Secondo una recente ricerca compiuta dal servizio Cyber Risk Indicators di Swascan sulle criticità del settore sanitario, che ha preso in considerazione nel mese di agosto 2021 venti strutture pubbliche e private tra le prime 100 in termini di dimensione, fatturato e reputazione, una percentuale significativa del campione analizzato corre un rischio concreto di subire un cyber-attacco. In particolare sono state individuate, secondo lo standard internazionale Cve, vulnerabilità basse nella misura dell’11%, vulnerabilità alte per il 14% e vulnerabilità medie per il 75%, con un totale di 468 email compromesse in media per dominio.
L’accelerazione impressa dalla pandemia da Covid-19 alla digital transformation ha messo le strutture sanitarie nelle condizioni di doversi adeguare in fretta, adottando dispositivi e tecnologie all’avanguardia che, se da un lato migliorano notevolmente l’efficienza e l’organizzazione del sistema, dall’altro espongono maggiormente a minacce cyber. Il problema è reale e molto sentito, soprattutto nel settore health, dove gli investimenti in sicurezza informatica – nonostante casi virtuosi – sono perlopiù ancora molto ridotti.
Le principali tecniche di attacco informatico
L’attacco preferito dagli hacker è condotto tramite ransomware e ha come fine l’estorsione di denaro. Si tratta di un virus informatico in grado di criptare tutti i dati del sistema infettato, che diventano inutilizzabili finché gli aggressori non rilasciano, dietro pagamento, una chiave di decriptazione. Secondo le stime di Cybersecurity Ventures entro il 2031 tale attacco supererà i 265 miliardi di dollari a livello globale.
Molto utilizzata anche la tecnica del phishing, che consente di impossessarsi di preziosi dati personali ingannando la vittima per accedere al proprio computer. In questo caso incide la disattenzione delle persone che, senza volerlo, vengono invogliate a cliccare su link dannosi. Le tipologie di attacco però non si limitano a questi due esempi, ci sono ad esempio i botnet, grandi reti di computer compromessi, la cui potenza di elaborazione viene utilizzata all’insaputa dell’utente per svolgere attività criminali come l’esecuzione di attacchi DDoS, ma anche il furto di credenziali di accesso a servizi aziendali.
Gli esperti Clusit (Associazione italiana per la sicurezza informatica), nel Rapporto sulla sicurezza ICT in Italia e nel mondo hanno messo in luce che nella Sanità il 55% degli attacchi a tema Covid-19 è stato perpetrato a scopo di cybercrime, ovvero per estorcere denaro, mentre nel 45% dei casi la finalità è di “Espionage” e di “Information warfare”. Nel secondo semestre del 2020 rispetto allo stesso periodo del 2019 le violazioni di dati sensibili a strutture ospedaliere e della sanità sono aumentate del 177%.
Esempi di attacchi ai sistemi sanitari in Italia e nel mondo
Il 12 maggio 2017 il malware noto come WannaCry infettò i sistemi informatici di numerose aziende e organizzazioni in tutto il mondo, tra cui il National health service, il sistema sanitario nazionale del Regno Unito. In pochi giorni furono colpiti oltre 230.000 computer in 150 paesi: è stato uno dei maggiori contagi informatici mai avvenuti. Gli attacchi si sono susseguiti negli anni, alcuni esempi? La scorsa primavera sono stati interrotti i servizi informatici ospedalieri della Nuova Zelanda e quasi contemporaneamente sono finiti sotto scacco i sistemi sanitari irlandesi.
Anche in Italia da tempo virus informatici minacciano le strutture sanitarie, 35 dal 2019. Il caso più recente ed eclatante è quello della Regione Lazio, il cui Centro elaborazione dati e sistema informatico sono finiti sotto attacco hacker il 30 luglio scorso. Per evitare la perdita dei dati sanitari di 5,8 milioni di persone, il sistema di erogazione dei servizi informatici è stato temporaneamente bloccato, compreso quello della gestione della campagna vaccinale.
Rischi dei cyber attacchi
L’obiettivo dei criminal hacker sono gli attacchi diretti alle strutture sanitarie, ma anche le cartelle cliniche dei singoli pazienti, che hanno un valore molto alto e sono sempre più ambite: “Conoscere la storia sanitaria di una persona può essere uno strumento decisivo per un’assunzione, l’erogazione di un mutuo, o per venderle prodotti mirati. È il motivo per cui gli ospedali sono diventati uno dei principali bersagli dei pirati informatici (Attacchi hacker, dati sanitari in pericolo: la lista segreta dei 35 ospedali colpiti”, Milena Gabanelli e Simona Ravizza, Corriere, 28 settembre 2021)”. Secondo un rapporto della CBS, le cartelle cliniche possono essere vendute fino a mille dollari ciascuna sul dark web. I cyber attacchi, bloccando ad esempio prenotazioni di visite e interventi e mandando in tilt l’organizzazione di un ospedale, mettono inoltre a rischio anche la salute e la sicurezza delle persone.
Lo scenario futuro
Di fronte a un panorama sempre più variegato di minacce, i reparti di cybersecurity nel mondo hanno cercato di rafforzare il livello di sicurezza delle rispettive aziende. Il report Voice of the CISO 2021 di Proofpoint, che si basa su un sondaggio condotto tra 1.400 Chief Information Security Officer a livello internazionale, rivela che due terzi degli intervistati si sentono impreparati ad affrontare un attacco informatico. Difendersi in modo efficace è in effetti sempre più complesso. I pericoli informatici non derivano infatti solo dalla ricezione di false email con allegati malevoli, ma soprattutto dall’utilizzo di sistemi operativi obsoleti e scarsa formazione sulla sicurezza informatica da parte degli utenti. Scarsi livelli di protezione e di formazione sulla cyber security, password deboli o condivise, pratiche di sicurezza limitate espongono gli ospedali ai pericoli dell’hackeraggio.
I rischi informatici per il sistema sanitario italiano e le possibili soluzioni per correre ai ripari saranno al centro dell’incontro online “Cybersecurity per la Sanità digitale: conoscere per non rischiare” in programma il 28 ottobre 2021 nell’ambito di Forum PA Sanità, evento digitale organizzato da FPA e P4I-Partners4Innovation, società del Gruppo Digital360. Data Protection Officer (DPO), Responsabili della sicurezza informatica (CISO) e dell’Ingegneria Clinica, Risk Manager, Responsabili Qualità, nonché Referenti della Direzione Sanitaria e Generale si confronteranno durante i lavori per indicare le azioni coerenti e prioritarie per una sanità digitale e sicura
Gli appuntamenti di Forum PA Sanità 2021, tutti gratuiti, saranno trasmessi in streaming sulla piattaforma di diretta di FPA, per seguirli è necessario accreditarsi dal sito dell’evento.