Ospitiamo un parere di Amy Baker, Vicepresident Marketing di Wombat Security, divisione di Proofpoint, che analizza lo stato della security nel settore sanitario mondiale e fornisce anche quattro indicazioni valide erga omnes sull’impostazione delle politiche di sicurezza.
La sanità è ormai vittima di attacchi IT che espongono dati personali legati allo stato di salute, ransomware che interrompono la fornitura di servizi sanitari fondamentali e bloccano i pronto soccorso, email fraudolente che truffano partner, pazienti e staff.
Il personale medico, gli utenti e i manager sono sempre più colpiti a causa del valore intrinseco dei dati sanitari e della vulnerabilità del settore. La supply chain sanitaria è complessa ed estesa ed espone il fianco ai criminali che utilizzano queste falle per l’invio di email di phishing al fine di violare e rubare dati importanti. Inoltre, le tecniche utilizzate sono più sofisticate che mai, sfruttano curiosità dei dipendenti sanitari, vincoli di tempo e il desiderio di sentirsi utili.
Proofpoint, nel report 2018 Healthcare Threat Report, ha individuato 40 milioni di attacchi rivolti a ospedali, cliniche e assicurazioni sanitarie nel terzo trimestre 2017, mettendo in luce la reale portata degli attacchi vissuta dal settore. È importante ricordare che una strategia di difesa efficace inizia dalla conoscenza delle minacce e team di sicurezza e dipendenti devono essere il più informati possibile.
La crescita del ransomware
Molte organizzazioni della sanità sono venute a conoscenza dei ransomware nel momento peggiore, cioè durante l’attacco di WannaCry dello scorso anno, che ha colpito 200.000 persone in oltre 99 paesi. A seguito della vastità dell’attacco, non stupisce che il ransomware abbia accelerato le attività, passando da 4 milioni di attacchi nel secondo trimestre del 2017 a oltre 17 milioni in quello successivo. Con questa esplosione, si è aggiudicato il titolo di più grande minaccia mai affrontata dal settore nel 2017.
I ransomware possono colpire interi sistemi grazie a un semplice click su un URL pericoloso o il download di un allegato in apparenza innocuo, ed è sufficiente il varco aperto da un solo dipendente.
I ransomware sono particolarmente dannosi per le aziende sanitarie perché hanno un effetto immediato, che blocca i sistemi principali per la cura del paziente e la continuità operativa.
Sfortunatamente, la necessità di recuperare i dati e tornare operativi il prima possibile fa sì che queste aziende cedano più facilmente alle richieste di riscatto dei cybercriminali ed effettuino pagamenti che vanno a incidere su budget già ridotti. Applicare corrette misure preventive può aiutare a evitare il ripetersi di situazioni simili.
L’ondata di spoofing
Una delle tecniche più efficaci utilizzata dagli aggressori è quella di mascherare email fraudolente, facendo credere agli utenti che provengano da fonti fidate. Queste email utilizzano tecniche di ingegneria sociale per convincere chi le riceve a trasferire fondi, inviare dati personali o comunicare credenziali di sistema. Questi attacchi sono incredibilmente efficaci perché sfruttano la mancanza di tempo delle persone che cercano di rispondere sempre in modo efficace e tempestivo.
La ricerca di Proofpoint ha evidenziato che nel 2017, un’email su cinque che sembravano provenire da una azienda sanitaria era fraudolenta. Inoltre, su 3 miliardi di messaggi analizzati che utilizzavano domini di aziende healthcare conosciute, l’8,3% proveniva da fonti non autorizzate o pericolose.
Potrebbe sembrare un numero ridotto, ma corrisponde a 262 milioni di email pericolose che sembravano inviate da domini legittimi, senza indicazioni particolari che potessero creare dubbi o perplessità. Il personale sanitario è sempre di corsa, quindi deve essere correttamente formato affinché possa identificare email di phishing in base a differenti fattori (ad esempio, controllando che URL, allegati e mittente siano legittimi).
Un livello di autenticazione appropriato, conoscenza delle minacce, strumenti di formazione sulla cybersicurezza possono aiutare a prevenire attacchi di phishing.
In America si lavora sulla formazione degli utenti
Come sempre, il fattore umano è il punto debole di ogni azienda. Indipendentemente dalle dimensioni, ogni attacco cyber inizia nello stesso modo, prendendo di mira una persona via email. La sicurezza IT, come la Sanità, si basa sulle persone.
Le aziende sanitarie devono incrementare i propri sistemi di difesa dalle minacce moderne e modificare i controlli di sicurezza, per rispondere al nuovo modo di operare. Quando si tratta di rafforzare le difese, le organizzazioni devono tenere in considerazione sia la tecnologia sia le persone, per stabilire una strategia multi-livello, con gli impiegati a rappresentare l’ultima linea di protezione.
Il settore healthcare è stato relativamente proattivo nell’implementare corsi di formazione sulla sicurezza. In un’indagine recente sui fornitori IT per la sanità realizzata da HIMSS, il 73,5% ha affermato di realizzare corsi di sicurezza per gli utenti.
Ciò che preoccupa è che la metà degli intervistati organizza corsi su base annuale e, considerando la velocità di evoluzione delle minacce, training così poco frequenti potrebbero essere sufficienti solo per rispettare la conformità alle normative, ma non per creare consapevolezza sulle minacce. Attività di formazione costante rivolta alle persone più a rischio deve diventare una priorità.
Le quattro raccomandazioni di base
In pochi altri settori i cyberattacchi rappresentano una minaccia diretta alla vita. Le aziende healthcare si occupano della cura delle persone e siamo in un’epoca in cui attacchi di successo possono interrompere il funzionamento di sistemi e servizi critici per ore, se non giorni o settimane. Avere una strategia di sicurezza IT robusta fa parte dell’impegno verso i pazienti per prevenire queste interruzioni. Qui di seguito alcune raccomandazioni:
Formate i dipendenti affinché riconoscano gli attacchi. I corsi di formazione sulla sicurezza dovrebbero includere simulazione di attacchi phishing che utilizzino tattiche reali per comprendere quali persone e dipartimenti siano più a rischio. Inoltre, lo staff dovrebbe essere formato adeguatamente per riconoscere gli attacchi lanciati via email, applicazioni cloud e mobile e social media.
Applicare analisi avanzata delle minacce che apprende e si adatta alle minacce in cambiamento. Gli attacchi in rapido movimento focalizzati sulle persone sono immuni ai sistemi di protezione tradizionali basati su firme e reputazione. È importante essere in grado di adattarsi in modo rapido.
Proteggete il vostro canale di comunicazione email, il vettore preferito dei cybercriminali. Implementare protocolli di autenticazione delle email, come DMARC e domini di difesa simili. Queste tecnologie bloccano molti attacchi che utilizzano brand legittimi per ingannare impiegati, partner, aziende e clienti.
Ottenere visibilità di applicazioni, servizi e add-on cloud utilizzati dai dipendenti. Implementare strumenti di rilevazione di file e contenuti pericolosi, furto di credenziali, perdite di dati, accesso di terze parti ed eventuali violazioni da parte di applicazioni di scripting cloud.