Perché gli attacchi informatici prendono di mira le aziende sanitarie pubbliche?

Il caso dell’attacco ransomware ai sistemi informatici dell’ASL1 Abruzzo (con tanto di pubblicazione 522 gb di dati) è solo l’ultimo di questa linea temporale che ha avuto il suo punto di origine nel bel mezzo della pandemia COVID-19. Perché proprio tra il 2020 e il 2022, si sono intensificati gli attacchi informatici per “rubare” dati sanitari “conservati” all’interno dei database della Aziende Sanitarie pubbliche e degli ospedali. Una escalation che ha diverse motivazioni di fondo che, tra l’altro, sono state confermate – per quel che riguarda gli aspetti più tecnici – dall’Agenzia per la Cybersicurezza Nazionale nelle ultime settimane.

LEGGI ANCHE > L’attacco all’ASL1 Abruzzo è una delle più gravi violazioni dei dati della storia d’Italia

In attesa di conoscere i dettagli del malfunzionamento dei sistemi informatici dell’Ospedale Luigi Sacco di Milano (non è ancora chiaro, come spiegato da Red Hot Cyber, di disservizio “ordinario” o di attacco informatico, sulla falsariga di quello registrato nel mese di maggio dello scorso anno), proviamo a capire perché ci siano sempre più attacchi informatici – ransomware, in particolare – rivolti alle ASL e agli ospedali.

Attacchi informatici dati sanitari, perché sono presi di mira

Innanzitutto, occorre sottolineare un aspetto fondamentale. I database della ASL e degli ospedali sono ricchi di quelli che il GDPR definisce “categorie particolari di dati personali”. Si tratta, per fare un’estrema sintesi, di indicatori etnici, di convinzioni religiose, di salute, di attività sessuale, di dati genetici e di dati biometrici. Dunque, dati che non vengono trattati da parte di aziende private (secondo il regolamento europeo) e che, di fatto, rientrano tra le eccezioni indicate dal punto h) del paragrafo 2 dell’articolo 9 del GDPR:

«Il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3». 

Dunque, ospedali e Servizi Sanitari pubblici possono trattare questi dati particolari che, in linea generale, non potrebbero e non dovrebbero essere trattatati da nessun altro. La “rarità” di questi dati, dunque, rende più elevato il loro valore “economico”. Perché, occorre ribadirlo, i nostri dati sensibili (anche quelli che concediamo alle varie piattaforme su cui ci iscriviamo) sono equiparabili a una merce.  Questa prima spiegazione ci aiuta a capire, parzialmente, il proliferare di attacchi informatici dati sanitari dei cittadini. A tutto ciò si unisce un altro aspetto logico. Prendiamo l’esempio dell’Italia: i cittadini usufruiscono del Servizio Sanitario Nazionale. Dunque, la struttura pubblica tratta i dati di tutte le persone. Il bacino d’utenza, quindi, è di gran lunga maggiore rispetto a quello che può essere presente in un database di un’azienda privata.

La mancanza di investimenti

“Non ci vuole un pennello grande, ma un grande pennello”. Utilizziamo una storica citazione di una storica pubblicità (per chi non sapesse di cosa stiamo parlando, questo è il link al video), per proseguire nella nostra analisi sul moltiplicarsi di attacchi informatici dati sanitari. Perché se è vero che i database del servizio sanitario pubblico sono sterminati e ricchi di dati sensibili e particolari, dovrebbe essere altrettanto vero che gli strumenti a difesa di questi siano all’avanguardia e pronti alla prevenzione di offensive informatiche. Sarebbe un sillogismo perfetto che, però, viene smentito dall’Agenzia per la Cybersicurezza Nazionale. Per entrare nel nocciolo della questione, citiamo le parole pronunciate solo qualche giorno fa – era il 5 maggio – dalla dottoressa Nunzia Ciardi, vice direttrice generale dell’ACN. Nel suo intervento a Itasec (la conferenza sulla cybersicurezza che si è tenuta a Bari), ha detto:

«La Sanità rimane uno dei settori più esposti agli attacchi cyber. Dal 2021 al 2022 si è registrato un aumento del 138% degli attacchi a infrastrutture critiche. La Sanità, settore molto delicato, è uno dei settori più colpiti. Negli ultimi mesi l’Agenzia ha lavorato a fianco degli ospedali di Milano e Alessandria, della Asl di La Spezia, presi di mira dagli hacker. Si tratta purtroppo, di un settore che sconta una mancanza di investimenti. Non c’è cultura per capire quanto sia importante investire per proteggere le nostre informazioni sensibili». 

Non c’è cultura attorno alla sicurezza informatica e, di conseguenza, non ci sono investimenti. Soldi da utilizzare per implementare e mantenere costantemente aggiornati i sistemi di sicurezza, troppo spesso non al passo con i tempi. Così come se è poco inclini a tappare le falle di sicurezza che emergono nel corso dei giorni, delle settimane e dei mesi. Dunque, la stessa ACN segnala il principale problema della Sanità italiana, nell’ambito del trattamento dei dati personali. E, occorre ricordarlo, il GDPR indica le pratiche da utilizzare per evitare data breach o eventi simili.