È il decimo attacco informatico rivolto a una struttura sanitaria italiana negli ultimi 5 mesi: quello dell’ASL Napoli 3 Sud è stato reso noto direttamente dalla Direzione Sanitaria della struttura tre giorni fa (l’8 gennaio) ed è l’ultimo di una ormai lunga serie di attacchi informatici criminali ai danni del nostro servizio sanitario nazionale.
Al momento risulta impossibile prenotare tamponi, vaccini o consultare gli esiti dei test e molte delle attività mediche e chirurgiche sono state sospese.
Doveroso ricordare che questi danni sono direttamente proiettati, non solo alla struttura colpita, ma anche sull’intera cittadinanza che di quella struttura si serve, sopratutto perché, lo sottolineiamo, siamo da quasi due anni in piena pandemia sanitaria dovuta alla diffusione del virus SARS-CoV-2.
A tal proposito è illuminante il commento che ha rilasciato a Cybersecurity360 da Pierluigi Paganini, esperto di cyber security e CEO di CYBHORUS: “Come riportato da diversi media nazionali, da giorni la cittadinanza sta patendo disagi importanti alla luce della difficile situazione causata dalla pandemia. Migliaia di cittadini che si sono infettati sono bloccati in casa in attesa dei risultati dei tamponi che possano dimostrarne l’avvenuta guarigione. Parliamo di intere famiglie confinate tra le mura domestiche ed impossibilitate a tornate ad una vita normale. I processi per la revoca e la riabilitazione dei Green Pass sono di fatto bloccati per l’impossibilità di gestire i risultati dei tamponi e inserirli in piattaforma”.
Indice degli argomenti
Cosa sappiamo dell’attacco alla ASL Napoli 3 Sud
Il comunicato relativo all’attacco informatico ai sistemi della ASL Napoli 3 Sud è apparso sul sito web e sulla pagina Facebook dall’azienda, nonché nei media locali, con la forma di una comunicazione alla cittadinanza. Non ci sono per il momento dettagli tecnici né sulla natura dell’incidente né sulle macchine (server e quindi dati) coinvolte: tuttavia, facciamo notare che dall’8 gennaio scorso fino a tutta la giornata di oggi, l’accesso al sito web istituzionale dell’ASL ha subito continui up/down, inframmezzati anche da ore di errori continui per mancata risposta del server.
“Al momento le fonti ufficiali parlano di una violazione dei sistemi informatici subita nei giorni scorsi, ma non si fa alcun riferimento alla natura dell’attacco che in molti ritengono possa essere stato l’ennesimo attacco ransomware. Va detto che al momento nessuna delle principali gang criminali ha rivendicato l’attacco avanzando una richiesta di riscatto. Purtroppo, l’incidente è l’ultimo di una lunga serie di episodi analoghi che sta coinvolgendo strutture sanitarie nazionali, dimostrazione dell’inadeguatezza del livello di sicurezza delle infrastrutture informatiche da cui dipendono la quasi totalità dei servici erogati”, continua Paganini.
Come sottolineato anche dall’esperto di sicurezza, il problema è grave. Per renderci conto della dimensione del problema e del potenziale pericolo che le strutture sanitarie corrono senza un’adeguata percezione del rischio informatico all’interno dell’organizzazione, ci basti pensare che l’ASL Napoli 3 Sud racchiude 8 presidi ospedalieri, 13 distretti dislocati nel territorio e 6 centralini operativi. Un’imponente macchina organizzativa che opera nel settore sanitario.
Com’è possibile che dopo quasi due anni di pandemia e un numero sempre crescente di attacchi nel settore, il rischio informatico non sia stato ancora percepito? Come si può concepire ancora oggi la persistenza di server e workstation fuori supporto tecnico e dall’elevata obsolescenza in un settore così strategico per il Paese?
“Parliamo di infrastrutture critiche, che in un momento come questo necessitano della massima attenzione e protezione”, riprende ancora Paganini. “Per anni si è sacrificata la sicurezza informatica e i risultati sono sotto gli occhi di tutti. Il problema è tecnologico quanto culturale, i manager di molte strutture non sono a conoscenza del rischio informatico e quindi non investono come dovrebbero in misure di sicurezza idonee. Vi faccia riflettere il fatto che l’investimento in sicurezza in ambito sanitario non può che essere considerato trascurabile se comparato ai costi di macchinari e soprattutto agli atavici sprechi che i media ci ripropongono periodicamente. Dobbiamo lavorare per innalzare il livello di resilienza dell’intero comparto, le diverse agenzie italiane ne sono consapevoli, la posta in gioco è elevata e non sono ammessi errori”.
Abbiamo visto, in questi mesi, differenti gruppi ransomware che rivendicano attacchi su hub vaccinali, ULSS, ASL e ASST, a distanze gli uni dagli altri estremamente ravvicinate se si pensa alle difficoltà che (in condizioni normali) un attaccante dovrebbe incontrare per penetrare l’infrastruttura obiettivo. Motivo, questo, che dà sempre più spazio al sospetto che ci sia un collegamento tra tutti questi recenti attacchi (che in comune hanno il panorama sanitario come PA), un filo conduttore che possiamo immaginare come una catena (la supply chain), per la quale avendo a disposizione una compromissione di un importante anello di questa catena che (per vari motivi) offre servizio a un grande insieme di altri anelli ad esso collegati, è facile ricostruire la catena del contagio e la conseguente compromissione anche degli anelli terzi.
Qualcosa sta cambiando, ma è poco
Nei giorni passati, a cavallo tra il 2021 e l’anno nuovo, abbiamo assistito ad aggiornamenti sui nuovi modelli organizzativi per l’infrastruttura tecnologica e di sicurezza informatica della PA italiana: è notizia recente la costituzione della nuova Agenzia Cybersicurezza Nazionale, guidata da Roberto Baldoni, che sarà il futuro centro di controllo della concertazione di tutte le Pubbliche Amministrazioni nazionali e delle loro linee guida per la promozione, sviluppo e integrazione di tecnologia sicura, a tutti i livelli.
Nella realtà, però, non possiamo fare a meno di notare che in tutta questa macchina organizzativa nazionale manca ancora la corretta percezione del fattore rischio informatico. Finché la percezione adeguata non partirà dall’alto per essere calata a tutti i livelli della nostra società, il problema della sicurezza informatica in Italia rimarrà un macigno insormontabile. Si può parlare in questo senso di un vero e proprio ostacolo alla vaccinazione di una importante fetta di popolazione su temi riguardanti l’informatica e la sicurezza.
È infatti notizia di ieri la pubblicazione da parte di AgID della quarta edizione del report Pubblica Amministrazione e Spesa ICT, che rileva come dei 679 progetti di riammodernamento infrastrutturale del comparto ICT della PA solamente il 4% della spesa sia destinato alla sicurezza informatica.
Il Sistema Sanitario Nazionale, inoltre, rispetto al resto del panorama delle Pubbliche Amministrazioni, gode di ulteriore debolezza organizzativa in quanto frammentato burocraticamente in 20 servizi sanitari sul territorio, che sono le Regioni, ognuna con una sua autonomia decisionale.
Ci vuole un vero, concreto e imminente concerto di vedute tra tutti gli enti che offrono servizi strategici per il Paese e linee guida solide e marcate, univoche e uniformi dai CED degli ospedali ai server delle ATS, fino alle workstation dei singoli dipendenti delle ASL, in grado di creare un’unica consapevolezza nazionale della sicurezza informatica, senza la quale la pandemia cyber sarà destinata solamente a continuare il diffondersi.
