Gli attacchi informatici a ospedali e cliniche sono sempre più frequenti: Albert Zammar, Regional Director SEMEA di Cohesity, spiega come, con soluzioni adeguate, è possibile evitare il pagamento di riscatti e i danni conseguenti.
Il trend è in crescita. Secondo il rapporto Clusit 2022, stanno aumentando gli attacchi informatici nei confronti delle strutture sanitarie. I cyber criminali mirano a bersagli ben precisi e la sanità rappresenta il 13% del totale degli obiettivi colpiti, in crescita del 24,8% rispetto ai dodici mesi precedenti.
A maggio scorso un attacco ransomware ha colpito l’Azienda Socio Sanitaria Territoriale Fatebenefratelli Sacco di Milano, bloccando i sistemi informatici degli ospedali Fatebenefratelli, Sacco, Buzzi, Macedonio Melloni e le 33 sedi territoriali. Qualche mese prima, a gennaio del 2022, l’attacco era stato diretto contro l’azienda sanitaria locale di Napoli-sud, che si è ritrovata con il sistema di prenotazione dei vaccini paralizzato. A dicembre 2021 era toccato all’Ulss 6 Euganea di Padova: Cup, punti prelievi, nuove registrazioni dei pazienti, il sistema dei laboratori, alcuni punti tamponi e gli hub vaccinali sono rimasti bloccati per settimane e sono state pubblicate decine di cartelle cliniche complete di nomi, cognomi, residenze e dati sensibili.
I recenti attacchi agli ospedali finiti sulle prime pagine dei giornali sono solo la punta dell’iceberg. Molti attacchi ransomware, infatti, non vengono resi noti perché non causano danni gravi o perché il riscatto viene pagato. Gli ospedali più piccoli non sono considerati infrastrutture critiche, quindi non hanno l’obbligo di fare rapporto.
Eppure, dato il numero di casi non segnalati, proprio le strutture ospedaliere dovrebbero aspettarsi di essere vittime di un attacco ransomware in qualsiasi momento: i criminali informatici cercano infatti sistematicamente e spesso in modo automatico possibili obiettivi su Internet. Gli ospedali sono considerati redditizi in questo senso, poiché possiedono dati sensibili e sono spesso poco protetti rispetto ad altri settori.
Vantaggi e svantaggi dell’assicurazione
Se gli attacchi ransomware sono considerati inevitabili, perché allora non stipulare una polizza di assicurazione informatica? Polizze di questo tipo possono anche includere il pagamento di un riscatto garantito. A prima vista, l’idea potrebbe sembrare un’interessante ancora di salvezza per lo scenario peggiore, in realtà presenta diversi inconvenienti.
Uno di questi è rappresentato dalle condizioni generali. Se le parti lese vogliono presentare una richiesta di risarcimento, devono leggere attentamente le clausole scritte in piccolo. Spesso le assicurazioni non coprono i casi in cui il malware è stato introdotto nei sistemi interni da terzi attraverso una falla nella sicurezza del sistema. Se l’hacker risiede all’estero o se è possibile dimostrare la presenza di soluzioni all’interno dell’ospedale che non hanno adottato tutte le patch disponibili – cosa che avviene quasi sempre – molte polizze assicurative non si applicano. Lo stesso vale se il malware entra nei sistemi interni attraverso una violazione della sicurezza causata dai dipendenti, ad esempio attraverso certi tipi di phishing.
Per poter usufruire dell’assicurazione è necessario poi soddisfare una serie di condizioni. Tra queste, un controllo mensile dello stato dei sistemi e il rispetto di tutte le istruzioni, per quanto elaborate e costose. Il contraente è tenuto a implementare le best practice correnti per la protezione dei dati di accesso. Tuttavia, la definizione di queste best practice è aperta all’interpretazione e in parte lasciata alla soggettività del fornitore. Spesso vi è l’obbligo di prenotare un servizio di consulenza non rimborsabile o di acconsentire alla pubblicazione di un case study in caso di compromissione. Inoltre, è necessario richiedere l’autorizzazione del fornitore prima di poter iniziare a porre rimedio alle conseguenze dell’attacco. Se anche una sola di queste numerose condizioni non viene soddisfatta, non si procederà né al rimborso né al pagamento.
Anche se la parte lesa soddisfa tutti i requisiti, spesso ha diritto solo al rimborso dei costi effettivamente sostenuti e approvati in anticipo per il ripristino dei dati. Altri pagamenti o danni conseguenti, invece, non sono ammessi a rimborso. Il limite massimo dell’indennizzo di solito è solo una frazione dell’importo precedentemente versato dall’assicurato. Senza dimenticare che tutti gli esperti sconsigliano di pagare il riscatto, che non fa altro che alimentare la macchina della criminalità informatica.
Aiutare gli ospedali a proteggersi
La migliore assicurazione contro i ransomware consiste nel proteggere i propri sistemi in modo da scongiurare qualsiasi attacco: se si evita un attacco riuscito, non si dovrà pagare un riscatto né riparare i danni conseguenti. Naturalmente, è più facile a dirsi che a farsi. Soprattutto oggi, di fronte alla grave carenza di specialisti della sicurezza e con le forti pressioni esercitate sui budget, molti ospedali non hanno le capacità necessarie per costruire da soli un’architettura di sicurezza completa. D’altra parte, le tecniche di attacco cambiano così rapidamente che non è mai possibile garantire una protezione totale.
Gli ospedali devono, quindi, prepararsi allo scenario peggiore e implementare una soluzione adeguata a ripristinare in modo sicuro i sistemi e i dati dopo un attacco andato a segno. Deve trattarsi di una soluzione facile da usare e a basso costo. È quello che ha fatto in Oregon lo Sky Lakes Medical Center, che è riuscito a ripristinare oltre 600 server e 150 applicazioni dopo un attacco ransomware senza pagare il riscatto. L’ospedale non solo ha risparmiato denaro e preservato la propria reputazione, ma ha anche garantito che un trattamento ininterrotto dei pazienti, salvando potenzialmente delle vite.
Sky Lakes si è affidato alla soluzione Cohesity DataProtect e alle sue funzionalità anti-ransomware. Queste includono backup immutabili e funzioni DataLock che impediscono la modifica o l’eliminazione dei file di backup. Ciò ha permesso all’ospedale di ripristinare rapidamente i dati originali su larga scala senza dover rispondere alle richieste dei criminali informatici. La soluzione non ha richiesto un lungo accesso ai backup su nastro. Inoltre, sono state ripristinate anche le informazioni cliniche, finanziarie e di gestione dei materiali sensibili, senza praticamente alcuna perdita di dati. Nel complesso, l’ospedale ha potuto evitare danni per milioni di dollari.
La soluzione è disponibile sia in versione on-premise sia in versione SaaS. In questo modo, le cliniche possono beneficiarne in modo ottimale a seconda delle loro esigenze e delle loro risorse IT. Per le aree particolarmente sensibili, Cohesity FortKnox offre una sorta di caveau ad alta sicurezza con isolamento dei dati. In questo caso, le informazioni sono protette anche al di fuori della rete della clinica. Soluzioni di questo tipo rappresentano davvero una migliore “assicurazione” contro il ransomware: non prevedono clausole di responsabilità, evitano danni conseguenti e ripristinano tutti i dati senza condizioni.
Per saperne di più, è possibile visitare il sito di Cohesity.