L’impatto degli attacchi ransomware nel settore sanitario è tanto più preoccupante quanto poco considerato. Solo negli Stati Uniti, gli attacchi al sistema sanitario causano un costo annuale di 21 miliardi di dollari, di cui oltre 100 milioni di dollari in somme legate a richieste di riscatto. Pensando all’Italia, la situazione non è certo migliore, anche perché risultiamo essere il quarto paese al mondo ad aver subito, negli ultimi mesi, maggiori attacchi informatici a strutture sanitarie e ospedaliere. Basti pensare all’ultimo incidente lanciato lo scorso maggio contro i sistemi gestionali informatici dell’Asst Fatebenefratelli Sacco di Milano, che ha messo fuori uso i portali online di ogni struttura gestita dall’azienda, causando inevitabili ritardi nella prenotazione di visite ed esami di laboratorio. I recenti report elaborati da Clusit indicano poi che le aziende sanitarie Italiane, oltre a correre continui rischi di attacchi e violazioni informatiche, dimostrano di avere ridotte capacità di reazione.
Sebbene l’impatto finanziario contribuisca a illustrare l’entità del problema, il costo reale è rappresentato dalle conseguenze sulla cura dei pazienti e dai tassi di mortalità più elevati. Purtroppo, gli attacchi informatici nel settore sanitario coinvolgono quasi sempre dispositivi IoT/loMT (Internet of Medical Things). Gli ospedali sono un facile bersaglio per gli hacker, anche perché la sanità sta combattendo una pandemia con personale esausto e competenze limitate in materia di cybersicurezza. Una maggiore allocazione di budget ai reparti IT consentirebbe di mettere in sicurezza i dispositivi, proteggere le informazioni preziose e limitare gli attacchi malevoli.
Il rischio di sicurezza dei dispositivi medici connessi
Lo scorso maggio, Joshua Corman, consulente senior del CISA (l’agenzia americana impegnata nella difesa delle infrastrutture critiche dalle minacce cyber) ha documentato i rischi crescenti nel settore sanitario durante un’audizione al Senato. Nell’agosto 2022, Cynerio, partner di Ivanti, ha collaborato con il Ponemon Institute per approfondire l’impatto dei dispositivi medici ‘poco sicuri’ per ospedali e pazienti nel report ‘Insecurity of Connected Devices in Healthcare 2022’. L’indagine ha previsto di intervistare oltre 500 ospedali in merito alle minacce e alla sicurezza dei dispositivi IoMT.
I risultati emersi indicano che:
· Il 43% degli intervistati ha subito almeno un attacco ransomware.
· L’88% dei cyberattacchi ha coinvolto un dispositivo IoMT.
· Il costo medio della violazione dei dati è di oltre 1 milione di dollari.
· Tragicamente, il 24% degli attacchi provoca un aumento del tasso di mortalità.
· Il report evidenzia che la rivendita dei dati dei pazienti è redditizia, come dichiarato dal 43% degli intervistati che ha subito almeno una violazione dei dati nei 24 mesi precedenti.
Il ransomware è un circolo vizioso alimentato dai pagamenti degli ospedali
Gli attacchi ransomware agli ospedali sono dannosi per molteplici aspetti e spesso prospettano solo opzioni negative. Purtroppo, le infrastrutture sanitarie valutano il pagamento del riscatto come la soluzione ideale per il rapido recupero dei dati, con il 47% che sceglie di pagare. Coloro che invece hanno deciso di non pagare alcun riscatto hanno sostenuto maggior investimenti per implementare un’efficace strategia di backup (53%) e rivedere le policy interne (49%).
Il settore sanitario è esposto a numerose tipologie di attacchi piuttosto diffuse
La carenza di personale causa grandi lacune di competenze e gli hacker hanno approfittato del gap informativo sulla sicurezza dei dispositivi IoT/IoMT scatenando vari attacchi agli ambienti sanitari.
Tra le principali minacce all’IoT e agli altri dispositivi connessi, gli intervistati hanno espresso la massima preoccupazione per:
· Mancanza di visibilità sulle reti IoT (45%).
· Phishing (45%).
· Attacchi zero-day (41%).
· Attacchi ransomware (39%).
Gli ospedali non spendono abbastanza per proteggere i propri dispositivi
In media, gli ospedali dichiarano di spendere il 3,4% del proprio budget IT per proteggere i dispositivi ma i responsabili del budget spesso hanno difficoltà ad allocare le risorse per proteggere i propri ambienti. Il budget IT standard degli intervistati ammonta in media a 145 milioni di dollari da investire nel corso dell’anno e un valore pari al 17% di tale spesa è destinata alla sicurezza IT. Di questa spesa dedicata alla sicurezza, circa il 20% viene destinato alla sicurezza dei dispositivi IoT/IoMT, un valore sicuramente insufficiente se si considerano le potenziali conseguenze di una violazione dei dati o l’impatto sulla sicurezza dei pazienti. Inoltre, il 71% degli intervistati ha valutato i rischi per la sicurezza presentati dai dispositivi IoT/IoMT come alti o molto alti, mentre solo il 21% ha dichiarato di essere in una fase avanzata per implementare azioni di sicurezza proattive.
Alcuni suggerimenti
Tutti i dispositivi IoT/IoMT devono essere messi in sicurezza e controllati prima che sia troppo tardi.
Secondo il report, la responsabilità in materia loT/loMT è distribuita tra diversi reparti, con conseguente confusione e attribuzione delle competenze in caso di problemi. Il coordinamento della responsabilità per tutti i dispositivi IoT/IoMT deve essere gestito all’interno di un unico reparto dell’ospedale, non deve essere distribuito tra vari uffici come avviene oggi.
Infine, gli ospedali dovrebbero aumentare la spesa media per la sicurezza dei dispositivi IoT/IoMT almeno fino al 5%-7% del proprio budget totale per l’IT, rispetto all’attuale 3%, al fine di riuscire a ridurre sensibilmente i danni derivanti dagli attacchi hacker che causano un aumento dei tassi di mortalità, danneggiano l’immagine e riducono la produttività.
Di Sara Gamba, UEM & Security Sales Specialist Mediterranea Region di Ivanti