L’azienda britannica di cyber security Sophos ha pubblicato il rapporto State of Ransomware in Healthcare 2023 basato sulle esperienze di 3.000 responsabili IT o della cyber sicurezza di organizzazioni con un numero di dipendenti tra le 100 e le 5.000 unità. Di questi specialisti, 233 operano nella sanità in 14 paesi differenti, comparto risultato essere particolarmente esposto ai ransomware e poco propenso alla capacità di prevenirli.
La sanità è obiettivo ghiotto per i criminal hacker perché detiene dati particolarmente sensibili e quindi preziosi ma, restando nell’ambito delle organizzazioni del comparto sanitario, gli attacchi ransomware sono andati a segno circa il 75% delle volte.
Un altro dato che merita attenzione è la resilienza degli operatori sanitari i quali, nel corso del 2023, sono riusciti a neutralizzare il 24% degli attacchi contro il 34% del 2022.
Cerchiamo di capire dove sbaglia il comparto sanitario.
Attacchi cyber alle infrastrutture critiche sanitarie: dagli USA i primi provvedimenti normativi
Indice degli argomenti
La scarsa preparazione della sanità di fronte ai ransomware
Attingendo al report Sophos emergono delle fragilità tutte a carico delle organizzazioni attive nella sanità:
- il 37% degli attacchi ransomware andati a segno hanno comportato esfiltrazioni di dati e questo coincide con un aumento degli attacchi a doppia estorsione;
- le organizzazioni attive nella sanità hanno bisogno più tempo per ripristinare la situazione in seguito a un attacco, tant’è che solo il 47% è in grado di farlo in meno di una settimana (nel 2022 erano il 54%);
- gli attacchi ransomware vengono sferrati soprattutto compromettendo credenziali di accesso e poi sfruttando exploit;
- la percentuale delle organizzazioni che ha pagato un riscatto è scesa dal 61% del 2022 al 42% del 2023 (sotto la media del 46% registrata dagli altri settori).
Gli attacchi ransomware diventano sempre più sofisticati ma il vettore rimane sempre l’e-mail (nel 36% degli attacchi) e questo non depone in favore delle imprese i cui dipendenti cadono nei tranelli orditi dai criminal hacker.
C’è però una maggiore sensibilità tant’è che – ha censito Sophos – tutte le organizzazioni sanitarie vittime di attacchi hanno recuperato i dati o tramite backup (il 73%) oppure pagando (nel 42% dei casi, ricorrendo anche in parte ai salvataggi).
Resta da comprendere come mai, soprattutto in ambito sanitario, le imprese crollano ancora sotto il peso delle offensive del cyber crimine.
Una lettura complicata
Capire perché le organizzazioni sanitarie, pure essendo tra le più colpite dagli hacker, faticano a trovare strategie difensive efficaci è quesito che non può essere esaurito con una risposta facile e univoca.
Quel 24% di attacchi neutralizzati, un numero davvero basso, rappresenta anche l’abilità dei criminal hacker. Salvatore Lombardo, esperto ICT e socio dell’Associazione italiana per la sicurezza informatica (Clusit), spiega che: “Ci sono diverse ragioni dietro la vulnerabilità delle organizzazioni sanitarie agli attacchi ransomware. Prima di tutto bisogna tenere conto che molte strutture sanitarie hanno risorse limitate per investire in sicurezza informatica avanzata e che molti attacchi ransomware, oltre a sfruttare vulnerabilità nelle infrastrutture IT sono spesso facilitati anche da errori umani, come il cliccare su link o aprire allegati malevoli (è necessaria anche una educazione culturale del personale di ogni ordine e grado)”.
“Inoltre”, continua Lombardo, “l’evoluzione continua delle minacce informatiche richiede un impegno costante per mantenere le difese aggiornate e il 24% potrebbe riflettere proprio la sfida (oggettivamente non semplice) nel mantenere il passo con le crescenti minacce e nel garantire l’implementazione di misure di sicurezza efficaci”.
Anche i tempi di recupero, come detto, mettono in crisi un numero maggiore di organizzazioni, tant’è che la percentuale di quelle che riesce a rimediare entro 7 giorni dall’attacco è passata dal 54% al 47%.
“La diminuzione di questa percentuale potrebbe essere attribuita a diversi fattori. Gli attacchi ransomware stanno diventando sempre più sofisticati, utilizzando tecniche avanzate che richiedono più tempo e competenza per essere neutralizzati. Più persistenti, rendendo difficile per le organizzazioni individuare e rimuovere completamente la minaccia. Più estesi coinvolgendo una vasta gamma di sistemi e dati, richiedendo più tempo per identificare la portata dell’attacco e ripristinare tutti i servizi interessati”, illustra Lombardo.
In sintesi, gli attacchi diventano sempre più sofisticati e le organizzazioni sanitarie non hanno risorse sufficienti per contrastare la loro evoluzione.
I rimedi
Alcuni rimedi validi per qualsiasi organizzazione di qualsivoglia comparto, suggeriti da Salvatore Lombardo: “Per mitigare il rischio ransomware, è essenziale adottare una combinazione di misure tecniche, formazione del personale e procedure di sicurezza”.
Ecco alcune best practice:
- Effettuare backup regolari dei dati critici e assicurarsi che siano isolati da reti accessibili dagli utenti. In caso di attacco ransomware, i dati possono essere ripristinati da backup sicuri.
- Crittografare i dati sensibili memorizzati sui dispositivi e server. In caso di compromissione, i dati crittografati sono più difficili da utilizzare, senza la chiave di decrittazione corretta, per eventuali data leak e richieste di doppie estorsioni da parte delle bande ransomware.
- Mantenere costantemente aggiornati i sistemi operativi, le applicazioni e le soluzioni di sicurezza per correggere eventuali vulnerabilità.
- Utilizzare filtri antispam e formare il personale a riconoscere e evitare e-mail di phishing che potrebbero essere utilizzate come primo punto di accesso per distribuire malware.
- Implementare soluzioni di sicurezza antivirus e antimalware aggiornate per proteggere i sistemi da minacce note.
- Monitorare il traffico di rete per rilevare comportamenti sospetti tipici della killchain di un attacco ransomware.
- Limitare gli accessi privilegiati solo ai dipendenti che ne hanno effettivamente bisogno, revocando quelli non necessari.
- Formare e sensibilizzare il personale sulla sicurezza informatica e sui rischi legati al ransomware, insegnando loro come riconoscere ed evitare le minacce online.
- Creare un piano di risposta agli incidenti dettagliato che delinei le azioni da intraprendere in caso di attacco ransomware, incluso il ripristino da backup e la comunicazione con le autorità competenti.
Non da ultimo, conclude Salvatore Lombardo, è necessario effettuare test periodici di sicurezza e simulazioni di attacchi per valutare l’efficacia delle misure di difesa adottate e apportare eventuali miglioramenti.