Un attacco informatico a una clinica o a un ospedale è letteralmente una questione di vita o di morte. Nel 2020, i sistemi sanitari di tutto il mondo stavano già crollando sotto la pressione della pandemia dovuta al COVID-19, e le azioni dei criminali informatici hanno solo aggravato la situazione. Una delle minacce più significative dello scorso anno per le strutture mediche ha avuto a che fare con gli attacchi ransomware, attacchi informatici in cui i cybercriminali cifrano i dati e cercano di estorcere denaro minacciando di pubblicare le informazioni rubate.
Le conseguenze di questi attacchi sono molteplici. Oltre all’ovvia e pericolosa interruzione dei servizi medici, le aziende sanitarie possono affrontare ripercussioni a lungo termine che vanno dalle multe inflitte per violazione delle norme alle richieste di risarcimento da parte dei pazienti i cui dati personali sono stati violati.
Incidenti ransomware di alto profilo
Uno dei casi più discussi dell’anno scorso, che evidenzia la portata del problema, riguarda l’attacco ransomware Ryuk agli Universal Health Services (UHS), avvenuto lo scorso settembre. Il gruppo gestisce 400 strutture mediche negli Stati Uniti, nel Regno Unito e in altri paesi. Fortunatamente, non tutti gli ospedali e le cliniche ne hanno risentito, anche se l’attacco ha colpito le strutture UHS in diversi stati degli USA. L’incidente è avvenuto di domenica mattina presto: i computer dell’azienda non si sono avviati e alcuni dipendenti hanno ricevuto una richiesta di riscatto. Anche la rete telefonica è stata colpita. Il dipartimento IT ha dovuto chiedere al personale di lavorare alla vecchia maniera, cioè senza strumenti informatici. Naturalmente, questo ha causato grandi interruzioni nel flusso di lavoro abituale della clinica, con implicazioni sulla cura dei pazienti, i test di laboratorio e altro. Alcune strutture hanno dovuto derivare i pazienti presso altri ospedali.
Secondo la dichiarazione ufficiale di UHS, non c’era “nessuna prova di un accesso non autorizzato, di copia o di uso improprio di dati di pazienti o di dipendenti”. A marzo di quest’anno, l’azienda ha pubblicato un report secondo il quale l’attacco avrebbe causato 67 milioni di dollari di danni, tra cui i costi di recupero dei dati, la perdita di entrate a causa del tempo di inattività, un minor numero di pazienti in cura e altro ancora.
Nel frattempo, un incidente che ha interessato Ascend Clinical, specializzata in servizi di diagnostica di malattie renali, ha portato a una violazione dei dati di oltre 77 mila pazienti. La causa dell’infezione è nota: un dipendente ha cliccato su un link di un’e-mail di phishing. Dopo essere penetrati nel sistema, i cybercriminali hanno messo le mani, tra le altre cose, sui dati personali dei pazienti come nomi, date di nascita, numeri di previdenza sociale.
Un attacco a Magellan Health nell’aprile del 2020 ha compromesso i dati personali sia dei dipendenti che dei pazienti (si parla di 365 mila vittime, secondo i media). I criminali informatici sono riusciti in qualche modo, attraverso l’ingegneria sociale, a farsi spacciare per un cliente, ottenere l’accesso alla rete interna, per poi servirsi di un malware per intercettare le credenziali di accesso e, infine, cifrare i dati presenti sul server.
In generale, quando attaccano le strutture sanitarie, i criminali informatici preferiscono cifrare e rubare i dati dai server piuttosto che dalle workstation. È quanto avvenuto sui server del Florida Orthopedic Institute, quando i cybercriminali hanno cifrato i dati (precedentemente rubati) di 640 mila pazienti. Il tutto è poi sfociato in una class action piuttosto pesante.
Vi abbiamo proposto solo qualche esempio di incidenti di alto profilo recuperati dalle notizie dell’anno scorso. In realtà, ne avevamo a decine tra cui scegliere.
Come possono difendersi le istituzioni sanitarie?
Un malware può penetrare in un sistema in svariati modi: allegati e-mail, link di phishing, siti web infetti e altro. I criminali informatici possono rubare le credenziali di accesso da remoto, raggirare i dipendenti con l’ingegneria sociale o semplicemente ricorrere ad attacchi di forza bruta. Il vecchio detto medico secondo cui prevenire è meglio che curare si applica altrettanto bene alla cybersecurity, e in particolar modo quando parliamo di ransomware. Ecco i nostri consigli di prevenzione per tutto ciò che riguarda la sicurezza informatica:
- Proteggete e non solo i computer. Parliamo anche di smartphone aziendali, tablet, terminali, punti informativi, attrezzature mediche e assolutamente qualsiasi altro sistema con accesso alla rete aziendale e a Internet;
- Mantenete sempre aggiornati tutti i dispositivi e, di nuovo, non solo i computer. Pensare alla sicurezza informatica, diciamo, di un tomografo potrebbe non sembrare una priorità, ma in realtà si tratta comunque di un computer con un sistema operativo che potrebbe contenere delle vulnerabilità. Idealmente, la sicurezza dovrebbe giocare un ruolo importante nella scelta dell’attrezzatura. Prima dell’acquisto, chiedete almeno al fornitore di confermarvi se effettua aggiornamenti del software;
- Installate soluzioni di sicurezza per la posta elettronica. Proteggere le comunicazioni elettroniche è vitale: le strutture mediche ricevono molte e-mail, anche di spam, che possono contenere non solo della robaccia innocua ma anche allegati pericolosi;
- Formate tutti i dipendenti, anche personale amministrativo, medici e chiunque altro abbia a che fare con le tecnologie, offrendo loro le nozioni base di cybersecurity awareness. Ormai la digitalizzazione fa sempre più parte dell’assistenza medica, dalle cartelle cliniche in formato elettronico alle visite mediche online in videochiamata. Essere a conoscenza dei fondamenti della cybersicurezza deve diventare una parte della routine lavorativa come l’uso della mascherina durante un’operazione chirurgica;
- Molti attacchi ransomware moderni sono condotti in modo “certosino”, se così si può dire. I criminali informatici che elaborano i moderni attacchi ransomware tendono a non diffondere malware a caso, ma piuttosto a cercare il modo di infettare i computer e i server di alcune vittime nello specifico, spesso utilizzando l’arte dell’ingegneria sociale. A volte, dopo essersi infiltrati in una rete, studiano a lungo l’infrastruttura alla ricerca dei dati più preziosi. Per rilevare tali attacchi, per i quali la protezione degli endpoint potrebbe non essere sufficiente, si consiglia di coinvolgere un servizio di Managed Detection Response per monitorare la vostra infrastruttura da remoto.