Il settore ospedaliero ha fatto registrare, soprattutto dall’inizio della pandemia da Covid-19, un interesse crescente da parte dei cybercriminali in relazione al furto di dati e agli attacchi informatici.
Ospedali sotto attacco: il pericolo viene dal ransomware
Uno degli esempi più eclatanti in tal senso riguarda un grave impatto cinetico, nello specifico il decesso di una neonata causato da complicazioni dovute all’interruzione dell’afflusso di ossigeno al cervello, dovuto ad un attacco ransomware che ha colpito lo Springhill Medical Center, in Alabama.
Morte da ransomware, quale risarcimento danni: cosa ci insegna la causa in Alabama
La madre della vittima ha intentato una causa contro la struttura per non aver dichiarato di essere sotto attacco informatico mentre l’ospedale si è difeso affermando che, secondo la legge locale, non esiste alcun obbligo legale di informare il paziente a tal riguardo e, di rimando, ha negato di aver causato la morte della bambina. Dopo quasi due anni dall’inizio della pandemia da Covid-19, risulta evidente che tra tutti gli obiettivi che un hacker può colpire, gli ospedali restino un bersaglio che vale la pena proteggere in modo molto accurato in quanto gli eventuali impatti cinetici hanno risvolti direttamente sulla salute e sulla vita dei cittadini.
Il precedente: Wannacry
Negli scorsi anni non sono mancati episodi analoghi a quello dell’Alabama, sebbene caratterizzati da epiloghi meno drammatici. Nel 2017, infatti, il ransomware Wannacry ha colpito ben 63 presidi sanitari del Regno Unito e le relative unità chirurgiche causando l’annullamento di quasi 20.000 appuntamenti, tra i quali un centinaio di pazienti con necessità di intervento urgente[1]. Nel 2019, l’American Medical Collection Agency, che fornisce servizi finanziari a una serie di strutture mediche statunitensi, è stata ugualmente vittima di un massiccio furto di dati dai propri server per un totale di oltre 24 milioni di file e cartelle cliniche sottratte[2].
Anche uno dei più importanti complessi sanitari italiani, l’Ospedale San Giovanni di Roma, è stato oggetto dell’intrusione di un ransomware che avrebbe creato danni all’attività della struttura senza tuttavia causare una sospensione dei ricoveri poiché i tecnici della sicurezza informatica della struttura e della polizia postale sono stati in grado di reagire prontamente[3].
Le vulnerabilità ignorate
Appare quindi evidente che la vulnerabilità delle strutture ospedaliere è troppo spesso ignorata, o quantomeno andrebbe incrementata la difesa cibernetica in maniera sostanziale, in maniera tale da scongiurare o bloccare potenziali attacchi che causerebbero non solo danni economici e reputazionali, ma anche sanitari e legati alla salute.
Sulla base dei dati raccolti da Sham in collaborazione con il Dipartimento di Management dell’Università di Torino è possibile evidenziare come, da Wannacry passando per Netwalker e altri tipi di ransomware, circa il 24% delle strutture ospedaliere abbia dichiarato di aver subìto attacchi informatici. Di questi, solo il 19% riguarda il danneggiamento di dati e dei sistemi informativi mentre il 33% aveva come obiettivo l’accesso a dati e informazioni. Le principali vulnerabilità del settore risiedono, molto spesso, nell’assenza di un Security Operation Center e nel ridotto numero di vulnerability assessment e penetration test condotti[4]. La prevenzione, tramite verifiche e test periodici frequenti, in tal senso, risulterebbe essenziale nel ridurre profondamente la percentuale di attacchi subiti e le vulnerabilità che le strutture sanitarie presentano.
I dati sanitari, merce preziosissima
Anche per tali ragioni negli ultimi mesi gli attacchi informatici ai danni delle strutture ospedaliere di tutto il mondo sono aumentati esponenzialmente, al punto tale che la società di sicurezza informatica Check Point ha stimato che con l’aggravarsi della pandemia le aziende ospedaliere siano le entità più colpite da ransomware. Come se non bastasse, gli ospedali sono diventati un obiettivo ideale per gli attacchi hacker dal momento in cui i dati sanitari che trattano rappresentano una merce preziosissima. A tale riguardo, è sufficiente pensare al fatto che tale tipologia di dato personale consente alle multinazionali farmaceutiche di orientare le proprie scelte di mercato, così come spostare l’asse di scelte commerciali anche di tipo assicurativo in virtù dei dati anagrafici e personali resi pubblici in rete una volta esfiltrati. Il Financial Times ha recentemente pubblicato un articolo dal titolo How much is your personal data worth? consentendo a tutti gli effetti di calcolare il valore economico dei propri dati personali: i dati di una donna in attesa del primo figlio hanno un valore stimato di circa $ 0,102, mentre quelli di un diabetico arrivano a valere fino a $ 0,267 e il costo aumenta proporzionalmente in base all’aggravarsi delle patologie, al variare della professione, dell’età e dello stato civile del soggetto[5]. Anche Kaspersky stima che il valore di ciascuna cartella clinica esposta al dark web possa arrivare sino a 25 euro[6].
Conclusioni
Gli ospedali sono strutture estremamente complesse ma risulta che abbiano tra le peggiori performance in termini di investimenti informatici. Meno del 10% del fatturato annuo viene infatti dedicato alla sicurezza IT e le cui ripercussioni disastrose di tale scelta fanno sì che, semplicemente per accorgersi dell’avvenuta violazione dei sistemi in uso, si impieghino più di 200 giorni e per porvi rimedio ne servano quasi altri 100, con un costo medio per incidente di 9,23 milioni di dollari.
Dal momento che un’altissima percentuale di attacchi cyber è agevolata dal comportamento umano, soprattutto per quanto riguarda i ransomware, ogni struttura dovrebbe lavorare sull’awareness dei propri dipendenti, predisponendo degli adeguati corsi di formazione per il personale, al quale impartire nozioni e regole di comportamento, prime tra tutte le raccomandazioni del Garante per la Protezione dei Dati Personali, del Regolamento UE 2016/679 e delle norme di Business Continuity, così come allo stesso modo dedicare maggiori investimenti al reparto IT ospedaliero. La possibilità, quindi, che gli attacchi informatici ai danni delle strutture ospedaliere si riduca notevolmente, risulta un potenziale su cui si dovrebbe investire in maniera sostanziale, in maniera tale da salvaguardare non solo la sicurezza e l’affidabilità degli ospedali, ma rappresentando anche una garanzia per evitare perdite economiche importanti.
- https://www.corriere.it/tecnologia/cyber-cultura/17_maggio_17/attacco-wannacry-hacker-hanno-creato-guida-che-spiega-come-pagare-riscatto-bitcoin-5ba623a4-3aef-11e7-9025-2aac070422f5.shtml ↑
- https://www.firecompass.com/blog/american-medical-collection-agency-amca-data-breach-why-it-happened-what-can-you-learn-24-million-customers-affected/ ↑
- https://www.corrierecomunicazioni.it/cyber-security/attacco-ransomware-allospedale-san-giovanni-di-roma-danni-alloperativita/ ↑
- https://salutedigitale.blog/2021/07/13/italia-un-ospedale-su-quattro-ha-subito-un-attacco-informatico/ ↑
- https://ig.ft.com/how-much-is-your-personal-data-worth/?ft_site=falcon#axzz2WDzN1Z8V ↑
- https://edge9.hwupgrade.it/news/security/quanto-valgono-i-nostri-dati-sul-web-secondo-kaspersky-bastano-pochi-centesimi-per-una-carta-d-identita_94439.html ↑
