In questi ultimi anni i riflettori della cybersecurity sono sempre più spesso puntati sulla sanità.
Il recente attacco ransomware contro l’ASL1 della Regione Abruzzo è solo l’ultimo di una lunga serie.
A questo punto, la domanda sorge spontanea: ma cos’è che rende il settore sanitario così “attraente”?
L’escalation delle minacce cyber contro la sanità
Se la pandemia e il boom di contagi hanno messo duramente alla prova la tenuta del sistema sanitario, evidenziandone carenze e ritardi, al tempo stesso però l’ondata pandemica ha determinato un’accelerata espansione digitale per questo settore.
La sanità di oggi è più digitale e più connessa rispetto anche a solo pochi anni fa. In questo processo di continua trasformazione però non viaggia da sola, ma è guidata da importanti compagni (non sempre fedeli): i dati, protagonisti indiscussi dell’attuale società.
Ormai i dati, l’analisi e il trattamento degli stessi costituiscono la vera ricchezza di un’azienda, sanitaria e non. Se, da un lato, sono tanti i benefici derivanti dal binomio sanità-digitale, dall’altro però questo nuovo scenario non è scevro da rischi.
All’interno di siffatto contesto molto variegato sta avanzando, ormai senza freni, un altro importante fenomeno che guarda con particolare interesse proprio il mondo della sanità: stiamo assistendo a un vero e proprio boom di attacchi cyber.
Il continuo aumento di tecnologie IoT in sanità ha creato una superfice di attacco particolarmente fertile per i malintenzionati, rendendo il terreno sanitario parecchio scivoloso: il rischio di cadere è dietro l’angolo.
Le minacce informatiche, meglio note come cyberattacchi talvolta invisibili, sono un’ombra costante e le conseguenze possono essere davvero drastiche non solo per i sistemi sanitari, ma soprattutto per i rischi che possono avere sui pazienti.
È proprio all’interno di questa cornice che aumenta sempre più il timore dei data breach. Con questa espressione si fa riferimento letteralmente a una “breccia”, e quindi a una violazione, di dati.
Riprendendo la definizione tecnico-giuridica offerta dal Regolamento generale sulla protezione dei dati (GDPR, art. 4, punto 12), il data breach consiste in una “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Scindendo le modalità tratteggiate dalla norma -distruzione/perdita/modifica/divulgazione/accesso – il risultato che si ottiene è sempre lo stesso: una “crepa” nella gestione dei dati. Così come le crepe sono da considerarsi pericolose per la stabilità delle strutture, lo stesso timore si verifica per un sistema di dati, un timore che aumenta inevitabilmente qualora in questione ci sia la salute della persona.
Ad aggravare ulteriormente la situazione ha contribuito senza dubbio il conflitto Russia-Ucraina, con ripercussioni dirette anche sul nostro paese. Nel 2022, infatti, in Italia sono stati sferrati 188 attacchi (il 7,6% di quelli registrati a livello mondiale), un dato in forte aumento rispetto al 2021. Nell’80% dei casi il danno è stato configurato come grave e altamente critico. Tra gli obiettivi degli hacker, il settore sanitario è presente con una percentuale di attacchi pari al 12% del totale.
In principio furono lo Spallanzani e il San Camillo
Dagli ospedali, alle aziende sanitarie pubbliche e private, ai laboratori analisi, nel mirino degli hacker è frequente che si trovi il settore sanitario.
In piena emergenza pandemica, due attacchi hanno avuto di mira due importanti strutture sanitarie, entrambe impegnate in prima linea nella lotta al Coronavirus: mentre il primo diretto allo Spallanzani di Roma, per fortuna si è rivelato senza successo, il secondo, rivolto all’ospedale San Camillo, sempre nella capitale, è purtroppo riuscito: sono state, infatti, sabotate le apparecchiature per eseguire i test Covid-19, determinando forti ritardi.
A seguire, ben 19 ulteriori strutture sanitarie sono state colpite: questi numeri confermano che siamo nel pieno di una “guerra cibernetica”, di cui forse non siamo del tutto consapevoli.
Il ransomware è lo strumento di attacco
Moltissime sono le modalità con cui può realizzarsi il fenomeno del data breach. Nei cyberattacks, il principale strumento può essere considerato il ransomware (dal termine inglese ransom, riscatto), una tipologia di software malevolo che blocca l’accesso a un computer, cifrando tutti i dati in esso contenuti, con il fine ultimo di chiedere una somma di denaro in cambio del ripristino dei dati.
L’attacco all’ASL1 della Regione Abruzzo
Proprio questo tipo di attacco è stato impiegato, da ultimo, contro l’ASL1 della Regione Abruzzo.
Nella notte del 3 maggio 2023 si è registrato il blocco dell’intero sistema informatico a seguito di un attacco hacker e ad essere vittime sono proprio le aziende sanitarie dell’Aquila, Avezzano e Sulmona. La minaccia cibernetica è stata rivendicata dal collettivo hacker “Gruppo Monti” che con un post sul proprio sito ha minacciato di pubblicare tutti i dati sensibili archiviati nei sistemi delle aziende qualora non venisse pagato il riscatto richiesto, fissato in ben 2 milioni di euro in Bitcoin.
Si è trattato di un attacco informatico che ha paralizzato tutti i servizi e le prestazioni sanitarie degli ospedali e ambulatori. Dopo aver chiesto il riscatto, i pirati informatici hanno iniziato a pubblicare diversi dati sul web, provocando una fuga di ben 500gigabyte di dati sensibili, tra cui compaiono anche quelli dell’ex latitante Matteo Messina Denaro, detenuto oncologico.
Le conseguenze sono state devastanti, e hanno generato una vera paralisi dell’intera attività medica, imponendo un momentaneo ritorno a carta e penna.
L’errore è (quasi sempre) umano
Se i ransomware rappresentano il principale strumento impiegato da chi intende perpetrare un data breach, tuttavia il vero nemico della sicurezza dei dati è un altro: l’errore umano.
In gergo tecnico è chiamato anche “insider threat”, per indicare una minaccia interna che proviene, il più delle volte, da dipendenti o collaboratori dell’azienda stessa.
Solo per fare un esempio: pensiamo ad una consegna errata da parte di un infermiere. Si tratta del classico e più diffuso errore che avviene con l’invio del referto a persona diversa dal destinatario effettivo. Lo stesso potrebbe verificarsi nel caso di un errore nella pubblicazione del dato, quando informazioni private vengono diffuse. Un caso particolare, sotto questo profilo, ha riguardato la violazione di dati sanitari di una paziente ricoverata per un’interruzione volontaria di gravidanza che aveva richiesto che non fossero fornite informazioni sul suo stato di salute a soggetti terzi, ma a causa di un errato aggiornamento dei dati di contatto della paziente, l’infermiera di turno ha fornito indicazioni sul reparto di degenza al marito della paziente.
Il Data Breach Investigations Report di Verizon Business (DBIR 2022) afferma che nel 2022, l’82% delle violazioni analizzate sono derivate da cause imputabili al fattore umano. Il report Clusit 2023 (l’Associazione italiana per la Sicurezza informatica), reso noto nello scorso mese di marzo a Milano, egualmente evidenzia la necessità di aumentare la consapevolezza e la conoscenza di chi si trova quotidianamente a maneggiare dati, e in particolare dati sanitari.
Sanità nel mirino, ma perché?
A questo punto, la domanda sorge spontanea: ma cos’è che rende il settore sanitario così “attraente”?
La causa principale è l’alto valore simbolico oltre che economico dei dati sanitari, ulteriormente aumentato con la dimensione digitale della sanità, in cui i dati svolgono un ruolo chiave.
La circolazione e il confronto dei dati sanitari permettono di elaborare nuove strategie per la ricerca, per il trattamento e per la prevenzione delle patologie: il valore dei dati sanitari è inestimabile. Ma non va dimenticato che quegli stessi dati necessitano di una tutela rafforzata rispetto ai rischi di accesso indebito, alterazione e manipolazione, proprio in ragione del pregiudizio esponenziale che ne può derivare.
Strutture come ospedali, asl, centri di ricerca gestiscono, analizzano e archiviano enormi quantità di dati “sensibili” e non possono assolutamente tollerare disservizi causati da cyber attacchi, dal momento che ogni paralisi può comportare gravi conseguenze per la salute dei pazienti.
Alcuni studi hanno rilevato una stretta correlazione tra data breach e aumento del tasso di mortalità nelle aziende colpite.
La vicenda abruzzese, sopra richiamata, conferma questa tesi: il reparto di radioterapia è stato interamente bloccato e non solo le terapie da somministrare ai pazienti oncologici sono state sospese, ma a causa del permanere del blocco ai sistemi, i pazienti sono stati trasferiti presso altre strutture, alcune delle quali fuori regione.
L’importanza dei dati, in Sanità più che altrove
Come è facile intuire, consegnare un dato inesatto o avere dei ritardi nell’analisi di un referto possono alterare l’intero processo di cura.
I dati sanitari non hanno una scadenza. Clonare una carta di credito e avere accesso ad un portale assicurativo sanitario non sono la stessa cosa. Non basta bloccare la carta. I dati inerenti alla salute possono essere facilmente venduti nel dark web, oppure utilizzati per frodi, estorsioni o furti d’identità.
Occorre inoltre ricordare che la ricerca scientifica, in ogni campo, necessita di una mole enorme di dati per poter andare avanti, e proprio i dati sulle ricerche in ambito medico e sugli sviluppi farmaceutici posseduti negli archivi digitali delle aziende possono essere utilizzati per un ottenere vantaggio competitivo sul mercato.
Come arginare i danni
Se sanità e digitale sono diventati interconnessi, è ancora molto bassa la consapevolezza della sicurezza informatica. Questo è il cuore del problema.
Di fronte a una sanità sempre più sotto attacco bisogna correre ai ripari. Ma come?
Certamente gli strumenti normativi esistono: occorre metterli in pratica, ma ancor prima bisogna conoscerli. Il livello di conoscenza in materia di sicurezza presente in molti ospedali, cliniche e aziende sanitarie, soprattutto a livello nazionale, è ancora basso.
Occorre dunque investire in una cultura della cybersecurity, seguendo una linea operativa ex ante, e non ex post come spesso succede e come spesso si è abituati a fare.
La formazione in questo settore rappresenta uno strumento indispensabile per garantire l’esercizio e la tutela di molte libertà fondamentali e, se efficacemente programmata e aggiornata, è l’unico scudo che abbiamo contro la violazione dei nostri dati (e, quindi, dei nostri diritti).
