Il cyberattacco che nella giornata di domenica primo maggio ha colpito gli ospedali Fatebenefratelli, Sacco, Buzzi e Macedonio Melloni di Milano ci ricorda come gli hacker non operino secondo un codice morale e non si facciano scrupoli a colpire anche i settori più critici e nevralgici del Paese per realizzare i propri guadagni. L’attacco in questione si sta rivelando uno dei più gravi scagliati contro il sistema sanitario italiano degli ultimi tempi e dimostra ancora una volta come le minacce a questo settore si stiano moltiplicando. L’escalation del cybercrimine contro gli ospedali di tutto il mondo, infatti, ha già raggiunto il picco storico nel corso dello scorso anno, e organizzazioni come l’FBI, la CISA e l’HHS hanno lanciato diversi allarmi per mettere in guardia le organizzazioni sanitarie sulle crescenti minacce. In particolare, sono gli attacchi ransomware come quello contro le strutture sanitarie lombarde a colpire in questo momento più duramente il settore sanitario, proprio perché i criminali approfittano delle vulnerabilità del personale sanitario, operativamente oberato, per interrompere i sistemi digitali critici e chiedere un riscatto. La realtà è che gli ospedali devono essere in grado di reagire ed evitare ad ogni costo i downtime, perché è proprio su questi che i criminali informatici stanno puntando.
Il settore sanitario è preso di mira anche perché è quello che, storicamente, risulta essere più lento rispetto ad altri nell’aggiornare la propria infrastruttura digitale, il che significa che anche grandi gruppi ospedalieri si affidano spesso ancora a sistemi obsoleti privi di robuste difese informatiche. Tutti e quattro gli ospedali colpiti dall’attacco del primo maggio fanno parte del gruppo ASST Fatebenefratelli Sacco, il che ci suggerisce che l’attacco potrebbe aver violato le organizzazioni a partire da un unico punto debole nella catena di approvvigionamento comune alle quattro strutture ospedaliere.
Purtroppo, quello che abbiamo potuto osservare anche in questo attacco è lo spietato effetto domino generato da questi cyberattacchi sul mondo reale. Con il pronto soccorso del Fatebenefratelli e del Sacco parzialmente bloccati, i pazienti sono stati dirottati verso altre strutture ospedaliere vicine immuni dall’attacco, come l’Istituto Clinico Città Studi (ICCS), che ha compiuto uno sforzo enorme per cercare di far fronte alla situazione. Anche con buoni backup, rimettere in funzione i sistemi dopo un attacco ransomware può richiedere diverse settimane per ricostruire le infrastrutture e resettare le credenziali.
Esattamente un anno fa la Colonial Pipeline veniva colpita dal più grande attacco hacker contro un’infrastruttura critica degli Stati Uniti, dimostrando quanto il rischio fosse reale e purtroppo, ancora oggi, i potenziali effetti domino dei ransomware rappresentano una minaccia concreta per i settori delle infrastrutture critiche europee.
Quando il responsabile IT di turno del Fatebenefratelli è stato chiamato nelle prime ore di domenica mattina per risolvere un “malfunzionamento dell’infrastruttura” è stata presa la decisione di spegnere manualmente l’intero sistema dell’ospedale per cercare di prevenire la diffusione del ransomware. Per questo motivo, i database principali non sono stati accessibili o criptati. La stessa linea d’azione – ovvero uno spegnimento manuale – è stata portata avanti anche durante l’attacco alla Colonial Pipeline, con le conseguenze ormai note di carenza di carburante e aumento dei prezzi del gas. In casi come questi, è proprio l’azione messa in atto per arginare il ransomware a rappresentare spesso una delle cause principali dell’interruzione dei sistemi.
Anche se negli anni passati la trasformazione digitale è sembrata avvenire in modo meno rapido nel settore sanitario, più recentemente abbiamo assistito a un cambiamento di passo significativo, con un numero sempre maggiore di ospedali che adottano un approccio diverso alla difesa informatica, utilizzando la tecnologia di IA per rilevare e bloccare autonomamente le avvisaglie di un attacco. Questa tecnologia, in grado di apprendere a partire dalle operazioni definite “normali” svolte da qualsiasi organizzazione sanitaria al fine di individuare tutti quei segnali anomali che potrebbero nascondere possibili minacce, permette, in sostanza, alle organizzazioni più nevralgiche di mantenere uno stato di allerta continuo e strutturato.
A livello sovranazionale, anche i governi sono consapevoli dell’importanza di questa tecnologia all’avanguardia nella difesa dei settori più critici. La nuova strategia europea per la sicurezza informatica, che mira a rafforzare la resilienza collettiva dell’Europa contro le minacce informatiche, sottolinea che l’Intelligenza Artificiale aiuterà a costruire uno “scudo di sicurezza informatica” per i Paesi membri, consentendo di rilevare in maniera tempestiva i primi segnali di un attacco informatico.
Oggi, centinaia di organizzazioni sanitarie sfruttano questa tecnologia per la difesa informatica e un numero significativo di queste ha sede in Europa. Dordogne Groupement Hospitalier de Territoire (GHT), ad esempio, è un gruppo ospedaliero con sede nel sud della Francia che l’anno scorso ha utilizzato l’Intelligenza Artificiale per fermare l’attacco ransomware Ryuk che aveva minacciato di bloccare l’intero ospedale. L’IA è stata in grado di individuare l’attacco fin dalle sue primissime fasi, rilevando la differenza tra l’attività “normale” all’interno dell’infrastruttura digitale dell’ospedale e le azioni malevole intraprese dal ransomware. Ha quindi bloccato solo le attività del ransomware permettendo così al resto del sistema di continuare a funzionare normalmente, evitando il blocco informatico.
È evidente che gli attacchi ransomware non stanno allentando la loro morsa e che ogni attacco informatico a una struttura ospedaliera mette a rischio sia la sicurezza dei dati che la salute dei suoi pazienti. Per questo, è il momento di armare le organizzazioni sanitarie italiane con le più avanzate tecnologie di difesa disponibili e combattere così il pregiudizio ormai obsoleto che vede il settore come un bersaglio facile per gli hacker. Sulla scia di attacchi così gravi come quelli che hanno colpito gli ospedali milanesi, è il momento di equipaggiare le difese informatiche con l’IA e proteggere la linfa vitale dell’Italia, i nostri sistemi sanitari e i servizi critici.
A cura di Mariana Pereira, Director of Email Security Products, EMEA, Darktrace