per il benessere e la sicurezza del pubblico. La cybersecurity sarà il pilastro su cui dovrà basarsi la trasformazione digitale di ogni settore, pubblico e privato, mitigando in modo proattivo gli eventuali rischi e riducendo l’impatto di possibili interruzioni digitali che potrebbero causare gravi disservizi proprio se a essere colpite sono le infrastrutture critiche.
Per quanto riguarda l’utilizzo delle tecnologie IoT, invece, c’è bisogno di una maggiore collaborazione tra i produttori di sensori e apparecchiature con la community di sicurezza informatica. Secondo le analisi di Kaspersky, nel periodo compreso tra 2017 e 2019 è stata osservata una progressiva diminuzione nel numero di attacchi a computer e dispositivi medicali, ma la presenza di numerose vulnerabilità dal punto di vista della cybersecurity obbliga a dedicare maggiore attenzione ai dispositivi medicali. I network centralizzati per la gestione di device medicali indossabili e impiantabili potrebbe infatti diventare un vettore di cyberattacchi verso tutti i pazienti che utilizzano dispositivi legati alla stessa rete da non sottovalutare.
Quali soluzioni concrete proponete alle organizzazioni sanitarie per migliorare la cybersecurity, alle prese con problemi critici come shadow IT, perimetro informatico polverizzato e protezioni preesistenti di molti vendor fra loro non sempre compatibili?
Per sensibilizzare sulle minacce alla sicurezza e formare il personale sanitario e amministrativo che ha a che fare con le tecnologie, Kaspersky mette a disposizione il suo Automated Security Awareness Platform (ASAP), una piattaforma educativa. Attraverso un set di strumenti completo su ogni argomento di sicurezza, l’Automated Security Awareness Platform di Kaspersky propone un approccio individuale, adattandosi alle capacità di apprendimento di ciascun dipendente con un percorso formativo multilivello, fornisce raccomandazioni e resoconti pratici. Spesso, infatti, l’anello debole della catena è rappresentato dal personale non adeguatamente preparato ai rischi di cyber-sicurezza. Secondo un’indagine condotta da Kaspersky tra i dipendenti del settore sanitario negli Stati Uniti e in Canada, quasi un terzo degli intervistati (il 32%) non ha mai ricevuto alcuna formazione in tema di cybersecurity dalla propria azienda. Un dipendente su 10 in posizioni dirigenziali ha anche ammesso di non essere a conoscenza dell’esistenza di una policy aziendale legata alla cybersecurity all’interno della propria organizzazione.
Oltre a formare il personale, è indispensabile utilizzare delle soluzioni di protezione specifiche e aggiornare tempestivamente i sistemi operativi e il software, in particolare tutto ciò che presenta vulnerabilità che consentono l’accesso non autorizzato e il controllo del sistema. Kaspersky Endpoint Detection and Response (KEDR) Optimum e Managed Detection and Response (MDR), insieme, garantiscono una maggiore visibilità delle minacce e consentano di rispondere automaticamente agli attacchi informatici da un’unica console on-premise o cloud-based. Hybrid Cloud Security è ideale per la protezione dei datacenter distribuiti, e offre in ogni momento la piena visibilità e il controllo dei dati, dei processi e delle applicazioni, applicando la threat intelligence avanzata per la protezione delle informazioni sensibili. Il vasto portfolio prodotti dell’azienda comprende anche la soluzione Kaspersky Embedded Systems Security (KESS) per proteggere i sistemi legacy e destinati al controllo delle apparecchiature medicali. La soluzione vanta un set unico e completo di componenti di protezione come anti-malware, controllo delle applicazioni e dei dispositivi, gestione del firewall, monitoraggio dell’integrità dei file e audit dei log, che identifica e blocca le azioni dannose contro il sistema e rileva diversi indicatori di una violazione della sicurezza.
