Il mondo della sanità è da tempo sotto attacco. Grandi volumi di dati preziosi e sensibili, la necessità di fornire servizi ininterrotti e un mosaico articolato di sistemi legacy rendono questo settore un bersaglio interessante per i criminali informatici.
I dati sanitari sono preziosi per due motivi. In primo luogo, perché le informazioni personali rappresentano per gli attaccanti un tesoro per il furto di identità: cambiare i dati della propria carta di credito può essere facile, ma modificare l’indirizzo, l’altezza, il peso, le informazioni sul coniuge, è molto più difficile. Questo rende i dati sanitari probabilmente ancora più redditizi di quelli finanziari.
In secondo luogo, sono preziosi perché possono essere monetizzati facilmente: ci sono persone disposte a pagare bene per intercettare le prescrizioni di sostanze controllate o accedere alla proprietà intellettuale sotto forma di ricerca clinica.
Attraverso il phishing, la compromissione delle e-mail, il ransomware o qualsiasi altro tipo di attacco, i cyber criminali possono superare le difese dell’assistenza sanitaria per chiedere un riscatto, esporre i dati personali e interrompere l’operatività delle infrastrutture.
E il peggio deve ancora venire. Tanto che nell’ottobre 2020, l’FBI ha avvertito gli ospedali e i fornitori di servizi sanitari statunitensi di aspettarsi “un aumento delle imminenti minacce informatiche… con conseguenti attacchi ransomware, furto di dati e interruzione dei servizi sanitari”.
Ospedali e fornitori di servizi sanitari non sono gli unici sotto attacco. I criminali informatici stanno concentrando i loro sforzi anche su aziende farmaceutiche, assicuratori, centri di formazione e qualsiasi altra istituzione che possa detenere informazioni sensibili di grande valore.
Un settore già sotto assedio è mal preparata per un nuovo assalto. Per rafforzare le sue difese, la sanità deve prima di tutto comprendere la natura delle minacce IT da affrontare e quali siano le persone più a rischio all’interno delle diverse organizzazioni. Solo a partire da queste basi può costruire una solida difesa in grado di individuare e scoraggiare minacce complesse, ora e in futuro.
Comprendere gli attaccanti
Nel suo Healthcare Threat Landscape Report 2020, Proofpoint ha analizzato i dati sulle minacce e attribuito le campagne effettuate verso le aziende sanitarie a 35 diversi autori di minacce. Circa il 93% dei dati relativi alle campagne nel settore sanitario è una combinazione di cybercriminalità su larga e piccola scala.
Gli hacker adottano un approccio distribuito, inviando grandi volumi di attacchi a un’ampia gamma di organizzazioni. All’inizio di quest’anno, uno di loro, TA505, ha condotto una vasta campagna contro il settore sanitario, inviando 200.000 messaggi dannosi ad aziende farmaceutiche. Attacchi di queste dimensioni non sono rari, una volta lo stesso TA505 ha distribuito 50 milioni di allegati pericolosi in un solo giorno.
Al contrario, gli aggressori su piccola scala non adottano un approccio a tappeto, concentrandosi invece su sotto-settori e segmenti verticali più ridotti. Le loro campagne sono meno frequenti e di volume inferiore, ma tendono a essere più sofisticate.
Si tratta di attacchi che sfruttano preziosi dati sanitari per una maggiore personalizzazione del bersaglio, incorporando un livello di ingegneria sociale per ingannare le vittime inconsapevoli, affidandosi a typosquatting e keylogger per raccogliere e vendere informazioni personali e credenziali.
Infine, c’è una minaccia meno comune contro il settore sanitario che ha tutto il potenziale per essere la più devastante: gli attacchi da parte dei governi statali.
I gruppi di hacker organizzati, con sede principalmente in Cina, Iran e Russia, hanno mostrato per molti anni un pericoloso interesse per l’assistenza sanitaria occidentale. La maggior parte degli Stati nazionali concentrano la loro attenzione sulla proprietà intellettuale, cercando di penetrare le difese delle grandi aziende farmaceutiche e degli istituti di ricerca.
Mentre la scala e la fonte possono essere diverse, i metodi spesso si sovrappongono, con attacchi ransomware e phishing ancora molto diffusi.
Sempre più spesso, tuttavia, è la compromissione dell’account che rappresenta la minaccia maggiore per l’industria sanitaria. Con l’appropriazione indebita o l’impersonificazione di un account legittimo, i criminali si infiltrano nelle relazioni e nelle catene di fornitura per frodare le istituzioni e arrivare a credenziali e dati sensibili, che possono essere facilmente monetizzati.
Comprendere chi viene attaccato
Con un’immagine più chiara del panorama d’attacco sarà possibile adattare le difese. Per il settore sanitario questo potrebbe significare l’implementazione di strumenti di filtering delle e-mail per bloccare le minacce prima che raggiungano la casella di posta elettronica e la creazione di processi di verifica per limitare le possibilità di successo degli attacchi di spoofing e di compromissione dell’account.
Ma la tecnologia da sola non basta. I cyber attacchi prendono sempre più di mira le persone, e saranno proprio i singoli individui a rappresentare la linea di difesa più forte.
Definire una strategia di protezione incentrata sulle persone inizia con l’identificazione delle risorse maggiormente sotto attacco, le cosiddette Very Attacked People (VAP).
In prima linea ci saranno persone diverse in base all’organizzazione o istituzione. Ad esempio, i criminali informatici tendono a prendere di mira ex alunni e professori degli ospedali universitari, i reparti amministrativi delle assicurazioni mediche e il personale clinico dei grandi fornitori di servizi sanitari. Detto questo, CEO, dirigenti e direttori sono di solito ugualmente nel mirino.
Una volta identificate le VAP, si potranno fornire tutti gli strumenti e le informazioni necessarie per proteggere l’organizzazione.
Il processo inizia con un training di sensibilizzazione alla sicurezza a livello aziendale, che copre le minacce, i metodi e le motivazioni più recenti e la capacità di individuare link dannosi e le e-mail sospette, per far comprendere agli utenti che la sicurezza informatica è responsabilità di tutti.
Tenere il passo delle minacce in evoluzione
Rigidi controlli tecnici ed elevati livelli di consapevolezza degli utenti possono essere le basi di una strategia globale di sicurezza informatica, ma non sono certo sufficienti, perché gli attaccanti troveranno sempre nuovi modi per violare le difese.
Non è sufficiente proteggere gli ambienti cloud, implementare i più recenti controlli e-mail e di autenticazione e insegnare agli utenti come appare un’e-mail di phishing. È necessario continuare a monitorare il panorama delle minacce per garantire che le protezioni messe in atto rimangano adeguate allo scopo per molto tempo.
Con un footprint digitale in crescita e una forza lavoro sempre più distribuita, è improbabile che i cyber criminali rinuncino al settore sanitario e gli attacchi saranno sempre più intensi, mirati e sofisticati.
Simili azioni richiedono un’intelligence avanzata sulle minacce. Il settore sanitario non può permettersi di non agire. Solo implementando una difesa informatica ampia, orientata alle persone e proattiva, ogni organizzazione può sperare di proteggere i propri dati, salvaguardare gli utenti e scoraggiare i cyber criminali che cercano di danneggiarli.
Ryan Witt, Healthcare Cybersecurity Leader, Proofpoint