Aumentano gli attacchi informatici in sanità, come difendersi

I recenti attacchi informatici al Servizio Sanitario Regionale del Lazio accendono i riflettori su una problematica, quella della sicurezza informatica (cybersecurity) che tocca sempre più da vicino le aziende sanitarie e i medici. Con l’aiuto di alcuni esperti passiamo in rassegna le minacce emergenti e i sistemi per difendersi

“Your files are encrypted”. Probabilmente questa è la scritta che i dipendenti del Centro Elaborazione Dati della Regione Lazio, nell’agosto scorso, si sono visti comparire sul proprio PC in seguito ad un attacco ransomware (attacco informatico con richiesta di un riscatto NdR). Un’azione di Criminal hacking che ha creato diversi disagi, anche e soprattutto nella piattaforma di gestione della prenotazione vaccinale, rimasta bloccata per più giorni. Attacchi informatici si sono susseguiti nel mese di settembre anche in altre strutture sanitarie della regione Lazio.

La sanità italiana sembra sotto tiro, come emerge anche dal report “Cyber risk indicators” realizzato da Swascan, una Cyber Security Company italiana.

Nel rapporto si legge che sono le email compromesse a farla da padrone nel settore sanitario italiano; sono infatti 942 le vulnerabilità, con 9.355 email compromesse, 239 IP esposti e 569 servizi esposti su internet, per 20 aziende pubbliche e private, tra le prime 100 in termini di dimensioni, fatturato e reputation, che nel report sono state analizzate dagli specialisti di cyber security.

Come spiega Pier Guido Iezzi, CEO e fondatore di Swascan:

L’informazione e il dato oggi sono considerati il “nuovo petrolio, di conseguenza qualsiasi dato ha un valore; consideriamo, ad esempio, il data record sanitario: il suo valore alla vendita, nel dark web, si aggira sui 1.000 dollari per il solo fatto di contenere informazioni personali e dati sensibili.”

Aumentano i servizi digitali e aumentano i rischi, che fare?

“In era Covid-19 – continua Pierguido Iezzi – per garantire un servizio migliore ai propri pazienti, il mondo sanitario è stato costretto ad adottare sempre più strumenti digitali, con l’effetto indesiderato di ampliare il proprio perimetro digitale rendendolo più vulnerabile. Questo significa, che aumentando la complessità e la quantità dei servizi, si espone più facilmente la struttura sanitaria ai possibili rischi dell’attacco informatico”.

“Le strutture sanitarie necessitano quindi, di un chiaro action plan. Quale? Bisogna impostare la propria difesa sui tre pilastri della Cyber Security: Sicurezza Predittiva, Preventiva e Proattiva.

La Sicurezza Predittiva lavora tramite fonti OSINT e CLOSINT per comprendere quali minacce esistono e se ci sono informazioni sulla nostra azienda che possono farci correre dei rischi. Queste informazioni preliminari sono di rilevante importanza al fine di impostare correttamente sia la sicurezza preventiva che proattiva. La Sicurezza Preventiva corrisponde a tutto quel mondo di analisi del rischio tecnologico, umano e di processo. Stiamo parlando di attività che vanno dalle simulazioni di attacchi informatici fino ad arrivare ad analisi specifiche del rischio basate sui framework di sicurezza internazionali. La Sicurezza Proattiva fa entrare in campo tutto il mondo del SOC (Security Operation Center) (*), dove sistemi, processi e tecnologie permettono di gestire, monitorare e far emergere qualsiasi anomalia che possa registrare la mia infrastruttura, chiudendo il cerchio con la capacità di reazione. È importante chiarire un aspetto: tutti i sistemi e framework se non si testano e non si mettono alla prova, non servono a niente”.

Sicurezza informatica e sicurezza clinica

Quando si parla di cyber security si intende un insieme di competenze, processi e tecnologie, necessario per mettere in sicurezza e tutelare le infrastrutture informatiche digitali nelle aziende.

Sergio Pillon, coordinatore della trasformazione digitale nella ASL di Frosinone, spiega:

Noi medici consideriamo anche la sicurezza delle cure, perché è uno dei punti chiave, tanto che, definiamo il rischio clinico come un importante aspetto delle cure. Eravamo già abituati a considerare la sicurezza delle cure e la sicurezza dei dati dei nostri pazienti: pensiamo ad esempio, alle cartelle cartacee che vengono custodite nella medicheria per evitare qualche intromissione o anche le analisi che arrivano dai laboratori in buste chiuse. Tutto ciò, ora, è diventato digitale, ma non sono cambiati i rischi”

“Gli accessi  – prosegue Pillon – devono essere rigorosamente controllati anche sul piano elettronico. Il rischio non è solo sulla custodia dei dati, ma è anche, ad esempio, che venga inserito un nome sbagliato in un referto. Si tratta di due grandi aspetti della sicurezza, la safety, cioè scongiurare che per errore possa essere fatto un danno al paziente e la security, cioè evitare che un’azione criminale possa creare danni. L’azione criminale di attacco informatico ha lo scopo di estrarre dati o modificare dati, poiché dalla conoscenza della salute delle persone si possono poi prendere delle decisioni soprattutto, se quei dati riguardano persone “VIP”, dalla politica all’economia. Quando si parla di ransomware, cioè di dati che vengono criptati e quindi resi illeggibili per quell’azienda, lo si può definire, parafrasando, come un “sequestro di persona”, ovvero un “sequestro di dati”. In questo caso, perché i dati possano essere decriptati e restituiti all’azienda si dovrà pagare un vero e proprio riscatto. Spesso il riscatto avviene con richiesta di bitcoin”.

“L’attacco ransomware che ha colpito il Lazio nell’agosto scorso – racconta Pillon – ha bloccato l’intero sistema di prenotazione dell’attività specialistica, il sistema della ricetta elettronica, i certificati telematici di malattia nell’ambito ospedaliero e tutto il sistema del fascicolo sanitario elettronico FSE. Abbiamo capito che l’attacco è stato molto sofisticato, portato all’interno da una rete VPN (rete privata virtuale) di un dipendente di un’azienda fornitore della società informatica che cura il sistema informatico sanitario regionale, da qui, è stata fatta una escalation fino ad arrivare ai dati. Ha avuto l’aspetto di un attacco terroristico”.

Quali possono essere le soluzioni per rimediare alle vulnerabilità? Risponde Pillon:

La prima “lezione” molto semplice, ma di base è di non cliccare su allegati sconosciuti o che arrivano da sconosciuti. Bisogna fare poi la massima attenzione alle password e, per buona norma, che siano diversificate e cambiate periodicamente. A volte, lo scambio attraverso Whatsapp, Telegram, etc. di dati ed informazioni sanitarie e mediche viene confuso e scambiato per telemedicina. Questi sistemi non sono affatto sicuri per custodire i dati e le informazioni dei pazienti. L’utilizzo del proprio smartphone, così fondamentale per la professione medica, presuppone un approccio attento, con i dati criptati e il disporre di un pin sicuro o di una doppia chiave di accesso.”

“Un’altra potenziale vulnerabilità nell’ambito della sanità – afferma ancora Pillon – è l’utilizzo di software vetusti, dicasi archeologia informatica, sia software, sia hardware in sanità; spesso, nelle strutture sanitarie abbiamo PC vecchi, magari al servizio di macchinari o sistemi operativi non più supportati da aggiornamenti di sicurezza perché non più disponibili. Sono fondamentali quindi, la formazione e le competenze, che vengano strutturate a livello universitario con dei master in digital health, di primo livello per le lauree triennali, di secondo livello per le lauree specialistiche e i corsi di alta formazione. A mio parere, conclude Sergio Pillon, tali competenze dovrebbero essere rese obbligatorie almeno per tutti i manager del sistema sanitario”.

(*)   Un SOC o Security Operation Center, è una struttura centralizzata costituita da persone, tecnologie e processi deputata a soddisfare le esigenze di sicurezza informatica di un’azienda; rappresenta un asset critico per qualunque organizzazione a rischio di attacco cyber.