Fino pochi anni fa il settore sanitario era stato “risparmiato” da attacchi e truffe informatiche, un po’ per le modeste prospettive di guadagno di questi criminali digitali, un po’ per l’approccio gestionale prevalentemente analogico di strutture ospedaliere, studi medici e poliambulatori.
Nel tempo gli operatori sanitari si sono via via digitalizzati, svelando quanto siano purtroppo vulnerabili i propri sistemi di archiviazione e gestione amministrativa. Con l’aggravante che i dati che gestiscono queste aziende sono straordinariamente delicati e sensibili. E con un ulteriore paradosso: più i medici hanno iniziato ad adottare diffusamente le tecnologie (smartphone, tablet, software gestionali, archiviazione dei dati in cloud, sistemi di telemedicina, ecc.) e più queste architetture sono sofisticate, più anche il loro mondo è diventato appetibile per il cyber crime.
Un allarme lanciato dall’FBI
Lo scenario di pericolo del settore è identico in Europa come in America: gli attacchi hacker ai danni del settore sanitario si sono moltiplicati, tanto da rendere quanto mai attuale il problema della sicurezza informatica. L’organizzazione mondiale della sanità (Oms) definisce come settore sanitario “l’insieme di risorse, assetti, personale e istituzioni che forniscono assistenza sanitaria, finalizzato a tutelare la salute della popolazione”.
Fatta questa precisazione, è evidente che qualsiasi evento in grado di turbare la capacità di erogare servizi così essenziali ha un impatto diretto sul benessere dei cittadini. La sicurezza per la sanità, quindi, è una caratteristica vitale e la protezione dei suoi assetti riveste caratteristiche di interesse nazionale. A maggior ragione se si considera che il mondo della sanità lavora ogni giorno con dati che, per il legislatore, sono sensibili e da proteggere.
L’allarme minacce informatiche è stato lanciato persino dall’FBI: in una nota del 30 marzo scorso, in piena emergenza pandemica per il Covid 19, il Bureau ha “rilanciato” un articolo di Europol del 27 marzo 2020, affermando chiaramente che la sanità è diventata bersaglio di attacchi di cyber criminali. Era il terzo bollettino FBI dall’inizio dell’anno.
Rapporto Clusit: la sanità italiana è sotto attacco
La dimensione del fenomeno è stata ben illustrata nel rapporto del Clusit, l’Associazione italiana per la sicurezza informatica: tra il 2017 e il 2018 c’è stata una crescita del 99% degli attacchi cyber contro il mondo sanitario, con il costo medio per incidente che aumenta del 7% ogni anno.
Stando a quanto rilevato dall’Osservatorio Security & Privacy del Politecnico di Milano, guidato dal professore Gabriele Faggioli, nel 2019 il settore sanitario è balzato al terzo posto quanto ad attacchi informatici, subito dopo i settori governativo-militari dell’intelligence e agli attacchi dedicati a “bersagli multipli”.
Nel corso dei 12 mesi presi in esame, ci sono stati 162 cyberattacchi, come si legge nella relazione illustrata in occasione del convegno dal titolo “Spazio cibernetico bene comune”, organizzato dal Garante per la Protezione dei Dati personali per la Giornata Europea per la protezione dei dati, il 30 gennaio 2020, alla presenza del presidente dell’Autorità Garante, Antonello Soro.
Il principale sistema di attacco: il malware
La vulnerabilità del settore si manifesta soprattutto rispetto ad attacchi con malware: si tratta di particolari software “cattivi”, sviluppati con l’obiettivo di infettare computer e dispositivi mobili rendendoli non più disponibili, praticamente bloccati, sequestrati. L’attacco diventa possibile e reale perché molti computer hanno sistemi di protezione obsoleti, debole se non addirittura inesistenti. Il malware riesce così a penetrare nel sistema e a muoversi lungo i canali più deboli, sino ad aprire una backdoor nella rete.
Fra i malware più diffusi nel settore della sanità ci sono i ransomware. Il più noto, su scala mondiale, è stato il WannaCry, chiamato anche WanaCrypt0r 2.0, che si è reso responsabile di un’epidemia su larga scala avvenuta nel mese di maggio 2017 su computer con installato Windows di Microsoft.
Nella maggior parte dei casi gli attacchi avvengono sotto forma di file allegati a delle semplici email ingannevoli oppure tramite banner pubblicitari equivoci o ancora attraverso richieste di aggiornamento di un programma: quante volte ci è capitato di ricevere questa tipologia di mail? Quante volte siamo stati tentati di aprire questi file e quante volte lo abbiamo fatto in concreto? Ciò che succede ai singoli, può capitare alle strutture sanitarie. Ma il blocco per un ospedale ha conseguenze catastrofiche.
Alcuni casi di violazione della sicurezza
A questo punto, appare opportuno fare qualche esempio concreto, così come raccontato dalle cronache. SingHealth, la più grande istituzione sanitaria di Singapore, ha subito un attacco che comprometteva le informazioni personali di 1,5 milioni di pazienti e i dettagli delle prescrizioni per altri 160 mila. In Australia, i medici dell’Ochre Health Medical Centre a Wollongong non hanno potuto accedere alle cartelle cliniche per due settimane.
In Italia, sempre stando al rapporto Clusit, ci sono state 17 incursioni ai danni di siti istituzionali di ospedali e Asl, rivendicati poi dagli attivisti di Anonymous. I buchi più gravi (tecnicamente si parla di data breach) sono avvenuti ai danni dell’ospedale Sant’Andrea di Roma: in questo caso sono state rese pubbliche 12.143 tra email, username e password. Tutti classificabili come dati sensibili. Le cronache nazionali hanno raccontato di attacchi del tipo “ransomware” ai danni dell’Ospedale Fatebenefratelli di Erba e del Policlinico di Messina. Più di recente anche lo Spallanzani di Roma.
Non bisogna dimenticare che un altro sistema usato dai cybercriminali per sferrare l’attacco è costituito dall’IOT (Internet of Things), ovvero l’insieme di dispositivi messi in rete. Per gli hacker risulta facile trovare il device più vulnerabile e attaccarlo. Per intendersi, anche un Holter, un ecografo o un apparecchio per la spirometria può essere “bucato” e spalancare la porta all’intera rete informatica interna all’azienda.
Da ultimo, non va sottovalutato il fattore umano: il personale che lavora nelle strutture sanitarie, medici, infermieri e amministrativi devono essere adeguatamente informati e formati sui rischi degli attacchi hacker perché sono loro che gestiscono i computer e i dispositivi, aprono e rispondono alle caselle di posta elettronica. A differenza di tutti gli altri settori, infatti, la gran parte delle violazioni in sanità avvengono per colpa (quasi mai per dolo) di chi lavora all’interno delle strutture. Lo evidenzia il Data breach investigations report (Dbir) del 2019.
Richieste estorsive, truffe, mercato delle identità
C’è da chiedersi, allora, per quale motivo il mondo della sanità interessa così tanto ai cyber criminali? La risposta è legata, in primis, alla possibilità di ottenere guadagni economici di rilievo perché nel momento in cui viene messo in atto l’attacco, il sistema informatico si blocca, non può essere più usato ed è a questo punto che gli hacker sono pronti a consegnare la richiesta di “riscatto”: c’è la pretesa di ottenere il pagamento di una somma di denaro per liberare il software gestionale e il data base aziendale che, di fatto, sono stati presi in ostaggio.
Vengono così a delinearsi contesti pericolosi che alimentano richieste estorsive nella grande rete di Internet.
Altra situazione si manifesta quando l’attacco è finalizzato a rubare dati personali che andranno poi ad alimentare il mercato nero delle false identità, al quale sono interessate organizzazioni criminali e anche terroristiche. Quest’ultimo aspetto è stato evidenziato nella relazione annuale dei Servizi di sicurezza interna italiani.
E’ di tutta evidenza che l’universo dell’healtcare sia diventato una vera e propria miniera d’oro per gli hacker per l’effetto combinato di due elementi: il basso livello di protezione e l’alta possibilità di guadagno.
Quanto costa un attacco informatico
L’aspetto della quantificazione dei costi, anche se non semplicissimo è possibile, stando a quanto sostenuto di recente dall’amministratore delegato di Innovery, Gianvittorio Abate, e riportato da il Sole 24 Ore.
Nei dati citati da Cybersecurity360 emerge che un singolo “colpo” messo a segno da un criminale digitale vale in media 150 dollari; ma se il bersaglio è in ambito sanitario, la cifra sale sopra i 400 dollari! Va però considerato che il costo per l’azienda non si limita al pagamento del riscatto. Queste incursioni danneggiano i sistemi e rimetterli in sesto genera grandi costi, ai quali si sommano inesorabilmente gli investimenti in sicurezza (ovvero si chiude la stalla dopo che i buoi sono scappati).
Pertanto, anche nel mondo digitale, vale il principio per cui la prevenzione è sempre meglio che curare la malattia.
Per capire cosa c’è in gioco, ci basti quest’ultimo dato: i danni causati dal precedentemente citato malware Wannacry, secondo alcune stime ha generato danni per quattro miliardi di euro, distribuiti fra 150 nazioni.
L’applicazione della normativa europea GDPR
Non va poi dimenticato che la sicurezza è anche un obbligo di Legge. Le strutture sanitarie, siano esse pubbliche o private, conservano e trattano una mole di dati delicati, definiti appunto sensibili dal legislatore europeo: di rilievo, infatti, è il GDPR che impone alle Strutture una serie di obblighi necessari a garanzia della privacy, prendendo in considerazione tanto gli aspetti relativi alla protezione, quanto quelli che si riferiscono alla governance degli stessi dati.
Con riferimento al rischio di attacchi hacker, è necessario che i dati siano a prova di privacy, security e safety. Privacy vuol dire che i dati devono essere sempre al riparo da occhi non desiderati e in quanto tali indiscreti; security significa che i dati devono essere protetti da possibili lesioni e quindi devono essere inattaccabili; safety implica la necessità che i dati siano sempre al sicuro, anche nel caso in cui dovessero essere registrati danneggiamenti.
Affinché sia garantita la sicurezza in ambito sanitario è necessario che si affrontino quattro aspetti.
In primo luogo, la conservazione dei dati (Data Preservation), ossia la necessità di garantire che le informazioni digitali di valore prolungato nel tempo rimangano accessibili ed utilizzabili.
In secondo luogo, l’accesso e la modifica dei dati (Data access and modification): questo aspetto attiene alla memorizzazione e al recupero di dati conservati in database o altri archivi.
In terzo luogo, lo scambio di dati (Data exchange), da realizzare sia internamente (stesso ente sanitario) che esternamente.
Infine, interoperabilità e conformità (Interoperability and compliance) per stabilire fino a che punto i sistemi e i dispositivi sono in grado di scambiare dati e informazioni condivisi, fermo restando il rispetto delle disposizioni normative.
Software avanzati per poliambulatori o studi specialistici come CGM XMEDICAL permettono di gestire al meglio e con esaustività tutti questi delicati aspetti concernenti la privacy dei dati sanitari sensibili gestiti dalle strutture.
E ci sono anche moduli specifici che ben si integrano con le soluzioni già in essere presso il proprio Studio e monche rispetto alla questione GDPR Compliance, uno fra tutti il CGM DATA PROTECT.
- Richiedi info e una demo gratuita di CGM XMEDICAL
- Iscriviti alla newsletter CGM XMEDICAL e ricevi gratuitamente contenuti di valore, utili per la tua professione
