Il Sistema sanitario regionale fa sempre più gola alla criminalità cibernetica
Ci risiamo. Un altro attacco a un’azienda sanitaria.
Questa volta si tratta della ASP della Basilicata (azienda sanitaria locale di Potenza) che lo scorso 28 gennaio ha subìto un “accesso da parte di soggetti non autorizzati che hanno prodotto difficoltà all’interno del sistema sanitario regionale”, scrive l’azienda in una nota.
L’ASP, oltre a essersi scusata con gli utenti per gli eventuali disservizi, ha dichiarato di aver subito costituito una “unità di crisi” interna per gestire al meglio quanto accaduto.
Pochi giorni prima della Basilicata, tre aziende sanitarie modenesi (azienda Usl di Modena, azienda ospedaliero-universitaria di Modena e ospedale di Sassuolo Spa), e l’azienda ospedaliera universitaria integrata di Verona sono rimaste colpite da attacchi ransomware, che hanno reso inaccessibili i dati dei dispositivi infettati chiedendo il pagamento di un riscatto per il ripristino.
Gli attacchi, oltre ad aver provocato disservizi (call center in tilt, rallentamenti nella diagnostica, sospensione di alcune prestazioni) hanno comportato la pubblicazione delle informazioni dei pazienti perché le aziende emiliane e venete si sono rifiutate di assecondare le richieste dei criminali e non hanno pagato il riscatto.
Anche se le Asl di Modena e Verona hanno minimizzato i danni dicendo che i file copiati rappresentano, rispettivamente, “solo lo 0,5 per cento dei dati immagazzinati” e “solo 0,6 terabyte a fronte dei 29 custoditi”, questo del furto di dati è proprio uno dei temi che preoccupa i più.
Secondo alcune ricostruzioni, solo negli ultimi due mesi del 2023 sono stati diffusi oltre 1,5 terabyte di dati sanitari (circa due milioni di file) sottratti a diverse strutture del nostro Paese.
Si tratta di dati estremamente sensibili che includono cartelle cliniche, fotografie di pazienti, referti diagnostici, dati di persone che soffrono di disagi mentali o dipendenze, liste dei vaccinati al COVID-19 e molto altro. Un patrimonio enorme pubblicato sul dark web e che è alla portata di tutti.
Un po’ di numeri
A livello globale, nel secondo trimestre del 2023, la Sanità è stato il settore più attaccato (dati Cisco Talos Incident Response). In Italia, anche se non occupa le primissime posizioni nel numero e nella gravità degli attacchi il pericolo è in costante crescita. La conferma arriva anche dall’ultimo rapporto Clusit, secondo il quale gli attacchi a strutture medico-ospedaliere nel nostro Paese sono triplicate negli ultimi quattro anni.
Da quando è operativa, nel gennaio 2022, l’Agenzia per la cybersicurezza nazionale (Acn) si è occupata di 58 attacchi informatici a strutture sanitarie pubbliche, con un impatto critico nella maggior parte dei casi.
Tra le strutture attaccate in Italia solo tra il 2021 e il 2023 ci sono alcuni riferimenti importanti per la salute dei cittadini: l’ospedale San Giovanni Addolorata di Roma;
la ASL 3 di Roma;
la ASL 2 di Savona;
la ASL 2 di Terni;
la ASP di Messina;
la ULSS6 di Padova;
la ASL Napoli 3;
la ASST Lecco;
la ASP Messina;
l’ATS Insubria;
il Fatebenefratelli Sacco;
la ASL5 di La Spezia;
l’Ospedale Universitario di Parma;
l’Ospedale Niguarda;
la ASL1 Abruzzo,
il Centro Ortopedico di Quadrante e altri.
Oltre al furto di dati sensibili, problema non di poco conto, c’è il tema del blocco di servizi essenziali per la salute dei cittadini. Tanto che, secondo altri dati, oltre il 20% delle organizzazioni vittime di attacco, ha registrato anche un aumento del tasso di mortalità dei pazienti. Altre conseguenze sono state il ritardo di test o procedure che hanno portato a esiti negativi (per il 57% delle organizzazioni intervistate) e l’aumento delle complicazioni legate a trattamenti sanitari (quasi il 50%).
Insomma un danno molto serio ai cittadini e che colpisce uno dei settori più delicati, quello della Salute pubblica, già preso di mira da vari fronti soprattutto in questi ultimi anni.
Per i criminali si tratta di un bersaglio molto attraente e facile per vari motivi: il personale interno ed esterno è spesso poco interessato al tema della sicurezza informatica e quindi poco preparato; mancano quasi sempre strategie di cyber security; le strutture sanitarie non possono permettersi interruzioni del servizio. Nella maggior parte dei casi dunque le vittime cedono al ricatto e pagano velocemente la somma richiesta dai cyber criminali. E se a questi ultimi va male con il riscatto, monetizzano con la vendita sul dark web dei dati sanitari sottratti.
I punti deboli del settore
Secondo un report realizzato da IBM, le problematiche più comuni nel settore sanitario dipendono:
- Dal malfunzionamento dei sistemi informatici: errori nel codice sorgente o problematiche nelle comunicazioni automatizzate.
- Dall’ampliamento della digitalizzazione: gli studi medici di base sono oggi collegati al Sistema Sanitario Nazionale, agli ospedali, ai centri diagnostici. Gli strumenti di raccolta dati (utilizzati per monitorare la salute di pazienti affetti da patologie croniche come ad esempio il diabete) sono, a loro volta, collegati a un sistema centrale. Le porte di accesso per potenziali atti malevoli si sono moltiplicate nel giro di pochi anni.
- Dalla scarsa consapevolezza del personale sanitario e amministrativo rispetto alle best practices in termini di cyber security.
- Dall’errore umano: dimenticanze o negligenze da parte di dipendenti o collaboratori esterni alla struttura.
Un bel po’ di punti deboli concentrati in una stessa organizzazione e che lasciano la porta aperta a varie tipologie di attacco.
Le più comuni sono:
- Ransomware: crittografia e blocco di dati da parte del criminale, sbloccabili attraverso il pagamento di un riscatto (di solito tramite criptovalute).
- Attacchi alla supply chain: hackeraggio della gestione integrata dei sistemi tra varie strutture sanitarie, collegate ad un unico cloud centralizzato.
- Phishing e compromissione delle email aziendali
- Furti d’identità e violazione di account privati.
La soluzione
Sono dati che sottolineano quanto le organizzazioni sanitarie siano evidentemente indietro sul fronte cyber security e quanto sia invece necessario dare maggiore priorità a questo settore, soprattutto attraverso una formazione adeguata di tutti i dipendenti e collaboratori, compreso, ovviamente, il personale medico e paramedico.
Spesso infatti si tende a sottovalutare, soprattutto da parte di chi è incastrato in un ingranaggio lavorativo molto impegnativo e di grande responsabilità, l’importanza di una corretta postura digitale.
Considerato però che il fattore umano rimane l’elemento di debolezza più sfruttato dai cyber criminali, la sicurezza può dirsi tale solo se costruita su fondamenta solide di consapevolezza e conoscenza dei rischi.
Anche perché parliamo di un ambito che ha a che fare con la vita delle persone e che per questo non può essere preso sottogamba. Una formazione di qualità, accompagnata da frequenti esercitazioni, è dunque il principale deterrente contro il rischio di attacchi cibernetici.
Ogni dipendente, collaboratore, fornitore, consulente, deve essere consapevole del rischio informatico che corre navigando in rete. Solo questo creerà una solida barriera intorno all’organizzazione, evitando danni economici e di immagine per la struttura e impatti pesanti sulla salute e sulla privacy dei cittadini.
