Cybersecurity: Alla sicurezza dei dati e alla formazione sono state destinate poche risorse. Bisogna invertire questa tendenza per rendere il settore sanitario meno vulnerabile
di Ranieri Razzante
Il più recente Rapporto dell’Enisa (Agenzia europea per la cybersecurity) sintetizza una mappatura degli incidenti informatici nel comparto sanitario e li analizza. L’Agenzia svolge un ruolo cruciale nel comprendere lo stato attuale della sicurezza informatica soprattutto all’interno dell’Unione europea e fornisce indicazioni preziose sulle tendenze emergenti in termini di minacce alla sicurezza informatica, attività degli attori delle minacce, vulnerabilità e incidenti. Durante l’arco di tempo preso in esame, che va dal 1° luglio 2022 al 30 giugno 2023, sono state registrate in totale 24.690 vulnerabilità, escludendo quelle rifiutate o riservate. Questo rappresenta un aumento significativo rispetto alle 21.920 vulnerabilità riportate nel precedente documento. In particolare, in ambito sanitario, sono state riscontrate più di 400 violazioni, il 5,7% del totale.
PA, privati e settore sanitario continuano a essere i principali obiettivi
Durante il periodo di riferimento, è stato osservato un aumento sostanziale degli incidenti legati al malware (vale a dire software dannosi progettati per compromettere o sfruttare qualsiasi tipo di dispositivo, servizio o rete programmabili; ndd). E’ stato pure rilevato un aumento sostanziale degli incidenti legati alle minacce informatiche. Un’analisi più completa di queste minacce, tenendo conto dei settori e delle regioni, rivela che la pubblica amministrazione, i privati e il settore sanitario continuano a essere i principali obiettivi delle fughe di dati e delle violazioni.
Il ransomware (cioè un programma informativo dannoso che può infettare un dispositivo digitale; ndd) rappresenta una delle principali minacce nel settore sanitario.
La maggior parte degli incidenti ransomware è associato infatti a una violazione o furto di dati, mentre le interruzioni sono l’altro effetto comune dell’attacco. I dati dei pazienti sono stati gli asset (in senso lato, i beni; ndd) maggiormente presi di mira durante tutto il periodo di riferimento. Gli attacchi alla catena di fornitura sanitaria e ai fornitori di servizi hanno causato interruzioni o perdite alle organizzazioni del settore sanitario.
Violazione dei dati nelle strutture sanitarie
Le violazioni dei dati hanno interessato le strutture sanitarie e, in particolare, gli ospedali e le cure primarie. Il costo medio di un grave incidente di sicurezza nel settore sanitario è di 300mila euro. Inoltre, solo un terzo delle organizzazioni intervistate nel settore sanitario dispone di un programma di difesa ransomware dedicato.
In un’altra recente indagine del gruppo di cooperazione NIS, il 95% delle organizzazioni sanitarie intervistate affronta le suddette sfide, ma il 46% di queste non ha mai eseguito un’analisi del rischio cyber.
Da gennaio 2021 a marzo 2023, sono stati analizzati, per il rapporto Enisa, un totale di 215 incidenti segnalati pubblicamente nell’Ue e nei Paesi limitrofi. Questi includono 208 attacchi informatici al settore sanitario. Un incidente può essere classificato in più categorie di minaccia. A esempio, il vettore di attacco per l’accesso iniziale può̀ includere una campagna di phishing a tema sanitario (minacce di ingegneria sociale/social engineering), seguita da una compromissione con ransomware, che può̀ o meno comportare la fuga di dati dei pazienti (minacce relative ai dati).
Il malware infetta la posta elettronica per inviare e-mail di phishing a clienti o pazienti
Durante il periodo di riferimento, gli sviluppi geopolitici e l’attività degli hacktivisti hanno aumentato il numero di attacchi DDoS (Distributed Denial of Service) contro le organizzazioni sanitarie, raggiungendo il 9% degli incidenti totali. Tre quarti di questi incidenti si sono verificati nel 2023. In particolare, gli ospedali e le autorità sanitarie europee sono stati presi di mira da gruppi di attivisti informatici filorussi all’inizio del 2023 (in Paesi Bassi, Danimarca, Svezia, Spagna). L’impatto principale delle infezioni da malware è stata l’interruzione dei servizi non correlati all’assistenza sanitaria, come Internet o i servizi di posta elettronica. Nella maggior parte dei casi, però, il malware ha infettato la posta elettronica per inviare e-mail di phishing a clienti o pazienti.
La segnalazione annuale degli incidenti ai sensi della direttiva NIS indica che su 284 incidenti con impatto significativo segnalati ufficialmente nel corso del 2021, il 68% era dovuto a guasti del sistema, il 16% a errori umani e il 16% ad azioni dolose. Il motivo principale dei criminali informatici è il guadagno finanziario, spesso il furto di dati o la richiesta di un riscatto. Gli attori sponsorizzati dallo stato prendono di mira le organizzazioni per compromettere, rubare, modificare o distruggere informazioni.
L’analisi degli incidenti
Per l’analisi degli incidenti, sono state considerate le seguenti motivazioni:
Spionaggio, quando lo scopo dell’attacco è la raccolta di informazioni (proprietà intellettuale o informazioni di importanza nazionale). Guadagno finanziario, quando alla base dell’attacco c’è un chiaro intento monetario. Ideologico, quando l’attacco è legato ad attività di hacktivist. Altro, quando l’incidente non è stato intenzionale. Sconosciuto, quando non possiamo trarre conclusioni chiare sulla motivazione.
Durante il periodo di riferimento, gli attacchi DDoS neiconfronti dell’assistenza sanitaria sono diventati un metodo comune degli attivisti informatici per esprimere proteste o promuovere “cause”. Questi attacchi coinvolgono sistemi mirati, travolgendoli con un’ondata di traffico e rendendoli inaccessibili agli utenti legittimi. Le principali attività del settore sanitario possono essere definite nelle seguenti grandi categorie: le cartelle cliniche elettroniche e i dati del paziente; i sistemi e i servizi informativi sanitari; i sistemi e le reti IT non medici; i dati aziendali e relativi al personale; la proprietà̀ intellettuale.
Meno risorse alla sicurezza dei dati
La spesa sanitaria pro-capite in Italia è pari a circa 2.473 euro, per un totale di oltre 146 miliardi di euro l’anno. Le strutture sanitarie spesso hanno dedicato meno risorse alla sicurezza dei dati e alla formazione del personale in materia di cybersecurity. Questo le ha rese più vulnerabili agli attacchi.
Il settore sanitario deve affrontare sfide specifiche a causa delle dimensioni complesse dell’informatica nel contesto medico (a partire dalla gestione dei dati amministrativi fino alla sicurezza dei dispositivi medici). Le strutture sanitarie sono vulnerabili agli attacchi informatici a causa della loro complessità IT/OT, della quantità considerevole di dati sanitari e dei servizi critici forniti ai cittadini e ai pazienti. Un altro aspetto critico è la mancanza di una gestione efficace delle identità degli amministratori di sistema. Le cyber gang possono acquistare identità già qualificate e verificate attraverso intermediari, ottenendo l’accesso alle reti aziendali senza ostacoli e in modo persistente.
Adottare misure preventive per una maggiore sicurezza
Per garantire una maggiore sicurezza è necessario migliorare la gestione delle identità e adottare misure preventive adeguate. Analizzando la kill chain dei recenti attacchi, vanno messe in priorità: implementare misure di sicurezza informatica avanzate, come crittografare i dati sensibili; creare copie di backup regolari; mantenere i sistemi e i software in uso aggiornati; conduzione periodica di assessment per identificare e mitigare le vulnerabilità, concentrando l’attenzione sulle piattaforme dismesse o abbandonate che potrebbero estendere la superficie d’attacco.
L’IA potrà offrire aiuto nella protezione dei dati sanitari
Per completezza, occorre richiamare il tema dell’intelligenza artificiale (IA) che potrà offrire un aiuto anche nella protezione dei dati sanitari. Può essere utilizzata per prevenire attacchi informatici, identificare comportamenti anomali nei sistemi informatici, migliorare la sicurezza delle reti e dei dispositivi. L’IA può, quindi, svolgere un ruolo importante nella difesa delle infrastrutture sanitarie da minacce cibernetiche. Fare intelligence sulle minacce può giocare un ruolo fondamentale nella prevenzione, migliorando l’esposizione al rischio delle organizzazioni sanitarie.
Al miglioramento delle difese informatiche sarebbe fondamentale abbinare servizi di Cyber Threat Intelligence, con focus dedicato all’universo sanitario. Alcuni modi in cui un servizio di intelligence può essere fattore di successo nell’ambito della prevenzione sono: rilevazione precoce delle minacce; analisi delle tendenze; informazioni sulle vulnerabilità; condivisione delle informazioni; valutazione del rischio.
In riferimento all’ambito medico-sanitario, l’intelligenza artificiale rappresenta un valido supporto non solo per la protezione dei dati e per prevenire gli attacchi informatici ma, altresì, per il personale medico nella diagnosi di patologie.
Le linee guida sull’impiego dei sistemi AI
Il 9 novembre 2021 il ministero della Salute ha fornito delle linee guida sull’impiego dei sistemi di AI in questo settore. In particolare, tecnologie basate sull’AI controllano già oggi le grandi apparecchiature di diagnostica per immagini (quali Tomografia computerizzata o Risonanza magnetica), standardizzando i protocolli di acquisizione e riducendo drasticamente i tempi di acquisizione degli esami, al fine di migliorare la compliance e il comfort dei pazienti. Esistono anche algoritmi in grado di supportare il radiologo nell’identificazione di patologie (quali noduli mammari o polmonari, fratture ossee, pneumotorace eccetera eccetera), riducendo al minimo gli errori di percezione oppure aiutare lo specialista nella caratterizzazione di lesioni (a esempio, il dermatologo con il melanoma cutaneo), con lo scopo di migliorare la diagnosi.
In ogni caso, va rimarcata la necessità di accrescere l’impiego dell’AI, quale valido supporto in ogni campo, primo tra tutti in quello scientifico, senza dimenticare che le macchine non potranno mai sostituire la mente umana.