La cronaca offre continui spunti per ricordare la pericolosità della cybersecurity nella sanità. Questa volta è il caso di Multimedica, dove un attacco dal 25 aprile sta paralizzando ambulatori e l’ospedale San Giuseppe di Milano. L’ospedale è stato colpito da un ransomware che ne ha pesantemente messo in crisi l’attività. Intanto sul web è possibile recuperare gratuitamente i dati rubati alla ASL di Alessandria con un attacco nel dicembre dello scorso anno, per non parlare dei 552 GB di dati sanitari e di pazienti sottratti all’ASL 1 dell’Abruzzo e pubblicati sul web di cui si è saputo poche settimane fa.

Il documento Threat Landscape Report Italy, realizzato da SOCRadar, mostra poi come il 15 luglio 2022 sia stato messo in vendita un database di medici e pazienti italiani. “Per i cybercriminali i dati sanitari valgono di più di quelli finanziari perché all’interno delle cartelle cliniche ci sono informazioni strutturate che non cambiano nel tempo, come potrebbero accadere invece per i dati bancari. Si tratta di un tesoro immenso in quanto contengono metadati, ovverosia dati trasversali che hanno diversa natura: dall’anagrafica, passando per i dati assicurativi, fino alle relazioni familiari”, osserva Marzio Ghezzi, CEO di Mia-Care , fornitore tecnologico per la sanità digitale.

Gli attacchi più comuni

Secondo Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care, lo studio sulla cybersecurity nel settore sanitario pubblicato da Proofpoint e Ponemon Institute, l’89% delle organizzazioni intervistate ha subito una media di 43 attacchi negli ultimi 12 mesi, quasi uno a settimana. Oltre il 20% ha subito i quattro tipi di attacchi più comuni – compromissione del cloud, ransomware, supply chain e compromissione delle e-mail aziendali (BEC)/Spoofing Phishing – registrando, questo il dato più eclatante, in parallelo un aumento dei tassi di mortalità dei propri pazienti.

Poi c’è tutto il resto con i dati dei pazienti che circolano liberamente nel Dark Web. Una nota di Mia-Care mette in fila un po’ di dati che danno l’idea della drammaticità della situazione. Nel 2022 infatti ci sono stati in media 1463 di cyberattacchi alla settimana (209 al giorno) per l’industria healthcare, in aumento del 74% rispetto al 2021: una singola violazione di dati nella sanità costa oltre dieci milioni di dollari. “In futuro gli attacchi continueranno a crescere e saranno sempre più sofisticati: crittografia end-to-end dei dati, segmentazione della rete e controllo degli accessi per un patient data security a prova di hacker”, aggiunge Ghezzi.

La sanità è la prima industry per crescita percentuale degli attacchi anno su anno e la terza per cyberattacchi complessivi dietro al settore “Accademico-Istituzionale” (2314) e “Governativo-Militare” (1661). A livello di data breach (quindi di effettive violazioni e recupero di dati da parte dei pirati informatici), il Dipartimento della salute e dei servizi umani americano evidenzia come nel 2022 ci siano state 707 violazioni per un totale di quasi 52 milioni di record di dati sottratti: in Italia l’unico dato disponibile arriva dal Rapporto Clusit 2023 dove si legge che i cyberattacchi negli ultimi quattro anni sono triplicati passando dai 3 del 2018 ai 9 del 2021 e 2022, con una severity che nell’ultimo anno è critica nel 78% dei casi e alta nel restante 22%.

Quanto costa un attacco

I costi riguardante la violazione dei dati sono allarmanti: il Cost of Data Breach Report 2022 di IBM mette in evidenza come per 12 anni consecutivi il settore della sanità abbia registrato il costo medio più alto per una violazione arrivando nel 2022 a 10,10 milioni di dollari, un dato in crescita del 42% e quasi il doppio rispetto al costo medio del settore finanziario, al secondo posto in questa speciale classifica con 5,97 milioni di dollari. “Strutture sanitarie a corto di risorse in materia di cybersicurezza, strutture informatiche particolarmente vulnerabili, mancanza di know how specifico per affrontare attacchi informatici sempre più sofisticati sono solo alcune delle cause che spiegano questi numeri – afferma Ghezzi – Grazie all’utilizzo di tecnologie d’intelligenza artificiale come ChatGPT che possono generare codici maligni e fake email ad un ritmo sempre più rapido e automatizzato, ci aspettiamo che in futuro gli attacchi informatici alle strutture sanitarie continueranno a crescere e saranno sempre più sofisticati”.

Sempre secondo il rapporto sulla Cyber Insecurity nell’Healthcare, le minacce peggiori arrivano dai dispositivi medici connessi alla rete spesso non inclusi nella strategia di cybersecurity, dall’impreparazione verso le compromissioni tramite cloud, la continua aggressione da parte dei ransomware e la scarsa preparazione da parte delle aziende sanitarie. I danni sono enormi. Negli Usa il singolo cyberattacco più dannoso è costato in media 4,4 milioni di dollari negli ultimi 12 mesi, con una perdita di produttività di circa 1,1 milioni di dollari.

Investimenti, programmi di formazione e sensibilizzazione e monitoraggio dei dipendenti sono le armi principali per contrastare i cybercriminali la cui azione preoccupa i responsabili italiani della sanità soprattutto per la privacy. Il documento Future Health Index 2022 afferma infatti che il 41% mette al primo posto sicurezza e privacy dei dati; un dato nettamente superiore alla media globale (20%) e a quella degli altri paesi europei (21%).

Sempre secondo il report realizzato da IBM, la prima causa di un data breach sono gli errori nei sistemi IT, causati dall’interruzione o dal malfunzionamento dei sistemi informatici con il 24%: queste falle includono errori nei codici sorgente o malfunzionamenti dei processi come errori nelle comunicazioni automatizzate. Segue con il 21% l’errore umano causato involontariamente da negligenza di dipendenti o collaboratori esterni, il 19% riguarda gli attacchi alla supply chain, il 17% attacchi distruttivi, l’11% attacchi ransomware e il restante 8% altra tipologia di attacchi malevoli.

Come difendersi

La strategia di difesa, secondo Mia-Care non può prescindere dalla crittografia end-to-end dei dati che devono essere crittografati a riposo (compreso il back-up in rete e nel cloud) e in transito, con strumenti di decodifica memorizzati su un dispositivo o in un luogo separato. Fondamentale è il controllo degli accessi: solo le persone che devono conoscere determinate informazioni possono avere accesso. E anche in questo caso, devono avere accesso solamente allo specifico sottoinsieme d’informazioni di cui hanno bisogno per svolgere le loro mansioni. Occorre fare affidamento sull’autenticazione a due o più fattori (2FA/MFA), idealmente utilizzando un dispositivo fisico con chiave di sicurezza. Periodicamente deve essere effettuata l’analisi dei rischi informativi. In base al risultato, non solo si può andare a rafforzare il sistema dove si presume possano crearsi falle nel futuro ma si riescono a identificare nuovi ambiti in cui è opportuno creare un piano d’azione di difesa dei dati. È fondamentale attivare sempre procedere di backup criptati e risk mitigation.

I dati devono essere segmentati: è essenziale mantenere i dispositivi diagnostici e di monitoraggio dei pazienti critici in una parte separata del sistema IT utilizzando la virtualizzazione della rete. I monitor acquisiscono la diagnostica della salute del paziente in tempo reale e nel caso in cui gli hacker s’introducano nella rete informatica principale, non devono avere la possibilità di spostarsi all’interno della struttura e accedere alle cartelle cliniche dei pazienti o ai dispositivi medici. Infine, c’è la formazione del personale perché una buona percentuale dei data breach arriva grazie e errori umani. La sicurezza dei dati dei pazienti dipende dalle pratiche del personale e la formazione su questo tema deve essere fatta a tutti i livelli per assicurarsi che i dipendenti comprendano il loro contributo nel mantenere i dati sicuri e i sistemi liberi da interferenze indesiderate.