Secondo il Rapporto CLUSIT 2016 (presentato al Security Summit di Verona il 5 ottobre scorso) il settore della Sanità è uno di quelli a maggior rischio di attacchi informatici:
“Rispetto al secondo semestre 2015, nel primo semestre 2016 la crescita maggiore degli attacchi gravi si osserva verso le categorie:
- Banking/Finance (+93%),
- Health (+143%) sempre più presa di mira da soggetti cyber criminali con finalità di furto di informazioni ed estorsione tramite Ransomware”.
Il settore della Sanità è considerato uno dei più “interessanti” per i cybercriminali. I motivi sono evidenti:
- Detiene dati altamente sensibili.
- Fornisce un servizio necessario e che non può essere interrotto.
- Ha in genere sistemi informatici in genere deboli e non aggiornati (per scarsità di investimenti e complessità strutturali).
Oggi gli ospedali hanno i dati e soprattutto le cartelle cliniche IN RETE. Rubarle o comprometterle con un attacco hacker può significare il blocco dell’operatività dell’ospedale. Per questo motivo gli attacchi con ransomware agli ospedali stanno diventando sempre più frequenti… e redditizi per i cybercriminali. Molto spesso infatti gli ospedali sono obbligati a pagare il riscatto per poter rientrare in possesso dei dati che sono stati crittografati.
Un caso famoso per tutti: l’Hollywood Presbiterian Medical Center di Los Angeles il 5 febbraio 2016 viene attaccato da un ransomware che ne ha completamente paralizzato i sistemi informatici al punto che è stato necessario ritornare alle cartelle cliniche in forma cartacea. La rete informatica è rimasta ferma fino al 15 febbraio, quando, dopo dieci giorni di paralisi, i dirigenti dell’ospedale hanno scelto di pagare il riscatto ai cybercriminali: 40 bitcoin, che al valore di allora erano circa 17.000 dollari. Allen Stefanek, Presidente e CEO dell’ospedale ha emesso un comunicato dove ha dichiarato:
“The quickest and most efficient way to restore our systems and administrative functions was to pay the ransom and obtain the decryption key. In the best interest of restoring normal operations, we did this” (“il modo più rapido ed efficiente per ripristinare i nostri sistemi e le nostre funzioni amministrative era pagare il riscatto e ottenere la chiave di decifrazione. Nell’interesse di ripristinare la normale operatività, l’abbiamo fatto”).
La richiesta iniziale di riscatto era stata addirittura di circa 3,6 milioni di dollari.
Ma molti altri sono stati i cyber attacchi che hanno messo in crisi ospedali nel mondo:
- Methodist Hospital in Henderson (Kentucky): attacco da “Locky” ransomware. Tutti i computer bloccati. Richiesta di riscatto: 4 bitcoins (circa $1.600). La direzione dell’ospedale non ha escluso il pagamento (marzo 2016).
- Kansas Heart Hospital in Wichita (Kansas): attaccato da ransomware. Dopo aver ricevuto il riscatto, a differenza di altri attacchi, gli hacker hanno solo parzialmente dato l’accesso ai dati criptati ed hanno richiesto altri soldi per decifrare i dati rimanenti. L’ospedale ha rifiutato di pagare un secondo riscatto (maggio 2016).
- National Health Service’s Lincolnshire and Goole: probabile attacco ransomware che ha bloccato quasi tutte le attività per alcuni giorni (ottobre 2016).
Oltre all’attacco finalizzato all’estorsione, anche il furto dei dati è molto redditizio: nel Darkweb una cartella clinica rubata può valere fino a 60 USD (un valore notevole se pensiamo che una carta di credito rubata vale da 1 a 3 USD). Ma perché le cartelle cliniche sono così pregiate per gli hacker? Le cartelle cliniche complete tipicamente contengono il nome, la data di nascita di un individuo, numero di previdenza sociale e informazioni mediche. Si può perciò rubare l’identità di una persona ed usarla per fatturare un intervento chirurgico o una prescrizione mai eseguiti. Oppure possono essere usate per ricatto ed estorsione.
Per parlare di questi argomenti, ho tenuto presso l’AUSL Romagna, all’Ospedale Bufalini di Cesena, un corso di un’intera giornata nell’ambito del programma di formazione per i Medici di Medicina generale.
L’AUSL della Romagna è nata dall’unione di quattro Aziende sanitarie locali: Forlì, Cesena, Rimini e Ravenna, ciascuna dotata di un proprio sistema informatico. Riuscire ad organizzare un unico sistema con molte migliaia di computer collegati in rete non è stata un’impresa facile, ma che è stata avviata grazie all’impegno dei molti addetti del servizio IT dell’azienda.
Ciascun computer e ciascun addetto rappresenta un punto del perimetro d’attacco degli hackers. Oggi un medico non può più prescindere dal web e dall’uso degli strumenti informatici, ma deve avere consapevolezza dei rischi che si corrono. Sapere che le password deboli sono la causa del 63% delle violazioni o come riconoscere un’email di phishing (oltre il 90% delle quali è portatrice di ransomware), può salvare i nostri dati e proteggere quelli aziendali.
Quindi questi rischi si possono evitare semplicemente conoscendoli. Spero di aver trasmesso ai circa 25 medici che hanno partecipato al corso qualche utile nozione ed un poco di sana “paranoia”. E – cito una frase di Matteo Flora – “nell’ambito della sicurezza la Paranoia è una Virtù”.
© Copyright 2016 Giorgio Sbaraglia
All rights reserved.