La pandemia ha messo in luce la grande fragilità del perimetro informatico del mondo ospedaliero. In questo settore, i danni economici si sommano a quelli ancor più gravi legati alla salute pubblica. Quali sono le sfide più complesse per la cybersecurity? Lo abbiamo chiesto a Luca Maiocchi, Country Manager di Proofpoint Italia
Il mondo della sanità è da tempo sotto attacco. Grandi volumi di dati preziosi e sensibili, la necessità di fornire servizi ininterrotti e un mosaico articolato di sistemi legacy rendono questo settore un bersaglio interessante per i criminali informatici.
I dati sanitari sono preziosi per due motivi. In primo luogo, perché le informazioni personali rappresentano per gli attaccanti un tesoro per il furto di identità: cambiare i dati della propria carta di credito può essere facile, ma modificare l’indirizzo, l’altezza, il peso, le informazioni sul coniuge, è molto più difficile. Questo rende i dati sanitari probabilmente ancora più redditizi di quelli finanziari.
In secondo luogo, sono preziosi perché possono essere monetizzati facilmente: ci sono persone disposte a pagare bene per intercettare le prescrizioni di sostanze controllate o accedere alla proprietà intellettuale sotto forma di ricerca clinica.
Attraverso il phishing, la compromissione delle e-mail, il ransomware o qualsiasi altro tipo di attacco, i cyber criminali possono superare le difese dell’assistenza sanitaria per chiedere un riscatto, esporre i dati personali e interrompere l’operatività delle infrastrutture.
Come la maggior parte delle minacce moderne, gli attacchi di phishing, ransomware e BEC che attualmente colpiscono il settore sanitario sono principalmente focalizzati sulle persone e non sulle infrastrutture. I controlli e le protezioni di rete sono essenziali, ma non sono mai infallibili. Tutte le organizzazioni devono presumere che gli attacchi raggiungeranno gli utenti. Questo presupposto rende effettivamente il personale l’ultima linea di difesa aziendale, ed è necessario fornire loro gli strumenti giusti. Gli ospedali e le aziende sanitarie non sono gli unici a essere sotto attacco, i cyber criminali stanno concentrando i loro sforzi anche su aziende farmaceutiche, assicurative, centri di formazione e qualsiasi altra istituzione che potrebbe possedere informazioni sensibili di grande valore.
I ransomware costituiscono una delle peggiori minacce per tutte le organizzazioni, e a maggior ragione quando si tratta di società e istituzioni sanitarie. A che punto è la trasformazione digitale in quest’ambito, dopo un anno vissuto fra mille incertezze?
Un settore già sotto assedio è mal preparato per un nuovo assalto. Per rafforzare le sue difese, la sanità deve prima di tutto comprendere la natura delle minacce IT da affrontare e quali siano le persone più a rischio all’interno delle diverse organizzazioni. Solo a partire da queste basi può costruire una solida difesa in grado di individuare e scoraggiare minacce complesse, ora e in futuro.
Nel nostro Healthcare Threat Landscape Report 2020, abbiamo analizzato i dati sulle minacce e attribuito le campagne lanciate contro le aziende sanitarie a 35 diversi autori di minacce. Circa il 93% dei dati relativi alle campagne nel settore sanitario nascono da una combinazione di cybercriminalità su larga e piccola scala.
Alcuni hacker adottano un approccio distribuito, inviando grandi volumi di attacchi a un’ampia gamma di organizzazioni. Al contrario, gli aggressori su piccola scala non adottano un approccio a tappeto, concentrandosi invece su sotto-settori e segmenti verticali più ridotti. Le loro campagne sono meno frequenti e di volume inferiore, ma tendono a essere più sofisticate.
Con un’immagine più chiara del panorama d’attacco sarà possibile adattare le difese. Per il settore sanitario questo potrebbe significare l’implementazione di strumenti di filtering delle e-mail per bloccare le minacce prima che raggiungano la casella di posta elettronica e la creazione di processi di verifica per limitare le possibilità di successo degli attacchi di spoofing e di compromissione dell’account.
Se la scala e la fonte possono essere diverse, i metodi spesso si sovrappongono, con attacchi ransomware e phishing ancora molto diffusi.
Sempre più spesso, tuttavia, è la compromissione dell’account che rappresenta la minaccia maggiore per l’industria sanitaria. Con l’appropriazione indebita o l’impersonificazione di un account legittimo, i criminali si infiltrano nelle relazioni e nelle catene di fornitura per frodare le istituzioni e arrivare a credenziali e dati sensibili.
Quali soluzioni concrete proponete alle organizzazioni sanitarie per migliorare la cybersecurity, alle prese con problemi critici come shadow IT, perimetro informatico polverizzato e protezioni preesistenti di molti vendor fra loro non sempre compatibili?
La tecnologia da sola non basta. I cyber attacchi prendono sempre più di mira le persone, e saranno proprio i singoli individui a rappresentare la linea di difesa più forte.
Secondo Proofpoint, La consapevolezza è la migliore difesa dalla maggior parte delle minacce informatiche. Quando si comprendono i metodi e le motivazioni di un malintenzionato, è possibile evidenziarne i tratti, lavorare per cambiare i comportamenti e implementare protezioni per limitare le loro possibilità di successo.
Definire una strategia di protezione incentrata sulle persone inizia con l’identificazione delle risorse maggiormente sotto attacco, le cosiddette Very Attacked People (VAP). In prima linea ci saranno persone diverse in base all’organizzazione o istituzione. Ad esempio, i criminali informatici tendono a prendere di mira ex alunni e professori degli ospedali universitari, i reparti amministrativi delle assicurazioni mediche e il personale clinico dei grandi fornitori di servizi sanitari. Detto questo, CEO, dirigenti e direttori sono di solito ugualmente nel mirino.
Rigidi controlli tecnici ed elevati livelli di consapevolezza degli utenti possono essere le basi di una strategia globale di cybersecurity, ma non sono certo sufficienti, perché gli attaccanti troveranno sempre nuovi modi per violare le difese.
Le organizzazioni sanitarie devono implementare una difesa robusta e adattabile, progettata per oggi, ma pronta per il domani. Una base di consapevolezza della cybersecurity a livello aziendale dovrebbe anche comprendere gli ultimi controlli di sicurezza, best practice e protezioni.
Qualsiasi difesa efficace e a più livelli deve includere una soluzione Zero Trust in grado di connettere in modo sicuro il personale a dati e reti; una solida sicurezza della posta elettronica che includa l’autenticazione DMARC, una tecnologia di isolamento per valutare e rimuovere link e contenuti a rischio e una visibilità totale nei log per rilevare minacce interne e altre attività sospette.
Non è sufficiente proteggere gli ambienti cloud, implementare i più recenti controlli e-mail e di autenticazione e insegnare agli utenti come appare un’e-mail di phishing. È necessario continuare a monitorare il panorama delle minacce per garantire che le protezioni messe in atto rimangano adeguate allo scopo per molto tempo.
Con un footprint digitale in crescita e una forza lavoro sempre più distribuita, è improbabile che i cyber criminali rinuncino al settore sanitario e gli attacchi saranno sempre più intensi, mirati e sofisticati.
Simili azioni richiedono un’intelligence avanzata sulle minacce. Il settore sanitario non può permettersi di non agire. Solo implementando una difesa informatica ampia, orientata alle persone e proattiva, ogni organizzazione può sperare di proteggere i propri dati, salvaguardare gli utenti e scoraggiare i cyber criminali che cercano di danneggiarli.
