La sanità è senza dubbio uno dei bersagli prediletti dai cybercriminali per l’altissimo valore economico dei dati che vengono trattati in questo ambito. E questo, più che altri settori, è risultato essere il target preferito dai malintenzionati che hanno cercato di sfruttare il caos generato dall’emergenza sanitaria. Come riportato dal Clusit, infatti, gli attacchi nel settore della sanità sono aumentati del 19% nel primo semestre 2021, settore più colpito a livello globale dopo la Pubblica Amministrazione. In questo contesto, l’Italia, a differenza di altri paesi, ha pagato anche lo scotto di aver investito poco in passato, con strategie di sicurezza nate a volte da scelte fatte in maniera conservativa, e contromisure e pratiche adottate solamente a seguito di un attacco subito.
La sanità ha inoltre spesso pensato di non rientrare tra i bersagli di eventuali attacchi IT, basandosi sull’assunto che i cybercriminali non avrebbero mai messo a repentaglio vite umane per un mero ritorno economico. Purtroppo, non è così. Gli attaccanti sanno che le organizzazioni sanitarie semplicemente non possono permettersi di negoziare per giorni o settimane mentre i loro sistemi e pazienti sono tenuti in ostaggio. In questi mesi, infatti, abbiamo osservato diversi ospedali ed enti sanitari bloccati a causa di attacchi, la maggior parte ransomware, che hanno compromesso i dati, generando importanti e gravi disservizi con un impatto pericoloso sulla salute dei pazienti.
L’interruzione del servizio è naturalmente un punto critico per le istituzioni sanitarie, pensiamo che un semplice attacco DdoS può rendere completamente inutilizzabile, ad esempio, il portale delle prenotazioni o l’ufficio referti. Anche quando le organizzazioni sanitarie adottano tecnologie avanzate possono però mancare le competenze specifiche in grado di implementarla e utilizzarla correttamente.
Come proteggere il settore? Quali sono le tecnologie più utili ed efficaci?
Purtroppo, non è un segreto che nel settore sanitario, operare come utente privilegiato (ad esempio, un medico che con un tablet può accedere alle cartelle cliniche di numerosi pazienti) o consentire a un fornitore di terze parti (una compagnia di assicurazione o un fornitore di attrezzature mediche) di accedere a un sistema privilegiato è fin troppo comune.
Per far fronte a questo rischio potenziale, il consiglio principale è quello di adottare tecnologie di Privileged Access Management – il cui livello di adozione in Italia è ancora molto basso – atte a mettere in sicurezza identità e accessi utilizzati dagli individui nella gestione di sistemi infrastrutturali IT. La maggior parte del personale di un ospedale è ormai informatizzato, dalla segreteria ai medici che usano regolarmente pc e terminali. In questo senso è fondamentale considerare che chiunque debba utilizzare le risorse aziendali lo faccia applicando misure di protezione già in fase di accesso, ad esempio con la multi-factor authentication – spesso confinata all’accesso in VPN.
Può essere davvero facile bloccare interi settori di un ospedale compromettendo l’attività quotidiana di un dipendente ottenendo i suoi privilegi. Gli hacker che accedono agli account privilegiati sono in grado di elevare i privilegi e muoversi lateralmente in tutta la rete per raggiungere i loro obiettivi. Il focus sull’ottenimento e l’escalation di privilegi costituisce infatti un fil-rouge comune in questo tipo di attacchi che si rivela drammaticamente efficace.
A questo proposito sarebbe opportuno adottare MFA e single sign-on, approcci già supportati da molti applicativi. Naturalmente l’obiettivo è trovare la giusta sintesi tra l’implementazione di queste difese e una user experience il più semplice possibile che non crei complessità a livello operativo. Ogni dipendente, sulla propria postazione deve essere in grado di eseguire solo le attività necessarie per svolgere il proprio ruolo, niente di più e questo è possibile implementando soluzioni di Endpoint Management. L’applicazione di questo principio non è però così immediata dato che ci sono utenti con privilegi elevati, come i medici, che devono poter accedere a diverse risorse nella maniera più semplice e veloce possibile.
Un ulteriore aspetto critico, come già accennato, è la mancanza di competenze specifiche, per le quali sarebbe necessaria una continua formazione del personale sulla quale investire in modo significativo avviando, ad esempio, sessioni di training costanti dedicate alle tipologie di attacchi e ai metodi per riconoscere phishing e altre tipologie di compromissione.
A livello nazionale, il PNRR rappresenta sicuramente una grande opportunità per la sanità che non deve essere sprecata. Il consiglio principale è quello di dare precedenza a un assessment della sicurezza per comprendere quali siano le priorità da implementare nel breve, medio e lungo periodo. È necessario valutare e pesare i gap e prioritizzare gli interventi. Lo stanziamento di budget dedicato specificamente alla sicurezza IT è particolarmente significativo, con 620 milioni di euro per il settore pubblico, supportato anche da avanzate piattaforme tecnologiche ed enti come Consip, centrale acquisti della pubblica amministrazione italiana.
Una volta messe in atto tutte le principali misure di sicurezza, le organizzazioni sanitarie potranno concentrarsi sul miglioramento della consapevolezza e sulla formazione delle competenze, riconsiderando le best practice della protezione digitale, con il potenziamento costante di policy e backup dei sistemi critici dell’ospedale per proteggersi da attacchi futuri in modo sempre più efficace.
Di Paolo Lossa, Country Sales Director di CyberArk Italia