Come affrontare la sfida cyber per la sanità? La ricetta di Giustozzi (Campus Bio-Medico)

Il settore healthcare è da tempo uno dei bersagli preferiti da parte della criminalità cibernetica transnazionale, con casi sempre più frequenti e clamorosi di strutture sanitarie violate e dati dei pazienti esfiltrati o addirittura diffusi in rete. Attacchi del genere rappresentano un vero e proprio pericolo sociale in quanto non solo comportano danni economici diretti alla struttura colpita, ma hanno anche gravi conseguenze sulla privacy dei pazienti e, soprattutto, espongono a rischio la loro salute, privandoli dei servizi di assistenza di cui necessitano.

IL TREND DEI RANSOMWARE

La maggior parte di questi attacchi è di natura estorsiva e avviene mediante un tipo di software malevolo denominato ransomware (da ransom, riscatto) che, inoculato dai criminali nei sistemi informatici della struttura vittima, ne blocca le funzionalità e/o ne esfiltra i dati. Gli attaccanti richiedono poi alla vittima il pagamento di un riscatto per ripristinare il funzionamento dei sistemi e/o restituire (ovvero non divulgare) i dati sottratti. Purtroppo, questa tipologia di crimini è in forte crescita perché risulta molto conveniente per chi lo esercita:
da un lato, infatti, è relativamente facile da compiere, mentre la probabilità che i colpevoli vengano identificati e puniti è molto bassa; dall’altro, le strutture sanitarie sono generalmente impreparate a fronteggiare la mi- naccia e quindi rappresentano vittime ideali.

SAFETY E SECURITY

I motivi per cui la sanità risulta particolarmente colpita da questo tipo di attacchi sono essenzialmente tre, indipendenti ma complementari.
Anzitutto l’impreparazione culturale. Gli operatori sanitari hanno fortissimo il senso della safety, ossia della tutela della salute e della vita dei propri pazienti contro eventi nocivi di natura accidentale; ma molto meno quello della security, ossia della protezione contro azioni malevole condotte deliberatamente verso la struttura operante. Spesso, anzi, la security viene percepita come un ostacolo all’operatività, vissuta con insofferenza se non con ostilità. Questa scarsa sensibilità favorisce ovviamente i malintenzionati, i quali sanno che le proprie vittime saranno proba- bilmente impreparate ad affrontare gli attacchi rivolti loro.

DIVARIO TECNOLOGICO

In secondo luogo, l’arretratezza tecnologica. Salvo rare eccezioni, l’informatica nel settore sanitario è di solito percepita come una funzione di basso livello e meramente tecnica, a cui vengono assegnati pochi investimenti in tecnologie e in personale. Di conseguenza il parco dei sistemi informatici delle organizzazioni sanitarie non è solo obsoleto tecnologicamente, ma anche strutturato in modo assai elementare per facilitarne la gestione da parte delle poche risorse disponibili. Ciò va ovviamente a scapito della sicurezza informatica, poiché situazioni del genere sono caratterizzate da innumerevoli vulnerabilità tecniche e architetturali intrinseche, che costituiscono altrettanti punti privilegiati di attacco da parte dei malintenzionati.

IL RISCHIO CLINICO

Infine, l’ultimo elemento è caratterizzato dai valori in gioco. Ciò che viene realmente messo a rischio da un attacco contro una struttura sanitaria non è il profitto o il business aziendale, ma la salute dei pazienti ricoverati o assistiti. I criminali lo sanno bene, ed è infatti questo il principale fattore di pressione su cui fanno leva: le loro vittime hanno molto da perdere e saranno quindi più disposte a cedere al ricatto.
A fronte di ciò, vi è chi propone da tempo di ampliare il concetto di “rischio clinico” per ricomprendervi anche il cosiddetto rischio cyber. Non si può più trascurare l’eventualità che un soggetto fragile possa essere privato della necessaria assistenza primaria a seguito di un attacco cibernetico di matrice criminale rivolto alla struttura che lo ospita, con conseguenze che potrebbero anche risultare fatali.

IL RAPPORTO ENISA

Vari studi recenti hanno iniziato a far luce sulla portata degli attacchi criminali contro il settore sanitario, ne emerge la conferma che il fenomeno costituisce oramai una vera e propria emergenza sociale. Forse quello più interessante e completo, ancorché non recentissimo, è il rapporto “Enisa threat landscape: health sector” pubblicato nel luglio del 2023 dall’Agenzia dell’Unione europea per la cybersecurity (Enisa). Prende in esame ben 215 incidenti significativi occorsi tra gennaio 2021 e marzo 2023, non solo in strutture sanitarie in senso stretto ma anche presso altre organizzazioni quali laboratori di analisi, industrie farmaceutiche, produttori di dispositivi medici e biotecnologie, autorità sanitarie, agenzie governative che operano nell’ambito della sanità, assicurazioni sanitarie, organizzazioni che offrono assistenza domiciliare e servizi di caregiving.

TUTTI I NUMERI

Secondo il rapporto la nazione europea con il maggior numero di incidenti significativi nel periodo di riferimento è stata la Francia, con 43 episodi, seguita dalla Spagna con 25, dalla Germania con 23, dai Paesi Bassi con 20 e dall’Italia con 19. Ben 89 di questi incidenti hanno coinvolto ospedali, mentre altri 23 hanno interessato strutture sanitarie di diverso tipo: complessivamente il 53% degli incidenti; il restante 47% è andato invece a carico di altre organizzazioni che non forniscono prestazioni sanitarie. Il 54% degli incidenti è stato provocato da ransomware e nel 46% dei casi si è verificata anche l’esfiltrazione di dati dell’organizzazione colpita. Analizzando gli andamenti annuali, si conferma un progressivo aumento degli incidenti dovuti a ransomware, un trend riscontrato anche in tutte le rilevazioni più recenti di altre fonti.

GLI ATTORI COINVOLTI

Per quanto riguarda gli autori degli attacchi, nel 60% di casi si è trattato di organizzazioni criminali, solo residualmente gli attacchi sono stati sferrati da attivisti e altre tipologie di avversari. Nell’83% dei casi la motivazione dell’attacco era puramente estorsiva, mentre solo nel 10% era di natura ideologica. Riguardo gli impatti, il 30% degli attacchi ha reso inutilizzabili o inaccessibili i dati dei pazienti o le cartelle cliniche; il 28% ha bloccato sistemi IT che gestivano servizi amministrativi; il 23% ha colpito sistemi IT che erogavano servizi sanitari; il 15% ha compromesso dati di natura amministrativa, contabile o di gestione del personale dell’organizzazione colpita. Le conseguenze principali sono state: nel 43% dei casi, il furto o la compromissione di dati personali o sanitari; nel 25% il malfunzionamento o il blocco di servizi di natura non sanitaria; nel 22% il blocco dei servizi sanitari; nel 3% un danno reputazionale; in un altro 3% il rischio per la salute dei pazienti; e, residualmente, il blocco di servizi non essenziali (2%), perdite economiche (1%) e contenziosi legali (1%). Per quanto riguarda, infine, il furto o la sottrazione di dati, nel 27% dei casi le vittime sono state ospedali, nel 15% industrie farmaceutiche e nel 14% autorità o agenzie nazionali; tutte le altre tipologie di operatori hanno registrato percentuali inferiori al 10% ciascuna.

LA STRADA DA SEGUIRE

Per contrastare questo crescente fenomeno è necessario un cambio di passo culturale. Va innanzitutto compreso che la cyber-security non riguarda solo le aziende tecnologiche bensì ogni organizzazione che faccia uso di reti e computer nella sua operatività quotidiana, perché l’informatica è una risorsa strategica per tutti. In secondo luogo, bisogna riconoscere che un attacco informatico non è un “fatto di natura” ineluttabile e imprevedibile ma un evento evitabile o rimediabile: se va a buon fine, di solito non è per merito dell’invincibilità dell’attaccante, ma per la negligenza dell’attaccato, che non si è difeso in modo adeguato o non si è difeso affatto. Le organizzazioni che operano nel mondo della sanità sono tra le più a rischio a causa delle loro peculiarità. Fronteggiare gli attacchi, prevenirli con efficacia e rispondendovi adeguatamente, è un’esigenza sociale che va affrontata in un’ottica di cooperazione sistemica, ma a livello operativo rimane responsabilità di ogni singola organizzazione. Occorre, quindi, che gli operatori sanitari sviluppino innanzitutto una corretta sensibilità al problema e che le alte direzioni si convincano della necessità di investire sufficienti fondi e risorse al rafforza- mento delle tecnologie, alla formazione del personale e all’istituzione di adeguati processi di resilienza. Il percorso è certamente lungo, complesso e oneroso, ma deve essere intrapreso al più presto perché la minaccia non cesserà di crescere.