Nicola Ferioli, Head of Engineering di Akamai Italia, spiega che i dati sanitari fanno gola agli hacker perché una volta acquisiti il danno per l’utente è irreparabile, ma non tutte le strutture sanitarie sono adeguatamente protette.
Come emerge dal recente Report Clusit, nell’ultimo anno in Italia gli attacchi al settore healthcare si assestano ad una percentuale decisamente più bassa rispetto al resto del mondo, ma anche se a livello di numeri questa tipologia non è in cima alla classifica nel nostro paese, rimane un settore particolarmente critico perché caratterizzato da dati con la più grande sensibilità rispetto a qualsiasi altro ambito di attacchi.
I dati personali relativi alla salute di una persona valgono infatti molto più rispetto a quelli finanziari. Secondo lo State of the Internet report “Il Nemico è alle porte” di Akamai, il valore dei dettagli di una carta di credito varia da 17 a 120 dollari, per questo chi ruba questi dati gioca sulla quantità, vendendoli al più alto numero possibile di criminali informatici. Una carta di credito viene infatti bloccata non appena ci si accorge del furto, diventando così inutilizzabile. Il dato sanitario invece è un furto molto ricattabile e, una volta che viene reso pubblico, non si può fare più nulla.
Un furto simile diventa poi molto pericoloso nell’ambito delle assicurazioni sanitarie. Nonostante in Italia non sia ancora uno scenario così diffuso, nei Paesi dove si accede alla sanità tramite assicurazione privata, i criminali informatici possono rivendere i dati trafugati alle assicurazioni che a loro volta faranno un doppio controllo nei confronti di chi deve stipulare una polizza e potrebbe tentare di nascondere alcune informazioni per risparmiare sui costi elevati.
Per il forte impatto che un furto potrebbe avere sulla vita di una persona, i dati sanitari andrebbero protetti nel migliore dei modi. Lo stato dell’arte in Italia vede invece una situazione in cui i continui tagli alla sanità obbligano le strutture a non investire in sicurezza. I pochi fondi che arrivano alle strutture vengono infatti investiti in macchinari e tecnologia medica, con una minima parte destinata alla sicurezza informatica.
Inoltre, la protezione dei dati sanitari attivata dalle varie strutture è molto frammentata e, anche se esistono strutture ben protette, gli attaccanti agiscono a tappeto e vanno a colpire l’anello debole. La tendenza è quella di puntare sulla quantità, colpendo il maggior numero di strutture possibile, anche perché qualsiasi sia la tipologia di struttura colpita, dal grande ospedale alla piccola clinica, la delicatezza del dato non cambia.
I ransomware restano la tipologia di attacco più comune quando si tratta di strutture sanitarie.
Al fine di rafforzare le difese informatiche delle aziende, Akamai Technologies, Inc., l’azienda di servizi cloud che abilita e protegge la vita online, mette in evidenza alcuni importanti punti in relazione al settore sanitario, utili a enti pubblici e privati, per un approccio alla sicurezza evoluto e, soprattutto, solido.
La trasformazione digitale crea vulnerabilità
Negli ultimi anni, gli attacchi ransomware sono diventati un fenomeno molto diffuso nell’ambito della cybersecurity, con un costo globale stimato in oltre 20 miliardi di dollari di danni causati solo nel 2021. Sebbene gli obiettivi di questi attacchi abbiano interessato negativamente istituzioni, scuole e aziende private, è proprio il settore sanitario a pagare il prezzo più alto.
Gli attacchi ransomware in particolare, causano interruzioni delle attività provocando danni ingenti alle strutture ospedaliere, con impatti diretti sulla fornitura di cure vitali per i pazienti. Il potenziamento del livello di digitalizzazione e l’ammodernamento tecnologico delle aziende sanitarie consentono di supportare l’attività dei medici e della ricerca e offrono una maggiore efficacia delle cure e dell’assistenza.
Tuttavia, la crescente remotizzazione del lavoro, una “dematerializzazione” dei sistemi operativi trasferiti in cloud e il moltiplicarsi dei punti di ingresso rendono le strutture sanitarie particolarmente vulnerabili e facilmente attaccabili dai cyber-criminali.
Stabilire nuove regole
Nonostante le numerose precauzioni per proteggersi dagli attacchi, come la micro-segmentazione, il filtraggio delle e-mail, i software antivirus e anti-malware, le aziende sanitarie sono ancora molto soggette ad attacchi ransomware.
Ciò è dovuto al fatto che si attengono a norme di sicurezza ormai obsolete che non assicurano una protezione adeguata dell’infrastruttura. Ecco perché è di fondamentale importanza orientarsi verso un modello Zero Trust, che esamina attentamente ogni interazione.
Alcuni esempi di applicazione delle nuove norme possono prevedere:
Microsegmentazione software-defined: sebbene la tecnologia consenta di segmentare le reti e fornire regole per limitare l’ambito del relativo traffico est-ovest, i criminali riescono comunque ad aggirarle. Grazie alla microsegmentazione è possibile scoprire come le applicazioni operano live nella rete e le loro relazioni e la definizione di regole permette di proteggerle da attacchi di malware imprevisti.
Le tecniche attuali di microsegmentazione utilizzano strumenti software, permettendo di agire su diversi livelli. Il primo è quello della visibilità, se ci sono quindi intrusioni nella rete gli strumenti permettono di controllare gli spostamenti degli attaccanti, compresi i movimenti laterali.
Il secondo step è l’enforcement, ovvero l’applicazione di policy restrittive che rendano impossibile la propagazione del malware all’interno della struttura sanitaria.
Questi due elementi lavorano congiuntamente in quanto è la visibilità delle azioni e dei movimenti che permette di attivare forme di protezione. Una di queste, che potrebbe essere applicata proprio al settore sanitario, è quella dei sistemi di ringfencing. Si tratta di un recinto virtuale di configurazione che viene impostato intorno ai sistemi che trattano i dati sensibili. Si utilizza in caso di sistemi critici che, per qualche motivo, ad esempio la mancanza di fondi nel caso dei dati sanitari, sono protetti in modo non adeguato.
Accesso remoto: l’idea di connettere la workstation di un utente che lavora da remoto alla rete interna per accedere alle risorse è ormai un lontano ricordo. Grazie alla tecnologia per l’accesso remoto Zero Trust, un utente può accedere alle risorse anche a distanza, senza dover connettere il suo computer alla rete locale ricorrendo alla connessione di un reverse proxy che virtualizza le applicazioni per l’utente senza aprire falle nel firewall. In questo modo si evita di creare potenziali rischi per la sicurezza della rete aziendale.
Ispezione del traffico: la maggior parte delle comunicazioni di malware, ransomware e Command & Control (C2) provenienti da software pericolosi raggiunge Internet tramite una richiesta HTTP effettuata per individuare la posizione del relativo C2 o server di payload. Questa richiesta di rete, come ogni altra richiesta HTTP, passa spesso inosservata. Per fortuna, questo tipo di traffico dannoso può essere ispezionato analizzando innanzitutto la richiesta DNS iniziale che è un tentativo “phone home”. Ispezionando il traffico correlato alle richieste DNS, possiamo identificare o bloccare i domini dannosi, quelli generati da un “Domain generation algorithm” (DGA) che tentano di spacciarsi per domini legittimi e, persino, i tentativi di esfiltrazione dei dati che possono codificare le informazioni sensibili all’interno delle stesse richieste DNS. Con un’ispezione delle richieste DNS, è possibile prevedere questi rischi potenziali anticipando la prima connessione effettuata con la richiesta HTTP iniziale.
