Cybersecurity e sanità. Un binomio tanto delicato quanto importante sia dal punto di vista delle infrastrutture sia per quanto riguarda la tutela dei cittadini. Il settore è infatti una rara combinazione di complessità, valore dei dati trattati e importanza nei rapporti con gli utenti. Intesi sia come sia addetti ai lavori sia come pazienti.
Un compito decisamente impegnativo per i responsabili IT chiamati a uno sforzo superiore alla media su più fronti. Dalla gestione ai sistemi a apparati alla tutela di personale e pazienti, fino alla formazione. Il tutto, con risorse per definizione sempre inferiori alle reali disponibilità.
Utile quindi una panoramica sulla cybersecurity nella Sanità. Per conoscere il punto di vista, le proposte e le risposta degli specialisti del settore offrendo loro quattro spunti su cui confrontarsi.
Per Mandiant, un compito affidato a Gabriele Zanoni, consulting country manager dell’azienda
Quali sono le sfide attuali per la cybersecurity, globali e specifiche del settore, nel mondo della Sanità?
I nostri analisti del team di Threat Intelligene seguono da vicino le mosse degli aggressori, mentre il team di Incident Response li supporta con informazioni su come le vittime sono state compromesse. Questo ci permette costruire un quadro reale data-driven su chi attacca, le motivazioni e la tipologia delle vittime. Questa è la base per comprendere le sfide cyber in ogni settore, compreso quello della Sanità.
Gli aggressori motivati da un ritorno economico sono una minaccia semi-regolare con una criticità che varia tra il severo e il catastrofico. L’attività criminale di minaccia, in particolare il ransomware, rappresenta un serio rischio per le organizzazioni sanitarie a causa delle pressioni che queste strutture devono affrontare e della necessità critica che i sistemi informatici restino operativi. Mandiant ha osservato il gruppo FIN12 attaccare spesso il settore della Sanità.
Le aggressioni sponsorizzate da uno Stato sono una minaccia occasionale ma di una magnitudine considerevole. Questi gruppi hanno condotto attacchi rubando dati dai laboratori, dai centri di ricerca, dalle aziende che producono macchinari per la sanità e sottraendo proprietà intellettuale. Questa minaccia è più elevata per le aziende farmaceutiche dove si fa ricerca, sviluppo e vendita di trattamenti per il Covid-19. I principali Paesi coinvolti da questa tipologia di attività sono Russia, Cina, Iran e Nord Korea.
Le Information Operations, le operazioni volte a influenzare le opinioni delle persone e gli atti di Hacktivism hanno frequenze e criticità minori. Cina e Russia le usano per proporre le proprie narrative nel contesto della attuale pandemia. Hacktivist italiani hanno compiuto azioni proprio contro enti della nostra sanità nel passato.
Conoscere lo scopo ultimo degli attacchi, chi sono gli aggressori, dove sono localizzati e comprendere la frequenza e gli impatti degli attacchi, permette di determinare una strategia per le attuali sfide nel campo della sicurezza nel settore sanità e definire quindi un piano per indirizzare per primi i rischi più probabili.
In particolare, come consigliate di gestire aspetti particolari quali privacy, cartelle cliniche digitali e la gestione dei dati del paziente in generale?
Ogni settore di mercato ha esigenze di sicurezza differenti. Nella sanità un occhio di riguardo va sicuramente alla gestione dei dati critici. Tuttavia, anche qui da una azienda sanitaria all’altra ci possono essere differenze importanti. Alcune conservano i dati in cloud, altre hanno sistemi in hosting, altre ancora sistemi on-premise, ovviamente anche le modalità di monitoraggio della sicurezza di questi sistemi cambia perché non c’è un’implementazione standard.
Per questo affrontiamo il tema in modo strutturato attraverso tre fasi. Prima di tutto, identificazione degli asset critici nel sistema sanitario attraverso una analisi, per identificare cosa sia importante. Quindi, procediamo con un’attività di “Threat Modeling” per identificare le minacce che possano avere impatti avversi sui “Crown Jewels”. Si modellizzano così possibili vettori di attacco e determinarne la probabilità.
Infine, l’esecuzione di un “Purple Team Assessment” cioè la combinazione di un Red Team – test proattivo di identificazione di sfruttamento di vulnerabilità – in concomitanza con il Blue Team di Incident Response che analizza come gli strumenti di sicurezza e le persone gestiscono gli attacchi eseguiti dal Red Team sui “Crown Jewels”.
Questo approccio ci permette di conoscere il rischio residuo non correntemente mitigato e di identificare quindi delle strategie per meglio proteggere quei “Crown Jewels” (cartelli cliniche, database, macchinari per le analisi) a elevato rischio cybersecurity.
Come bisogna comportarsi in caso di attacchi, o sospetti tali, per difendere la salute del paziente e il patrimonio dei dati riservati? Per esempio, di fronte a una richiesta di riscatto per non divulgare gli archivi o a dati clinici cifrati da ransomware?
Dalle nostre informazioni Threat Intelligence, la famosa frase di Mike Tyson “Tutti hanno un piano fino a quando non prendono un pugno in faccia” è vera solamente a metà. Un attacco può destabilizzare e generare una conseguenza non prevista, ma se c’è un piano solido lo si può adattare e ri-usare anche nel caso in cui l’avversario “ti morda un orecchio”. Assunto quindi il fatto che in caso di attacco (e per difendere i propri dati e i propri utenti – in questo caso i pazienti) non si può scendere in campo senza conoscere l’avversario, abbiamo studiato un’attività di consulenza nota con il nome di “Ransomware Resilence Review”-
Questa permette prima di tutto di contare sul nostro aiuto per identificare i vettori di attacco usati dagli aggressori, verificare se sia possibile trafugare dati, cancellare tutti i backup e cifrare tutti i sistemi per bloccare l’erogazione dei servizi ai pazienti.
Inoltre, è importante affrontare il problema a livello organizzativo per valutare la maturità dei processi relativi alla segmentazione della rete, alla gestione degli asset e dei dati critici come quelli sanitari, alla sicurezza dei backup e diversi altri temi selezionati sulla base delle azioni intraprese dagli aggressori.
A questo punto, è utile simulare a tavolino l’incidente per capire se il piano attuale sia resiliente e mettere le aziende della sanità di fronte alla richiesta del riscatto. In base alle decisioni prese dai partecipanti lo scenario cambia e si adatta mostrando le conseguenze delle scelte fatte. Questo permette a tecnici, manager e dirigenti di comprendere meglio le possibili strategie di fronte alla richiesta di riscatto e di lavorare, post-simulazione, per definire una policy con criteri per indirizzare questa eventualità e comprendere quali siano le persone necessarie da coinvolgere in questa discussione.
Quali benefici potrà ottenere secondo voi la Sanità in materia di cybersecurity dal PNRR? Come potrà essere sfruttato?
Sapere dove l’attaccante preferisce attaccare, come condurrà l’attacco e quindi conoscere come prepararsi e cosa andare a monitorare fa parte di una strategia che è la base di un programma di cybersecurity. L’augurio è quindi che questa disponibilità di liquidità possa essere usata dalle aziende nella Sanità per sviluppare al meglio un approccio strategico alla gestione dei rischi IT.
