La sanità è sempre più nel mirino dei cybercriminali che continuano ad evolvere i loro attacchi per prendere di mira sia il settore pubblico che quello privato, interrompendone potenzialmente servizi e operazioni. Un problema allarmante anche alla luce del fatto che l’healthcare è proprio ora al centro del processo di digital transformation e saranno sempre di più i dispositivi cruciali per l’erogazione di servizi inerenti alla salute dell’individuo connessi in rete. Ecco perché le strutture sanitarie devono iniziare ad attrezzarsi in maniera più strutturata per fare fronte ai cyber attacchi, investendo ovviamente nella giusta tecnologia, ma lavorando anche dal punto di vista dei processi, delle procedure e della cultura.
Umberto Pirovano, Manager System Engineering di Palo Alto Networks, fa il punto della situazione prendendo il considerazione i dati dell’ultimo report sulle minacce di Crypsis Group e affrontando il problema della cybersecurity in ambito sanitario.
Come si sta evolvendo il panorama delle minacce informatiche?
“In base ai punti chiave del report sulle minacce di Crypsis Group, parte di Palo Alto Networks, non ci si può più stupire della capacità di innovazione dei creatori di attacchi informatici. Considerando che il profitto a disposizione per i cyber criminali aumenta con il crescere del valore di dati e informazioni, ci sarà sempre spazio per investire tempo e risorse per la ricerca e l’attuazione di violazioni a sistemi vulnerabili.
Se da una parte gli attacchi stanno diventando sempre più sofisticati, specialmente quelli condotti in ambito cyberwar o comunque con il supporto di governi, dall’altra assistiamo a una difficoltà nel mantenere sotto controllo la postura di sicurezza di molte aziende, in particolar modo con chi ha una struttura IT distribuita e costruita su uno stack tecnologico complesso. Alcuni dei più clamorosi attacchi che hanno avuto successo recentemente (tipicamente ransomware) erano basati su vulnerabilità note e hanno usato vettori di accesso “classici” (email o insider).
Inoltre, opportunità e ritorno di investimento aumentano: la convergenza IT/OT sta subendo un’accelerazione come mai prima d’ora, anche spinta da alcune innovazioni tecnologiche (5G ad esempio) che faciliteranno l’adozione di modelli di elaborazione di dati distribuiti e basati su cloud. Se tutto ciò non viene affrontato con una logica di security o privacy by design, è scontato infliggere un ulteriore colpo alla postura di sicurezza di un’azienda”.
Quali sono i settori maggiormente colpiti?
“Sempre rifacendoci al report di Crypsis, non ci ha sorpreso scoprire che il settore della sanità sia stato il più colpito dagli incidenti di sicurezza. Queste organizzazioni hanno riscontrato i tassi più elevati di ransomware (22% di tutti i casi di ransomware trattati da Crypsis lo scorso anno) e il secondo tasso più alto di compromissione della posta elettronica aziendale (BEC). Le aziende sanitarie hanno anche subito un numero relativamente elevato di incidenti di divulgazione involontaria di dati (l’esposizione accidentale di informazioni a causa di controlli di sicurezza impropri).
Guardando al presente, l’assistenza sanitaria continua a essere fortemente colpita. A ottobre, la Cybersecurity and Infrastructure Security Agency (CISA), il Federal Bureau of Investigation (FBI) e il Department of Health and Human Services (HHS) hanno rilasciato un avviso congiunto sulla sicurezza IT, in merito a una minaccia crescente e imminente per il sistema sanitario statunitense. Secondo un recente blog di Unit 42 di Palo Alto Networks, gli hacker hanno mostrato un interesse maggiore nel prendere di mira il settore sanitario privato e pubblico, interrompendone potenzialmente servizi e operazioni. Il team di ricerca ha osservato l’uso del malware Trickbot, un noto trojan modulare, che può portare al furto di informazioni, alla ricognizione della rete e all’installazione di altri file dannosi, incluso il ransomware Ryuk.
Altri settori strategici seguono a ruota: finanziario, energy/utilities e manufacturing ad esempio, per i quali è facile prevedere un costante incremento di attacchi man mano che il processo di digitalizzazione estenderà la loro superficie di attacco. La recente scoperta dell’alterazione dei livelli di liscivia in un acquedotto della Florida da parte di un gruppo hacker che ha violato l’accesso da remoto ai sistemi OT è un esempio del livello di rischio a cui tutti noi siamo esposti”.
In ambito sanitario quale tipo di attacchi hanno maggiormente successo?
“Attacchi ransomware e compromissione dei sistemi di posta aziendali sono gli attacchi più pervasivi e con maggiore impatto. Chi attacca può avere un ritorno immediato dal blocco delle attività del soggetto colpito, tramite la cifratura e, in seconda battuta, la rivendita di informazioni personali e riservate. Abbiamo visto negli ultimi tempi lo sviluppo di strategie di attacco multilivello in ambito sanitario, ovvero infezioni di ransomware in grado di fare esfiltrazione di dati prima della cifratura o in parallelo alla stessa. In questo modo, in caso l’obiettivo non fosse intenzionato a pagare per la decrittografia, (magari perché in grado di recuperare dati e operatività in breve tempo), all’attaccante rimane comunque una seconda carta da giocare, quella della minaccia di divulgazione dei dati riservati sottratti. Abbiamo assistito infine al raffinarsi delle tecniche di search & destroy dei backup.
È lecito pensare che queste due tendenze descritte rappresentino un’evoluzione tattica per scongiurare una diminuzione della tendenza a pagare da parte delle aziende, ed è per questo che l’implementazione di una strategia di difesa appropriata che comprenda tutto l’ambito IT/OT della sanità sia l’unica via percorribile.
Allo stesso tempo, il segmento della sanità sta percorrendo ad alta velocità la via della digital transformation e un numero sempre più elevato di dispositivi cruciali per l’erogazione di servizi inerenti alla salute dell’individuo sono connessi e gestiti in rete.
Statisticamente si calcola che un paio d’anni fa i dispositivi medicali connessi fossero circa il 20%, per balzare al 40% attuale. Questo si riflette in un incremento nell’efficienza dei processi e nell’erogazione di un livello sanitario migliore, ma allo stesso tempo si vengono a creare potenziali nuovi vettori per gli attaccanti. Ecco perché funzioni di IoT security pensate per l’ambito medicale, integrate alla piattaforma di security e all’adozione di strategie zero-trust sono fondamentali per mantenere la corretta postura di sicurezza di questi asset cruciali. IoT non è un termine marketing vuoto: è un concetto che porta con sé alcuni elementi distintivi quali l’elevato numero di dispositivi connessi, con una variabilità di hardware e software elevatissimi, spesso costruiti con software limitati dal punto di vista della security, non facilmente patchabili. Sono tutti elementi che devono far prediligere la scelta di sistemi di IoT security integrati e automatizzati, sia nella fase di riconoscimento dei dispositivi, che in quella di analisi dei comportamenti in rete, con la conseguente creazione di regole di sicurezza adeguate”.
Esistono in sanità dei casi noti di gravi violazioni?
“Il caso più clamoroso è stato quello legato alla paziente tedesca deceduta durante un attacco ransomware che aveva costretto l’ospedale a rifiutarne l’ammissione, trasferendola in un’altra struttura.
Si è pensato che fosse il primo caso di morte dovuta a un attacco cyber a una clinica.
Mesi di indagini hanno però decretato che il ritardo non ha influito sul decesso ma tutti sono concordi che prima poi accadrà realmente purtroppo.
Un altro aspetto importante di questo incidente risiede nel fatto che l’attacco non fosse originariamente diretto all’ospedale, ma che l’obiettivo fosse in realtà la facoltà universitaria collegata.
Ancora una volta la mancanza di una infrastruttura di protezione in grado di identificare e bloccare i movimenti laterali e la diffusione di malware, oltre alla difficoltà di mantenere aggiornati tutti i sistemi connessi in rete, hanno consentito la proliferazione immediata dell’attacco all’interno della rete e la sua diffusione sulla clinica, portando al collasso di tutti i sistemi connessi in rete, inclusi quelli necessari all’ammissione di un paziente in condizioni critiche”.
Come le organizzazioni sanitarie possono difendersi?
“Esistono molte best practice per proteggersi da queste tattiche di minaccia, incluso l’utilizzo di prodotti all’avanguardia ed efficaci, come firewall di nuova generazione con funzioni di Machine Learning avanzate e funzioni di IoT security integrate. Altrettanto importante l’adozione, ove possibile, di endpoint detect and response. Questo purtroppo non sempre è realizzabile, essendoci diversi sistemi IoT sui quali non sono installabili agents, ecco perché la funzione di IoT security integrata nel Next Gen Firewall assieme a funzionalità di Networks Traffic Analysis (sempre integrata nel NGFW) diventa fondamentale per tracciare eventuali movimenti laterali e mutazioni nel comportamento dei device”.
Oltre all’adozione di soluzioni tecnologiche come le aziende possono ridurre la possibilità di subire le violazioni?
“L’educazione alla cyber hygiene è un elemento fondamentale, in quanto l’utente finale è spesso uno degli anelli più deboli nella catena della sicurezza. In un mondo che a livello tecnologico cambia a una velocità mai vista prima, le tecnologie diventano pervasive e vengono a disposizione per un consumo immediatamente. Un utilizzo non consapevole è uno dei presupposti del successo delle tecniche di social engineering applicate dai cyber criminali.
La security non è fatta solo da tecnologie, ma è l’insieme di processi, procedure, tecnologie e cultura, ed è questo insieme che può portare a ottimi risultati.
Sotto questo aspetto si è spesso parlato di adeguare processi e organigrammi aziendali per dare alla cyber security il peso e la rilevanza necessarie ad una strategia di successo”.