Per far fronte al problema dell’aumento dei cyber attacchi nel settore sanitario nello Stato di New York – considerando che il 77% delle violazioni dei dati sanitari segnalate al Department of Health and Human Services (HHS) sono attribuibili all’hacking – il governatore Kathy Hochul ha proposto un pacchetto di norme di cyber security che si applicherebbe agli ospedali di tutto lo Stato, congiuntamente a 500 milioni di dollari di finanziamenti per aiutare le strutture sanitarie ad aggiornare i loro sistemi tecnologici al fine di soddisfare i requisiti delle norme proposte.
In particolare, la normativa richiederà agli ospedali di implementare infrastrutture difensive per prevenire gli attacchi informatici e di sviluppare gli incident response plans.
Inoltre, viene previsto che gli ospedali di New York debbano istituire il ruolo di Chief Information Security Officer (CISO), utilizzare l’autenticazione a più fattori, stabilire politiche per valutare e testare la sicurezza delle applicazioni di terze parti utilizzate dall’ospedale ed eseguire test dei loro piani di risposta agli incidenti per garantire che l’assistenza ai pazienti continui anche in caso di interruzione.
Indice degli argomenti
Attacchi alle infrastrutture critiche sanitarie: le nuove norme
Questo nuovo pacchetto normativo, oltre a fungere da prima roadmap di mitigazione del rischio informatico a livello statale, rappresenta un “complemento” della Health Insurance Portability and Accountability Act (HIPAA), contenente molti degli stessi requisiti, anche se intenzionalmente meno prescrittivi.
Le norme proposte per New York sembrano, invece, essere più vincolanti in quanto delineano misure specifiche, linee guida e standard minimi di sicurezza IT che gli ospedali newyorkesi devono rispettare.
A tal proposito, gli attacchi informatici agli ospedali possono avvenire su tre livelli:
- l’infiltrazione primaria si riferisce a un attacco che colpisce direttamente, maliziosamente o meno, i pazienti di un ospedale;
- l’infiltrazione secondaria si verifica quando l’attacco colpisce i pazienti solo implicitamente, non direttamente;
- l’infiltrazione terziaria si riferisce a un attacco più ampio alle infrastrutture di un ospedale, come su reti di approvvigionamento, reti elettriche o su sistemi di gestione economica.
A qualsiasi livello, un cyber attack generalmente segue una procedura standard in cui l’attore malevolo esegue un’attenta valutazione sui database scelti per l’infiltrazione, misurandone traffico e vulnerabilità.
Un esempio di tali attività malevole è costituito da un Advanced Persistent Threat che ha colpito più di 60 trust all’interno del Servizio Sanitario Nazionale del Regno Unito (NHS) e si è diffuso a oltre 200 000 sistemi informatici in 150 paesi.
Tale offensiva cyber è stata perpetrata tramite il ransomware cryptoworm WannaCry, mostrando delle conseguenze pratiche devastanti sull’assistenza clinica britannica. Molte strutture non hanno potuto accedere alle cartelle cliniche dei pazienti, portando a dei ritardi negli interventi chirurgici urgenti che sono stati deviati in altre strutture sanitarie non colpite.
Alcuni commentatori hanno immediatamente accusato il NHS per non aver investito in sistemi preventivi che avrebbero potuto impedire o contenere l’attacco. Sebbene il NHS non sembri essere stato il target scelto da chi si nascondeva dietro il ransomware WannaCry, si è dimostrato vulnerabile agli attacchi a causa dei suoi sistemi operativi Windows obsoleti e non aggiornati negli anni da parte di Microsoft.
La diffusione del virus è stata rallentata, ma non fermata, dal lavoro di Marcus Hutchins, un esperto di sicurezza informatica autodidatta di 22 anni, che ha scoperto all’interno del virus una “kill switch”, cioè una contromisura che prevede l’attivazione di un unico meccanismo di spegnimento per tutto il traffico Internet.
La situazione delle infrastrutture critiche sanitarie negli USA
Un recente studio condotto negli Stati Uniti dall’Healthcare Information and Management Systems Society (HIMSS) ha concluso che i principali obiettivi alla base degli attacchi informatici su infrastrutture critiche e sensibili come gli ospedali sono l’accesso non autorizzato ai registri elettronici, il furto d’identità medica, la sottrazione e la vendita di informazioni ospedaliere sul mercato nero e i conseguenti rischi associati alle attività clinico-operative delle organizzazioni ospedaliere.
Il fine ultimo degli aggressori è quello economico: un record medico vale una media di 50 dollari sulla darknet, mentre un set completo di cartelle cliniche può guadagnare fino a 1.000 dollari.
L’ottenimento di questi patrimoni informativi può essere utilizzato da hacker o dai loro clienti darknet per richiedere in modo fraudolento prestiti o altri strumenti finanziari o per la falsificazione di ordini di farmaci al fine di rivenderli nel web “sommerso”.
In questo senso, le informazioni mediche assumono un valore estremamente importante per gli aggressori, consentendogli di agire come degli “imprenditori” vendendo informazioni o strumenti di hacking ai loro “consumatori” e, soprattutto, permettendogli di minacciare o estorcere nuovamente la struttura ospedaliera colpita.
La cyber security negli ospedali: cosa succede in Italia
La cybersecurity negli ospedali è un tema caldo a livello mondiale e l’Italia non fa difetto: un documento dell’European Union Agency for Cybersecurity (ENISA), infatti, evidenzia che l’Italia è il quarto Paese al mondo per attacchi ransomware subiti, dopo USA, Germania e Francia, nel periodo maggio 2021-giugno 2022.
Già nel primo semestre dello scorso anno, diverse aziende sono state colpite da attacchi ransomware mirati al blocco totale o alla sottrazione delle cartelle cliniche.
Il rapporto Clusit 2022 sulla sicurezza ICT in Italia evidenzia come il comparto sanitario sia tra i primi obiettivi degli attacchi informatici, con circa il 12% delle incursioni complessive (+2% rispetto all’anno precedente).
Il motivo risiede nel fatto che il settore healthcare ha registrato una digitalizzazione particolarmente rapida, sovente poco strutturata e non sostenuta da finanziamenti consoni, esperienze e soluzioni di protezione.
Conclusioni
Considerati gli esiti funesti non soltanto sui sistemi informatici della sanità ma anche sulla salute dei pazienti, gli ospedali dovranno valutare in modalità predittiva, proattiva e preventiva la difesa dei sistemi informatici e delle apparecchiature medicali.
È d’obbligo, dunque, che le organizzazioni attuino uno sforzo comune per investire nella cyber security in tali infrastrutture, attribuendo maggiore priorità alla sicurezza IT.
Il sistema sanitario necessita di modernizzare la propria difesa informatica, potenziando il numero degli investimenti, incrementando la resilienza del sistema informativo ospedaliero e aumentando il margine di consapevolezza nei dipendenti, sensibilizzandoli sui pericoli e sull’uso idoneo dell’infrastruttura informatica di cui dispongono.
Lo studio di soluzioni in grado di fortificare il livello di protezione del sistema informativo e accrescere il grado di competenza per identificare segnali di rischio di una minaccia online, potrebbe assicurare un livello minimo di operazioni e il rientro alla normalità il più velocemente possibile.
In questo scenario, la direttiva NIS 2, Network and Information System Security, approvata il 10 novembre 2022 dal Parlamento Europeo e pubblicata in Gazzetta Ufficiale lo scorso 27 dicembre, ha apportato un contributo rilevante poiché, rispetto alla precedente NIS 2016/1148, estende gli obblighi in materia di cyber sicurezza e fortifica la responsabilità degli attori interessati.
Considerando che il perimetro delle criticità in materia delle strutture ospedaliere risulta complesso da circoscrivere e che non esiste un’organizzazione che sia libera dal rischio di una minaccia, è indispensabile poter contare su un piano di risposta agli incidenti e, in parallelo, disporre delle risorse adeguate ad agevolare e velocizzare sia la fase di recovery sia l’implementazione di misure correttive.
In definitiva, queste strutture sono tra gli obiettivi preferiti dai pirati informatici in quanto sono consapevoli che le organizzazioni sanitarie risultano estremamente motivate a pagare per rispristinare rapidamente i propri sistemi, rappresentando la sanità un’infrastruttura critica determinante a livello di sistema Paese.
