Il 20 maggio 2024, l’Agenzia per i Progetti di Ricerca Avanzata del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti (ARPA-H) ha annunciato il lancio di un programma innovativo di cyber security dal valore di 50 milioni di dollari: denominato “Universal PatchinG and Remediation for Autonomous DEfense (UPGRADE)”, è progettato per sviluppare strumenti avanzati che migliorino e automatizzino le misure di sicurezza informatica nelle strutture sanitarie (ARPA-H).
Come sottolineato dall’Agenzia, gli attacchi informatici rappresentano una minaccia crescente per le strutture sanitarie, con potenziali ripercussioni anche significative sulla cura dei pazienti.
Infatti, i sistemi critici compromessi possono interrompere le operazioni ospedaliere, portando a ritardi nelle cure e, nei casi più gravi, alla non operabilità o alla chiusura temporanea delle strutture.
Uno dei principali ostacoli alla sicurezza informatica in questo settore è la varietà e la complessità dei dispositivi connessi a Internet, spesso unici per ciascuna struttura. Mentre i prodotti di consumo possono essere aggiornati rapidamente, mettere offline dei dispositivi medici essenziali per effettuarne gli aggiornamenti può risultare un’attività altamente problematica.
Pertanto, questi dispositivi, sebbene vitali per la cura dei pazienti, sono spesso i meno protetti e aggiornati.
Indice degli argomenti
Gli obiettivi del programma UPGRADE
Per andare incontro alle esigenze delle strutture sanitarie rispetto a questi problemi, il programma UPGRADE si pone l’obiettivo di identificare proattivamente le vulnerabilità nelle reti ospedaliere.
A tale scopo, richiederà la collaborazione tra esperti IT, produttori di dispositivi medici, fornitori di assistenza sanitaria, ingegneri e specialisti di cyber al fine di creare una suite software su misura e scalabile per migliorare la resilienza informatica ospedaliera.
Attraverso l’uso di tecnologie avanzate, il sistema proposto da ARPA-H sarà in grado di sondare i software alla ricerca di punti deboli e, nel caso vengano rilevate minacce, sviluppare, testare e implementare automaticamente le patch necessarie con il minimo impatto sulle operazioni degli apparecchi ospedalieri.
Questo approccio mira a ridurre significativamente il tempo in cui i dispositivi rimangono vulnerabili, passando da mesi a pochi giorni. Il programma UPGRADE prevede nel dettaglio quattro aree tecniche principali:
- Creazione di una piattaforma per la mitigazione delle vulnerabilità.
- Sviluppo di “gemelli digitali” ad alta fedeltà per i dispositivi ospedalieri.
- Metodi per rilevare automaticamente le vulnerabilità software.
- Sviluppo automatico di difese personalizzate per ogni vulnerabilità.
Il potenziamento della cyber security nel settore sanitario è una necessita che negli Stati Uniti è ben nota anche al governo, tanto che questi prevede di introdurre mandati di sicurezza informatica per gli ospedali, che sarebbero accompagnati da formazione gratuita per le strutture più piccole.
L’amministrazione Biden intende, infatti, stabilire degli standard minimi di sicurezza informatica appositi per le strutture ospedaliere. I piani fanno seguito a una copiosa serie di attacchi informatici al settore sanitario statunitense, uno dei più gravi dei quali è stato perpetrato a febbraio nei confronti di Change Healthcare, società di assicurazione sanitaria, che ha paralizzato l’elaborazione delle richieste di indennizzo per ampie aree del paese e violato i dati di circa un americano su tre.
L’American Hospital Association si oppone da tempo ai requisiti di sicurezza informatica per gli ospedali, affermando che eventuali multe o tagli ai rimborsi CMS comprometterebbero la capacità dei sistemi sanitari di combattere gli hack.
Cyber security sanitaria: i numeri in Italia
L’iniziativa UPGRADE di ARPA-H potrebbe servire da modello anche in Italia, dove il settore sanitario è spesso bersaglio di attacchi informatici, rendendo la cyber security una priorità crescente per queste strutture.
Secondo l’ultimo Rapporto Clusit 2024, che contiene un focus specifico per il settore sanitario, infatti, questo è diventato un bersaglio sempre più frequente per gli attacchi informatici, dal DDoS al ransomware o al data breach, collocandosi al quarto posto per numero di attacchi subiti nel 2023.
Le offensive informatiche verso questo settore sono infatti più che raddoppiate, passando da 304 nel 2022 a 624 nel 2023, evidenziando una tendenza in forte crescita.
Le principali problematiche di questo fenomeno includono la violazione dei dati dei pazienti, attacchi ransomware, accessi non autorizzati ai sistemi informatici, compromissioni della sicurezza dei dispositivi medici connessi alla rete e compromissioni dell’integrità dei dati medici.
Il fenomeno è in parte dovuto anche alla mancanza di formazione del personale sanitario sulla sicurezza informatica, oltre che alle motivazioni di natura prettamente tecnica descritte in precedenza, quali mancati aggiornamenti dei sistemi.
Il rapporto riferisce che il 93% degli attacchi ha avuto impatti gravi o gravissimi, nel contesto dei quali il ransomware ha rappresentato la principale minaccia, con ripercussioni sulla sicurezza dei pazienti e sulla continuità delle operazioni ospedaliere.
Ad esempio, tra gli attacchi ransomware citati dal Clusit vi sono quelli che hanno colpito le aziende sanitarie di Modena e Verona, causando interruzioni significative nei servizi.
In particolare, A Modena, nel novembre 2023 le aziende sanitarie locali (Ausl, Aou di Modena e l’ospedale di Sassuolo) sono state colpite da un attacco hacker che ha paralizzato i sistemi informatici, costringendo le strutture a operare con sistemi cartacei e a garantire solo i servizi di emergenza. Gli esami di laboratorio sono stati eseguiti solo per le urgenze, e molte attività, come le visite ambulatoriali, hanno subito rallentamenti o sospensioni.
A Verona, ad ottobre 2023, un attacco simile ha colpito Azienda Ospedaliera Universitaria Integrata, provocando la sottrazione di dati personali di natura sanitaria e amministrativa appartenenti a pazienti e collaboratori.
I cyber criminali hanno rubato 658.828 file contenenti informazioni parziali e incomplete, chiedendo un riscatto per rilasciare i dati. Non avendo l’Aoui pagato il riscatto, i dati sono stati diffusi nel Dark Web.
Tra le offensive più recenti, invece, è di poco più di un mese fa (10 aprile) l’attacco registrato contro il network nazionale di Synlab, società di diagnostica medica, da parte del collettivo di hacktivisti Black Basta. I cyber criminali hanno infatti esfiltrato 1,5 terabyte di documenti, compresi appunto i dati sanitari dei pazienti, che sarebbero stati in seguito pubblicati, anche in questo caso, sul dark web.
Programma UPGRADE: un modello anche per l’Italia
Gli ospedali italiani, come molti altri nel mondo, devono affrontare una quantità crescente di dati sensibili da proteggere, insieme a sistemi complessi che richiedono aggiornamenti costanti per evitare exploit da parte di cyber criminali.
In tale contesto, l’introduzione di programmi che prevedano l’uso di tecnologie avanzate per rilevare e mitigare le vulnerabilità, come quelli proposti da UPGRADE, potrebbe contribuire a ridurre significativamente il rischio di attacchi informatici nel settore sanitario italiano.
In particolare, la centralizzazione degli sforzi e l’automazione delle risposte alle minacce potrebbero rappresentare un modello valido da considerare, dal momento che implementare una soluzione centralizzata e automatizzata potrebbe contribuire a uniformare le misure di sicurezza tra le diverse strutture sanitarie, colmando le disparità esistenti.
Tuttavia, sarebbe fondamentale adattare tali tecnologie alle specifiche esigenze del contesto italiano, garantendo al contempo un adeguato supporto formativo per il personale tecnico.
