Sarebbe iniziato nella notte del 27 dicembre scorso e perdurato fino a gran parte della giornata del 28 dicembre l’attacco informatico a danno dei server dell’ASST-Lecco che ha causato non pochi disservizi nella maggioranza dei reparti di due ospedali nel capoluogo della provincia lombarda, il Manzoni e il Mandic.
I server interessati fanno parte dell’infrastruttura tecnologica di Aria S.p.A., la società a cui è affidato l’affiancamento della Regione Lombardia per la trasformazione digitale della sua Pubblica Amministrazione.
Indice degli argomenti
Cosa sappiamo del nuovo attacco alla sanità lombarda
I disservizi maggiori sono durati circa dodici ore e hanno riguardato, per entrambe le due strutture, blocchi operativi per la filiera dei centri vaccinali (tamponi e vaccini, prenotazioni comprese), laboratori di analisi, radiologia, pronto soccorso, sale operatorie, nefrologia e anestesia (dei quali gli ultimi tre ancora indisponibili, in fase di ripristino).
Facciamo notare, inoltre, basandoci sulle dichiarazioni a mezzo stampa fornite dalla società Aria (al momento non sono ancora presenti comunicati ufficiali), che questo attacco informatico è di tipologia differente dai precedenti che hanno recentemente riguardato l’infrastruttura lombarda.
Questa volta, infatti, si tratta di un incidente relativo alla compromissione software dei file contenuti sul server: questo è deducibile dalla dichiarazione di Aria che assicura il ripristino mediante l’utilizzo dei backup (evidentemente non compromessi).
Un ripristino da backup è l’intervento più comune a seguito di attacco ransomware, del quale ancora non se ne conosce la natura, ma l’analisi lo classifica tra le cause più probabili.
I precedenti attacchi ad Aria S.p.A.
La stessa società, ricordiamo, ha reso noto nel mese di ottobre due attacchi informatici (sventati) di altra tipologia, atti a inibire le funzionalità operative delle procedure, senza compromettere la consistenza dei dati all’interno delle macchine.
In particolare, il 15 e poi il 20 di ottobre ci sono stati due attacchi, cosiddetti DDoS, rivolti ai server di Aria S.p.A., di cui il secondo di entità nettamente superiore al primo. Si sono trattati di attacchi premeditati, provenienti dall’estero che hanno interrotto l’operatività per circa cinque ore, sventati poi interrompendo (momentaneamente) la connettività sull’instradamento dei pacchetti provenienti dall’estero.
Imparare dai vecchi attacchi per contrastare i nuovi
L’attacco delle scorse ore, dunque, sarebbe di un’altra tipologia, ma comunque mirato a infrastrutture e che, tra le altre cose, in un momento di pandemia (come quello che stiamo vivendo ormai da due anni), impatta sulle strutture sanitarie: cluster da considerare tra i più sensibili e strategici per uno Stato.
I precedenti potevano essere considerati come delle avvisaglie per evitare futuri incidenti? A parere di chi scrive sì. È da tempo, infatti, che portiamo alla luce problematiche relative alla cyber sicurezza che impattano sulla sanità pubblica italiana e gli incidenti nel frattempo non sono mancati, con tutte le conseguenze del caso.
Sembra doveroso a questo punto rimarcare l’importanza della protezione delle infrastrutture tecnologiche collegate alla sanità.
Nel 2019, in Alabama, una donna ha perso la propria neonata, dopo il parto effettuato durante l’indisponibilità di determinati strumenti digitali a seguito di attacco informatico (in quel momento non ancora pienamente ripristinato).
Nel 2020, in Germania, una donna giunta in ospedale è stata costretta a essere trasferita presso altra struttura perché a seguito di un attacco ransomware la strumentazione utile ad effettuare un triage era indisponibile e il trasferimento (e quindi il tempo perso prima dell’intervento) le ha causato la morte.
Tutto questo per sottolineare che in Italia ancora non ci sono stati casi drammatici come questi, ma la sicurezza informatica in ambito sanitario è qualcosa di molto importante, che coinvolge (o può coinvolgere) anche la vita delle persone.
Se un ransomware può uccidere un neonato: un caso che deve farci riflettere
Situazione in Italia e regole di buona prevenzione
Detto questo, dall’ultimo report diffuso dall’Osservatorio di Cybersecurity di Exprivia, si nota che in Italia nel corso del 2021 ci sono stati ben 30 incidenti (attacchi andati a buon fine), ricollegabili a strutture della sanità pubblica.
Incidenti avvenuti a fronte di un numero ben più elevato di attacchi, ma nel corso dello stesso anno tale divario si sta restringendo sempre di più. Nella prima parte del 2021 il numero degli attacchi è di circa 9 volte superiore al numero degli incidenti andati a buon fine.
Nell’ultimo trimestre, invece, questi due indicatori sono arrivati quasi ad equivalersi, indice del fatto che gli attacchi sono divenuti sempre più mirati e sempre più sofisticati, senza trovare, in contropartita, un potenziamento della sicurezza sull’infrastruttura critica (che mitigasse tale gap).
Il 2022 può essere l’anno in cui il ransomware mostrerà la sua più alta esplosione, oppure il decisivo fallimento se si decide di mettere in atto protocolli di sicurezza adeguati, capaci di evitare una gran parte di questi attacchi.
Iniziando sicuramente da una buona igiene digitale di tutto il personale interessato (sempre più a contatto con strumenti informatici) e fornendo un’adeguata educazione informatica prima nelle scuole, e poi formazione in ambito IT security sui posti di lavoro.
