Negli ultimi mesi, si sono moltiplicati gli attacchi ransomware in danno di molti ospedali degli Stati Uniti, tanto da indurre l’Agenzia Federale per la Sicurezza (US Cybersecurity and Infrastructure Security Agency, CISA) a diramare un comunicato per richiamare l’attenzione degli addetti ai lavori sul fenomeno.
CISA e FBI e dispongono infatti di informazioni credibili su una “minaccia crescente e imminente del crimine informatico per gli ospedali e gli operatori sanitari statunitensi” e invitano tutte le strutture sanitarie ad adottare preventive misure di sicurezza per proteggere i sistemi informatici da questi attacchi.
Il ransomware è un software dannoso che, una volta eseguito inconsapevolmente nei server attaccati, ne cripta il contenuto, rendendolo indisponibile. A questo punto, l’autore dell’attacco chiede un riscatto (ransom) per fornire un codice per la decrittazione dei server.
E’ evidente che, nel caso in cui i server vittima dovessero essere quelli di una struttura sanitaria o ospedaliera, il danno derivante dall’eventuale interruzione di servizi erogati sarebbe incalcolabile. Per questo motivo la CISA raccomanda agli amministratori, soprattutto in questo periodo di emergenza sanitaria mondiale, di tenere in considerazione la mitigazione del rischio nella determinazione del budget degli investimenti in sicurezza informatica.
Negli ultimi tempi, anche in Italia si è assistito ad un aumento degli attacchi cyber in danno di ospedali e strutture sanitarie, e purtroppo, spesso le aziende decidono di pagare il riscatto (che può arrivare anche a milioni di euro) e riottenere la disponibilità dei propri dati, senza denunciare la violazione di dati personali.
Così facendo però la struttura, se da un lato può continuare ad erogare i servizi sanitari essenziali assicurandone la necessaria continuità, dall’altro non ha nessuna garanzia della non compromissione dei propri dati che potrebbero essere stati copiati e venduti nel periodo di indisponibilità.
Le ragioni di questa impennata di attacchi in danno di aziende sanitarie sono diverse.
In primo luogo il valore dei dati sanitari, dato dall’insieme di dati anagrafici, nome cognome, codice fiscale, utilizzati per i furti di identità, uniti a quelli delle patologie, utilizzati per attività di marketing farmaceutico o per altre attività commerciali collegate.
Il Financial Times ha addirittura elaborato un algoritmo in grado di calcolare il valore dei dati in quello che è un vero e proprio mercato.
Ad esempio i dati di una donna in attesa del primo figlio, “valgono” 0,102 dollari, quelli di un diabetico, 0,267, ed il valore cresce all’aumento delle patologie, al variare della professione, dell’età e dello stato civile.
Per questi motivi, secondo uno studio condotto dalla Kasperky, (società leader della sicurezza informatica che prevede anche un intensificarsi di attacchi contro strutture sanitarie nel 2021) è stato stimato che il valore di una singola cartella clinica, nel dark web - una sorta di web parallelo nel quale si commerciano beni e servizi illegali - possa arrivare fino a 25 euro.
All’alto valore dei dati sanitari si aggiunge una debole politica di sicurezza delle informazioni attuata dalle strutture sanitarie. Investire in sicurezza non genera infatti profitti immediati e diventa sempre più complesso individuare risorse economiche dedicate alla prevenzione dei crimini informatici.
In più, le infrastrutture degli ospedali sono molto estese e spesso prevedono l’esternalizzazione di alcuni servizi chiave (si pensi ad esempio alla digitalizzazione delle cartelle cliniche), senza effettuare quella necessaria e preventiva verifica della capacità dei fornitori di fornire “garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate” richiesta dall’Art. 28 del regolamento UE 2016/679.
Questa mancata verifica, fa si che molte volte siano proprio le società che forniscono servizi in outsourcing a costituire l’anello debole sotto il profilo della sicurezza, ed essere vittima di attacchi informatici finalizzati al furto dei dati sanitari affidati loro dalle strutture.
Se si sommano dunque il valore dei dati sanitari, la scarsa cultura della sicurezza, l’oggettiva difficoltà a reperire risorse economiche, ad una estesa superficie oggetto di attacchi, il quadro che ne viene fuori è preoccupante, e si comprende il motivo per il quale dal 2005 ad oggi sono state compromesse (furto o perdita di riservatezza) più di 300 milioni di cartelle cliniche (Rapporto Clusit 2020).
La situazione sembra dunque allarmante, tanto che nel 2020 si verificato il primo decesso “indiretto” conseguenza di un attacco hacker ad un ospedale tedesco, che non ha saputo gestire la temporanea indisponibilità dei propri server ed è stato costretto a non accettare il ricovero urgente di una donna. Anche se le indagini sono ancora in corso, sembra che il ritardo di un’ora nella prestazione delle cure, dovuto al trasferimento presso un altro ospedale, sia stato fatale per la paziente.
Secondo la definizione data dalla norma ISO 22301:2019 la Business Continuity consiste nella “capacità di un’azienda di continuare ad erogare prodotti e servizi ad un livello accettabile, a fronte di eventi di ogni genere che potrebbero verificarsi”. Dal momento che, come si è visto, garantire la continuità dei servizi sanitari può anche fare la differenza tra la vita e la morte di un paziente, tutte le strutture dovrebbero avere un sistema integrato di gestione della continuità che illustri la reazione dei sistemi ad un attacco informatico.
Dovranno dunque essere illustrate le politiche di backup, le misure di sicurezza e soprattutto i tempi di ripristino di tutti i sistemi e cioè in quanto tempo l’azienda è in grado di tornare ad erogare i propri servizi dopo un attacco.
Per procedere alla redazione di un piano di continuità, è necessario esaminare a fondo le infrastrutture e verificarne la vulnerabilità attraverso una attenta analisi dei rischi, attività spesso trascurata ma che deve costituire la base della sicurezza in ogni struttura.
L’adozione di un piano di continuità aziendale non è solamente un’azione di buonsenso o buona prassi (le norme ISO come la 22301/19 sono di adozione volontaria) ma è anche un obbligo previsto dal Regolamento in materia di protezione dati personali (RGPD).
Tra gli obblighi in materia di sicurezza che il RGPD impone a tutti i titolari, l’art. 32 prevede infatti tra gli altri, quello di mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, fra le quali, oltre alla “capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” figura anche “la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico”.
Sebbene il RGPD sia in vigore dal 25 maggio 2018, l’adeguamento alle prescrizioni normative è purtroppo nel migliore dei casi solamente formale. Un caso emblematico è la nomina obbligatoria del Responsabile Protezione Dati (prevista dall’Art. 37 RGPD) che dovrebbe avere (tra le altre) la funzione di sorvegliare l’applicazione del Regolamento all’interno delle aziende.
Spesso tuttavia, per esigenze di budget o per una mancata percezione dell’importanza del ruolo, vengono nominate figure prive di quelle conoscenze specialistiche che vengono richieste dalla legge e che devono possedere per potere assolvere ai propri compiti.
Dal momento che una altissima percentuale di attacchi è agevolata dal comportamento umano, ogni struttura dovrebbe predisporre ed attuare adeguati piani di formazione del personale, al quale impartire nozioni e regole di comportamento.
Potrebbe essere un buon punto di partenza illustrare ai dipendenti ed in generale a tutti gli autorizzati al trattamento, le raccomandazioni del Garante per la Protezione dei Dati Personali che proprio con riferimento agli attacchi ransomware ha fornito i seguenti suggerimenti:
Va da sé che le raccomandazioni del Garante prendono in considerazione quelle che, analizzando gli attacchi ransomware, si sono rivelate le cause più frequenti di infezione dei server aziendali.
Un dipendente formato ed informato, è la prima difesa
L’art. 32 del RGPD tra le misure di sicurezza da adottare, impone anche l’adozione di “una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.
Ciò significa che, una volta effettuata l’analisi dei rischi, individuate le misure di sicurezza tecniche ed organizzative, adottato il sistema di continuità aziendale, le stesse operazioni devono essere periodicamente ripetute per assicurarne l’efficacia.
Una buona prassi è fare riferimento al ciclo di Deming (che si sintetizza con l’acronimo PDCA), che prevede il ripetersi ciclico delle seguenti azioni:
Dopo la fase di attuazione (A), si riparte con una nuova pianificazione (P) e con un nuovo ciclo che porta ad un miglioramento costante dell’efficacia delle misure.
La sicurezza è un processo aziendale, ma prima ancora culturale che nel mondo della sanità digitale non può più essere trascurato. La situazione pandemica in atto ha portato infatti ad un maggiore ricorso alla sanità digitale, attraverso servizi di telemedicina o la diffusione di App “mediche”.
Questo aumento della domanda di servizi digitali, comporta però anche una maggiore esposizione al rischio di attacchi informatici, e deve essere necessariamente accompagnata da un’offerta di sicurezza che possa garantire la corretta prestazione sanitaria, dal momento che “la carente sicurezza dei dati sanitari e dei sistemi che li ospitano può rappresentare una causa di malasanità” (Discorso del Presidente dell’Autorità Garante al Parlamento in occasione della presentazione della Relazione 2018).