Dati sanitari, nuovo oro per gli hacker. L’analisi di Saccone

Il settore sanitario europeo ha registrato ultimamente un significativo aumento degli attacchi informatici, con gravi ripercussioni sulla sicurezza dei dati dei pazienti e sulla continuità dei servizi medici. Nel primo trimestre del 2024, gli attacchi al settore sanitario italiano hanno subito un incremento dell’83% rispetto allo stesso periodo dell’anno precedente, evidenziando una crescente attenzione dei cybercriminali verso questo comparto critico.

Ma quali sono i servizi critici?

1. Sistemi di Gestione Sanitaria (HIS – Hospital Information Systems): Software che gestisce i dati clinici dei pazienti, cartelle elettroniche, prenotazioni, diagnosi e terapie. Se questi sistemi vengono attaccati o compromessi, l’erogazione delle cure potrebbe essere interrotta.
2. Infrastrutture IT e Data Center: Server che ospitano dati sanitari sensibili, referti digitali e dati amministrativi. L’indisponibilità di questi dati può bloccare l’intera struttura sanitaria.
3. Dispositivi Medici Connessi (IoMT – Internet of Medical Things): Pacemaker, ventilatori, macchinari di diagnostica (risonanze magnetiche, TAC) e dispositivi monitorati da remoto. Un attacco informatico può compromettere il funzionamento di dispositivi vitali.
4. Telemedicina e Monitoraggio Remoto: Sistemi per consultazioni a distanza, controllo remoto di pazienti e piattaforme di telemedicina. Un’interruzione può impedire cure essenziali, specialmente in contesti di emergenza.
5. Laboratori di Analisi e Diagnostica: Sistemi di automazione dei laboratori e gestione dei referti. Ritardi o alterazioni nei risultati di test diagnostici possono compromettere le diagnosi.
6. Sistemi di Prescrizione Elettronica e Farmacie: Piattaforme che gestiscono la prescrizione e la distribuzione di farmaci. Un malfunzionamento può bloccare l’accesso ai farmaci per i pazienti.
7. Sistemi di Sicurezza Fisica e Digitale: Sistemi di videosorveglianza, controllo accessi e allarmi per proteggere strutture sanitarie e dati sensibili.

Tra le tipologie di attacchi prevalenti figurano:

• Gli attacchi ransomware, che criptano i dati e richiedono un riscatto per il loro rilascio, sono tra i più comuni nel settore sanitario. Nel 2023, rappresentavano il 35% degli attacchi, in calo rispetto al 60% del 2022, ma continuano a costituire una minaccia significativa.
• La diffusione di malware tramite e-mail e il phishing sono altre tecniche utilizzate per compromettere i sistemi sanitari, spesso sfruttando la scarsa formazione del personale in materia di sicurezza informatica.

A seguito di questi attacchi si registra il blocco dei sistemi ospedalieri, che minano la capacità di gestire le emergenze e mettono a rischio la vita dei pazienti e il furto di dati sensibili come le cartelle cliniche. Le cartelle cliniche, in particolare, costituiscono un obiettivo prioritario. Contengono informazioni preziose che, se sottratte, possono essere vendute nel dark web o utilizzate per ulteriori attività criminali, come il furto d’identità.

Gli hacker sono particolarmente interessati alle cartelle cliniche perché contengono informazioni importanti e sensibili, rendendole uno degli obiettivi più redditizi nel panorama della cybercriminalità. Ecco alcune delle ragioni principali.

1. Valore economico elevato nel mercato nero.
   • Le cartelle cliniche sono molto più preziose delle informazioni finanziarie.
   • Mentre i dati delle carte di credito possono valere pochi dollari, una cartella clinica completa può essere venduta per centinaia di dollari sul dark web. Queste cartelle contengono: nome completo; data di nascita; codice fiscale; indirizzo; storia medica; informazioni su trattamenti, farmaci e diagnosi.
2. Frodi di identità e truffe assicurative
   • I dati sanitari possono essere usati per falsificare richieste di rimborso assicurativo, ottenendo pagamenti fraudolenti.
   • Gli hacker possono creare identità fittizie per ottenere cure mediche o farmaci a nome di un’altra persona, causando problemi legali e finanziari alle vittime.
3. Ricatti ed estorsioni
   • Le informazioni mediche sensibili (come malattie croniche o condizioni psichiatriche) possono essere usate per ricattare i pazienti o le istituzioni sanitarie, minacciando di divulgare dati privati se non viene pagato un riscatto.
4. Interruzione dei servizi ospedalieri (Ransomware)
   • Gli hacker possono bloccare i sistemi ospedalieri con ransomware, impedendo l’accesso ai dati e interrompendo le operazioni. Questo costringe le strutture a pagare per ripristinare i servizi, poiché il blocco dei sistemi può mettere a rischio la vita dei pazienti.
5. Spionaggio e concorrenza sleale
   • Le cartelle cliniche di figure pubbliche o aziendali di alto profilo possono essere trafugate per scopi di spionaggio, concorrenza sleale o danneggiamento della reputazione.
6. Persistenza dei dati
   • A differenza delle carte di credito (che possono essere bloccate e sostituite), i dati sanitari non possono essere “annullati”. Questo rende le cartelle cliniche valide per anni, aumentando il rischio di utilizzo prolungato nel tempo.
   • In sintesi, le cartelle cliniche sono una miniera d’oro per i cybercriminali, combinando alto valore economico, facilità di monetizzazione e difficoltà di protezione totale. Per questo motivo, il settore sanitario e le grandi aziende che per ragioni di welfare custodiscono dati sanitari delle proprie persone possono essere considerati tra i settori più bersagliati dagli attacchi informatici.

In questo quadro è necessario, e non solo consigliato, adottare ogni possibile misura di prevenzione.

• Formazione del personale. È fondamentale aumentare la consapevolezza e la formazione del personale sanitario riguardo alle minacce informatiche e alle pratiche di sicurezza.
• Aggiornamento dei sistemi. Molte strutture sanitarie utilizzano sistemi obsoleti; è essenziale aggiornare le infrastrutture IT per ridurre le vulnerabilità.
• Implementazione di misure di sicurezza avanzate. L’adozione di soluzioni di cybersecurity, come firewall, sistemi di rilevamento delle intrusioni e crittografia dei dati, può contribuire a proteggere le informazioni sensibili e garantire la continuità operativa.
• Sistema gestionale globale. In coerenza con le indicazioni dell’ANS, dotarsi di metodologie che supportino le aziende a  valutare se la propria impresa rientri o meno nell’ambito di applicazione della NIS2 (Network and Information Security Directive 2 è la nuova direttiva europea sulla sicurezza delle reti e dei sistemi informativi) e sia in grado di analizzare le scadenze imposte dalle norme e redigere check-list di attività da compiere e monitori, senza soluzione di continuità, gli apparati medicali e le infrastrutture sanitarie.

Negli ultimi dieci anni, il settore sanitario è stato bersaglio di numerose intrusioni informatiche su scala globale, con un aumento significativo in termini di frequenza e sofisticazione. Tra i tanti attacchi quello più significativo è stato certamente quello ransomware del 12 maggio 2017: WannaCry.
WannaCry, ha paralizzato il Servizio Sanitario Nazionale del Regno Unito (NHS) e altre organizzazioni sanitarie globali. Ha compromesso più di 200.000 dispositivi in 150 paesi, interrompendo servizi medici essenziali. L’attacco è stato uno dei più devastanti attacchi ransomware della storia, con conseguenze gravi per il settore sanitario globale, in particolare per il Servizio Sanitario Nazionale del Regno Unito (NHS). WannaCry è un ransomware che sfrutta una vulnerabilità nei sistemi Windows chiamata EternalBlue. Questa vulnerabilità era stata scoperta e sfruttata dalla National Security Agency (NSA) degli Stati Uniti e successivamente rubata dal gruppo di hacker Shadow Brokers, che la diffuse pubblicamente. Una volta infiltrato, WannaCry crittografava i dati del computer infetto, bloccandone l’accesso e chiedendo un riscatto in Bitcoin per decifrare i file.

Circa 80 ospedali e centri sanitari dell’NHS furono colpiti, costringendo molti a sospendere interventi chirurgici e appuntamenti. Le ambulanze furono dirottate verso ospedali non colpiti, causando ritardi nelle emergenze. Il personale medico non poteva accedere alle cartelle cliniche impedendo diagnosi accurate e cure tempestive. Si stima che circa 19.000 appuntamenti medici furono cancellati. I danni economici all’NHS furono stimati in 92 milioni di sterline.

Oltre all’NHS, WannaCry colpì:150 Paesi, 200.000 computer in tutto il mondo e aziende come FedEx, Renault, Telefónica e istituzioni governative.

Dopo l’attacco, l’NHS e altre organizzazioni investirono massicciamente in aggiornamenti di sicurezza e formazione del personale. L’attacco evidenziò la necessità di migliorare la cyber-resilience delle infrastrutture critiche. Furono implementati piani di emergenza per affrontare future minacce cibernetiche.

In Italia con la Legge n. 90 del 28 giugno 2024, entrata in vigore il 17 luglio 2024, sono state introdotte importanti novità in materia di cybersicurezza e reati informatici, con significative implicazioni per il D.Lgs. 231/2001 sulla responsabilità amministrativa degli enti. La legge apporta le seguenti modifiche all’articolo 24-bis del D.Lgs. 231/2001. Viene inserito il comma 1-bis, che estende la responsabilità dell’ente al nuovo reato di estorsione informatica, ossia l’estorsione realizzata mediante condotte informatiche. Per i delitti informatici previsti dal comma 1 dell’art. 24-bis, le sanzioni sono aumentate, prevedendo un massimo di 700 quote. Per i delitti indicati al comma 2, le sanzioni possono arrivare fino a 400 quote. Per il nuovo reato di estorsione informatica, le sanzioni variano da 300 a 800 quote (il valore di una singola quota è compreso tra 258 e 1.549 euro).

Alla luce di queste modifiche, le imprese sono chiamate ai seguenti passi.

1. Aggiornare il Modello di Organizzazione e Gestione (MOG): includere misure specifiche per prevenire i nuovi reati informatici introdotti; integrare procedure per la gestione della sicurezza informatica, in linea con gli obblighi derivanti dalla direttiva NIS2 e dalla Legge 90/2024.
2. Formare il personale: sensibilizzare e addestrare i dipendenti sulle nuove disposizioni in materia di cybersicurezza e sulle procedure interne adottate per prevenire reati informatici.
3. Rafforzare la governance della cybersicurezza: nominare un responsabile per la sicurezza informatica e garantire una stretta collaborazione tra l’Organismo di Vigilanza (OdV) e i responsabili IT; assicurare la registrazione obbligatoria sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN) e la nomina del Responsabile della Sicurezza Informatica nei termini indicati.

Gli organi di amministrazione e direttivi sono direttamente responsabili del rispetto delle nuove disposizioni. In caso di violazioni, l’ACN può applicare sanzioni amministrative accessorie, come l’incapacità a svolgere funzioni dirigenziali all’interno dell’ente.

L’integrazione delle nuove disposizioni richiede un approccio coordinato tra compliance aziendale, gestione del rischio informatico e adeguamento dei Modelli 231, al fine di garantire una protezione efficace contro le minacce cibernetiche e conformità alle normative vigenti.

In sintesi, possiamo dire che gli attacchi informatici possono compromettere la qualità dell’assistenza e la tempestività nelle cure. Numerosi studi hanno evidenziato una correlazione diretta tra gli attacchi informatici e l’aumento della mortalità negli ospedali colpiti.

È quindi fondamentale che le strutture sanitarie adottino misure di sicurezza informatica adeguate a proteggere i dati dei pazienti e garantire la continuità dei servizi, al fine di prevenire ulteriori danni e salvaguardare la salute pubblica.

Una indagine condotto dalla Owen Graduate School of Management della Vanderbilt University ha analizzato i dati relativi ai tassi di mortalità di 3.000 ospedali, evidenziando che, a seguito di violazioni dei dati, si sono registrati fino a 36 decessi aggiuntivi ogni 10.000 pazienti colpiti da attacchi cardiaci. In queste strutture, i ritardi medi nella risposta alle emergenze cardiache sono aumentati di circa 2,7 minuti, un lasso di tempo critico per la sopravvivenza dei pazienti.

Inoltre, una ricerca del Ponemon Institute per Proofpoint ha rilevato che, nel 20% delle organizzazioni sanitarie colpite da attacchi informatici, si è registrato un incremento del tasso di mortalità. Gli attacchi hanno causato ritardi nelle procedure mediche e negli esami, peggiorando la qualità dell’assistenza e aumentando le complicazioni per i pazienti. Il Ponemon Institute è un’organizzazione di ricerca indipendente specializzata in privacy, protezione dei dati e sicurezza delle informazioni. Proofpoint, invece, è un’azienda leader nel settore della cybersecurity e della conformità, focalizzata sulla protezione delle persone dalle minacce informatiche.

Questi rapporti sottolineano l’importanza di affrontare le minacce interne ed esterne per proteggere le organizzazioni e garantire la sicurezza dei pazienti e dei dati.

Sotto il profilo strettamente penale la responsabilità del direttore sanitario di un ospedale, in caso di morte di un paziente a seguito di un attacco cyber ad un dispositivo medicale (per es. il blocco della sala operatoria), si configura come reato se non sono state rispettate le previsioni della Legge 90/2024 (Direttiva NIS2 – Network and Information Security).

La Legge 90, infatti, obbliga gli operatori di servizi essenziali (OSE), come le strutture sanitarie, a garantire la sicurezza delle reti e dei sistemi informatici. Il direttore sanitario deve vigilare e gestire la sicurezza delle strutture, comprese le infrastrutture tecnologiche se non vuole incorrere nelle seguenti previsioni.

• Omissione di cautele (art. 40, comma 2 c.p.): Se il direttore non adotta le misure di cybersicurezza richieste, risponde per omissione. Non impedire un evento che si ha l’obbligo di impedire equivale a causarlo.
• Colpa per negligenza, imprudenza o imperizia (art. 43 c.p.): Se il direttore sanitario agisce con negligenza o imperizia nel gestire il rischio cyber, risponde per colpa professionale.
• Omicidio colposo (art. 589 c.p.): Se il blocco della sala operatoria causa la morte di un paziente e la mancata sicurezza informatica è una causa diretta, il direttore sanitario può essere accusato di omicidio colposo.

Elementi chiave che concorrono al perfezionamento del reato sono i seguenti.

• Attacco prevedibile e prevenibile: se l’attacco poteva essere evitato seguendo le previsioni normative.
• Nesso causale: deve esserci un collegamento diretto tra la mancata sicurezza e il decesso
• Ruolo attivo: il direttore ha responsabilità diretta nella gestione dei rischi informatici.

Ovviamente sta al direttore sanitario dimostrare di aver delegato la sicurezza a esperti qualificati, che l’ospedale era dotato di sistemi idonei a monitorare e tenere sotto controllo, senza soluzione di continuità, la rete dei dispositivi fisici connessi a Internet (IoT) che raccolgono e scambiano dati tra loro e, ultimo ma non ultimo, che l’attacco era imprevedibile.