Cybersecurity nel settore sanitario: il report

Nell’ultimo decennio, il personale italiano della sanità è diminuito del 6,5%. Questa mancanza di personale è stata evidenziata anche durante la pandemia da Covid-19, dove l’Italia si è trovata in difficoltà nella gestione della forza lavoro. D’altro canto, questa situazione ha permesso di iniziare ad adottare servizi digitali e cloud di ultima generazione. Con la transizione della sanità al digitale compaiono però i rischi cyber: in un settore delicato come questo è importante la protezione da questo tipo di minacce. In più, dall’inizio della pandemia sono stati assunte circa 83mila unità di personale sanitario. Ma che effetti ha avuto questa trasformazione sulla resilienza cyber del perimetro sanitario italiano? Swascan, con il servizio Cyber Risk Indicators, ha analizzato 20 strutture sanitarie pubbliche e private tra le prime 100 della classifica italiana per scoprirlo.

LEGGI ANCHE >>> «Niente evidenze di errori nella gestione attacco hacker Lazio, ma serve prevenire innanzitutto»

L’analisi Swascan

Il Soc as a Service Team di Swascan ha rilevato un rischio concreto di subire un attacco cyber. Raccogliendo informazioni pubbliche e semipubbliche (web e dark/deep web) il team ha scoperto che le aziende del settore sanità sono a rischio. Le vulnerabilità totali rilevate sono 942, le email compromesse sono 9355, gli IP esposti al pubblico sono 239 e i servizi esposti su Internet sono 579. Il 14% delle vulnerabilità sono di livello alto, mentre la maggior parte appartiene al livello medio (il 75%). La media di email compromesse per dominio sono 468.

Il gruppo di esperti ha poi suddiviso i potenziali rischi su tre livelli, ovvero il rischio tecnologico (sfruttamento delle vulnerabilità), il rischio compliance (collegato alla compliance potenziale GDPR) e il rischio social engineering (livello human risk).

Come ha commentato il CEO di Swascan, Pierguido Iezzi, “Non deve essere una sorpresa quanto emerso dallo studio effettuato dal SOC Swascan su un campione selezionato delle più grandi strutture sanitarie in Italia. Siamo già appieno nell’era della trasformazione digitale: da un lato questo significa disponibilità di servizi Ready to Use – anche in ambito medicale – e soprattutto di oggetti Internet of Things, che semplificano processi e vita lavorativa di tutti i giorni; dall’altro lato, tuttavia, l’accumulo di nuove tecnologie crea una certa entropia dal punto di vista della Cyber Security”.

Sanità Italiana: facile preda?

L’analisi di Swascan dimostra che le aziende sanitarie italiane sono preda facile per gli hacker. Entro la fine del 2021 è probabile che gli attacchi hacker quintuplicheranno: un sistema con un alto numero di vulnerabilità è una vittima molto più probabile di un attacco hacker.

“Con una semplice equazione, possiamo dire che più oggetti sono connessi ad internet, maggiore è la possibilità di attacco per gli hacker criminali. I dati sanitari – per la loro completezza e abbondanza di dettagli – sono uno dei target più ambiti dai criminali informatici, che li utilizzano sia per rivenderli ad altri criminali sia per lanciare attacchi di social engineering su larga scala. Ospedali e strutture sanitarie sono pertanto fortemente a rischio di possibili attacchi”, spiega Iezzi.

Diversi elementi rendono gli ospedali e le cliniche esposti a rischi di attacco, come password deboli, una mancanza di formazione sulla cyber security e pratiche di sicurezza informatica inadeguate. Gli hacker posseggono sempre le armi più adatte per colpire, ovvero gli exploit. Gli exploit sono parti di codice maligno creato apposta per sfruttare una precisa vulnerabilità. Un insieme di exploit viene chiamato “kit”. Questi kit vengono spesso venduti sul dark web e permettono anche a criminali non qualificati di poter effettuare cyber attacks.

Prendendo come esempio una delle aziende analizzate da Swascan attraverso il servizio DTI, osserviamo che nell’arco di 30 giorni sono state rilevate 82 vulnerabilità, di cui 23 di alta severity. I Criminal Hacker possono utilizzare le CVE (Common Vulnerabilities and Exposures) per creare exploit e venderli poi sul dark web.

Un altro metodo molto comune per creare potenziali vulnerabilità è il social engineering, ovvero il manipolare la parte “umana” del sistema per ottenere accesso alle reti aziendali. Un comune tipo di social engineering è il phishing, che sfrutta le mail per indurre le persone a divulgare informazioni riservate a cliccare link malevoli.

Un’altra delle aziende analizzate, infatti, presenta ben 293 coppie di mail aziendali con password disponibili pubblicamente, rubate attraverso dei data breach. Il vero rischio però rimane il social engineering: una minaccia che potrebbe essere veicolata attraverso malware legati a Botnet. Le botnet sono reti di computer compromessi che vengono utilizzati come motore di elaborazione per svolgere attività criminali. Dal 2018, Swascan ha rilevato circa 106 Botnet installate su dispositivi legati all’ambito sanitario (compresi pazienti).

Ransomware sempre il primo pericolo

La minaccia più pericolosa resta quella del ransomware. Se attivato in un sistema, non solo si rischia la perdita dei file, è anche impossibile portare avanti il lavoro, creando così anche un danno d’immagine e ingenti multe. Il 46% delle aziende colpite non riesce a recuperare totalmente i dati compromessi.

Il ransomware non è solo una minaccia cyber, ma crea anche un danno economico reale. Il 66% delle aziende ha riportato una perdita di entrate a seguito di un attacco di questo tipo. Il 53% delle organizzazioni hanno indicato che la propria reputazione è stata danneggiata dopo un attacco, mentre il 29% ha segnalato di aver dovuto licenziare dipendenti a causa dei danni economici. Il 26% ha dovuto chiudere definitivamente le operazioni aziendali.

Anche i dati fanno gola

L’obiettivo dei Criminal Hacker non sono solo le aziende. Un altro componente di valore del settore sanitario sono le cartelle cliniche e i dati dei pazienti, che possono essere venduti sul dark web fino a 1000 dollari ciascuno. Attraverso ciò si rischia anche il furto di identità, dato che l’obiettivo dei criminali è appunto vendere dati sensibili.

Nel 2020 ben 31 milioni di cartelle cliniche sono state esposte da incidenti di data breach. Casi eclatanti sono quello della Regione Lazio nel 2021, che ha rischiato di perdere i dati di 5,8 milioni di persone; Düsseldorf 2020, dove un attacco ransomware ha portato il caos nell’intero ospedale; e l’AMCA Data Breach 2019, che si è concluso con 24 milioni di cartelle cliniche compromesse.

Come evitare attacchi cyber?

Il migliore approccio è seguire i tre pilastri della cyber security moderna, ovvero la Sicurezza Predittiva, Sicurezza Preventiva e Sicurezza Proattiva. Come sottolinea Iezzi: “I numerosi esempi recenti fanno comprendere quanto il problema non sia più marginale, ma qualcosa che ben presto dovremmo trovarci ad affrontare “di punta”. È necessario, spiega il CEO della società milanese, rafforzare gli strati di difesa cyber delle strutture. Stiamo parlando di sicurezza predittiva, preventiva e proattiva.

“Al giorno d’oggi assenze o carenze in uno di questi campi non è più accettabile. In particolar modo la sicurezza predittiva, specialmente tramite la Domain Threat Intelligence e Cyber Threat Intelligence, è uno degli ambiti meno sfruttati al momento, ma potrebbe rivelarsi chiave. Questa è in grado rendere visibili i possibili rischi che incombono sull’intera infrastruttura e rivalutare e ridefinire continuamente le priorità d’intervento. Uno step fondamentale per proteggere un ambiente digitale in espansione ed evoluzione da un panorama di minacce cyber altrettanto in crescita. Di fatto questa integra e rafforza le altre due aree più tradizionali della Cyber Security; da un lato la sicurezza preventiva tramite servizi di security testing e dall’altro la sicurezza proattiva tramite servivi di SOC as a Service e Incident Response Team.”