Oltre all’emergenza Covid, il settore della Sanità sta facendo i conti anche con altre tipologie di virus e minacce provenienti però da un’altra dimensione: quella informatica. Dall’inizio della pandemia la frequenza e la gravità di attacchi cibernetici, ai danni del settore dell’healthcare, è aumentata esponenzialmente, tanto da diventare una questione a cadenza quasi quotidiana. Solo negli ultimi 5 mesi si sono verificati ben 10 aggressioni cyber che hanno coinvolto ospedali e aziende sanitarie locali (ASL).
Sanità sotto attacco hacker: gli episodi più recenti
L’ultimo episodio risale ad una settimana fa quando il ransomware Sabbath, creato dall’omonimo gruppo hacker, paralizzava il portale dell’ASL Napoli 3, rendendo vana, tra le altre, qualsiasi operazione telematica concernente prenotazioni vaccini o ritiro referti Covid. Uno standby durato giorni che ha creato non pochi disagi alla cittadinanza anche per via della delicata situazione nazionale.
Oltre agli attacchi che hanno coinvolto la Campania, il 3 dicembre scorso il gruppo hacker LockBit 2.0, davanti al netto rifiuto della Regione Veneto di pagare il riscatto richiesto, ha deciso di diffondere in rete i dati di migliaia di utenti dell’Unità Locale Socio-Sanitaria (Ulss) Euganea di Padova. Si tratta di ben 9.346 file contenenti: referti e diagnosi dei pazienti, protocolli di cura, cedolini paga del personale ospedaliero, informazioni sul budget dei reparti e molto altro ancora. Dati super personali, come si può immaginare.
Violazione dei dati in sanità: i motivi dell’escalation di attacchi
Benché il 2022 sia iniziato da poche settimane la stagione degli attacchi cyber sembra essere già cominciata. Una realtà prevedibile. Già a inizio dicembre 2021 gli analisti di Kaspersky riportavano che: «Nel 2021 le violazioni dei dati sanitari sono aumentate di una volta e mezza rispetto al 2019. Il prossimo anno, il vettore di attacco per il settore sanitario continuerà a espandersi, poiché una quantità sempre maggiore di dati dei pazienti si sta spostando online e gli operatori sanitari continuano ad adottare servizi sanitari digitali come la telemedicina».
Ma perché ospedali e aziende sanitarie locali sono così frequentemente prese di mira dai cyber criminali?
Le ragioni sono molteplici. In primo luogo, bisogna tenere presente l’alto valore dei dati che trattano.
Senza fare dietrologie e ricostruzioni fantasiose è evidente che conoscere lo stato di salute degli individui può orientare decisioni in termini di spesa e di marketing. Per esempio, una casa farmaceutica può decidere quale prodotto realizzare, a chi indirizzarlo e in quale area geografica puntare così come, una compagnia assicurativa può stabilire più facilmente a quali soggetti proporre una polizza. L’esistenza di una “domanda” spasmodica di tali informazioni può quindi essere in parte la causa dell’esistenza di una “offerta” perversa e criminale prodotta da operatori attivi nel mercato nero.
Quanto “valgono” i nostri dati sanitari
Già nel 2013, il Financial Times rendeva di pubblico utilizzo un calcolatore online capace di elaborare, a seconda dei campi contrassegnati, il valore economico delle informazioni e dei dati sanitari inseriti. Ad esempio, i dati di una donna incinta affetta da asma valevano all’ora poco meno di due dollari; quelli di un cardiopatico cinquanta centesimi; quelli di un diabetico all’incirca trenta. Oggi la situazione sembra essere radicalmente cambiata. Informazioni di questo tipo possono arrivare a valere fino a 250 dollari sul Dark Web. Per intenderci, informazioni relative a carte di credito e conti bancari non arrivano a valere 6 dollari.
Le lacune di sicurezza che rendono la sanità vulnerabile
Altra ragione per la quale il settore sanitario italiano è così preso di mira da attacchi informatici è riconducibile ad alcune criticità insite nel settore stesso. Lo studio “Healthcare Cybersecurity” realizzato da Bitdefender, ed esposto all’Healthcare Security Summit 2021 del Clusit, ne ha evidenziate diverse. Si parla di inefficienze e lacune derivanti da:
- utilizzo di sistemi operativi obsoleti o non supportati;
- mancanza di adeguati livelli di protezione per i dispositivi medici secondo i regolamenti Ue;
- assenza di un monitoraggio costante dei rischi e lo scarso utilizzo di strumenti di analisi di attacchi informatici;
- carenza di personale specializzato in cyber security;
- budget non adeguati al grado di minaccia attuale;
Condizioni che nel tempo hanno prodotto un primato allarmante. Secondo Bitdefender «l’efficienza delle strutture sanitarie italiane per affrontare i rischi di sicurezza informatica raggiunge solo il 49%». Un dato preoccupante se considerato che «il 93% delle aziende del settore sanitario ha subito attacchi informatici in passato mentre il 64% ritiene probabile, o altamente probabile, un attacco informatico nel prossimo futuro».
Una possibile strategia di difesa
Ma compresi i punti deboli del sistema, da dove si dovrebbe ripartire?
Prima di tutto bisognerebbe sviluppare una consapevolezza del rischio maggiore tra i dipendenti. Benché le minacce cyber sfruttino tecniche sempre più sofisticate, molto spesso eventi destabilizzanti hanno origine da errori banali e procedure di sicurezza obsolete o non formalmente attuate. È quindi necessario lavorare affinché il personale abbia un sufficiente grado di preparazione e conoscenza del panorama delle minacce cyber. Un risultato ottenibile mediante corsi di formazione e di aggiornamento che tengano conto dell’evolversi delle stesse. Infine, per tutte le strutture del settore sanitario risulta di fondamentale importanza, essere compliant con le norme e gli standard di settore quali ad esempio: GDPR, Direttiva NIS, ISO 27001, etc.
Conclusioni
Ovviamente, per essere efficacemente attuate, queste operazioni, tanto semplici quanto fondamentali, necessitano di budget adeguati. Malgrado il periodo particolarmente complesso, oggi il nostro Paese ha davanti a sé una grande opportunità che prende il nome di: Piano Nazionale di Ripresa e Resilienza (PNRR). Come scritto dagli analisti dell’Associazione Italiana per la Sicurezza Informatica, il PNRR, che complessivamente prevede circa 45 miliardi di euro per la “transizione digitale”, rappresenta per l’Italia l’occasione sia per mettersi al passo con le altre realtà internazionali che per colmare le proprie lacune in ambito cyber. Utilizzando le parole dell’attuale presidente del Clusit, Gabriele Faggioli, «se il Paese saprà cogliere l’occasione che abbiamo davanti fra qualche anno potremo dire di aver fatto un (magari grande) passo avanti».
