Il fenomeno del ransomware, in costante crescita, non ha risparmiato il settore sanitario: sempre più spesso ospedali e strutture sanitarie sono vittime di cyberattacchi. Ciò che li rende un obiettivo particolarmente interessante è il crescente volume di informazioni e dati sensibili che vengono salvati, condivisi e archiviati e che rappresentano un obiettivo allettante per i cyberciminali.
L’effetto più devastante di questo tipo di minaccia però, è dato dall’impatto che possono avere sulle attività di cura: il ransomware può compromettere il funzionamento di macchinari salvavita e rallentare lo svolgimento di visite e interventi, bloccando i sistemi informatici e non consentendo l’accesso e la consultazione delle cartelle dei pazienti e dei software per la gestione degli appuntamenti.
Ad aggravare il quadro è arrivata l’emergenza COVID19 che ha costretto il settore della Sanità a predisporre velocemente strutture di emergenza, determinando spesso una minore attenzione alla pianificazione di infrastrutture di sicurezza IT. Inoltre, gruppi di ransomware sempre più sofisticati vengono diffusi attraverso attacchi mirati eseguiti strategicamente, che si rivelano più difficili da contrastare.
In un momento in cui le strutture sanitarie si trovano costantemente sotto pressione, la prevenzione è la migliore arma per combattere i cyberattacchi. Per questo motivo, ecco quattro punti chiave che ogni realtà operante nel settore sanitario deve attuare per affrontare efficacemente la sfida del ransomware.
1. Identificate i punti deboli
I cybercriminali si muovono molto rapidamente: tra l’apertura di una mail di phshing e l’inizio della ricognizione sulla rete della vittima passano poco più di tre ore e nel giro di un giorno gli autori dell’attacco avranno accesso a un controller di dominio per distribuire il loro pacchetto di ransomware. Diventa dunque fondamentale essere consapevoli delle aree di vulnerabilità dell’azienda. I server con il Remote Desktop Protocol (RDP) abilitato, i server web unpatched e la mancanza di autenticazione multifattore per i login sono tutti punti deboli molto diffusi che possono essere sfruttati dai cybercriminali.
2. La cura dell’igiene IT: sensibilizzazione ed educazione a livello aziendale
Una volta individuati i punti deboli, il passo successivo è quello di correggerli. Se non si dispone di un’autenticazione a due fattori o se i propri sistemi di sicurezza non sono aggiornati, è necessario intervenire tempestivamente. Inoltre, qualora i server RDP fossero abilitati, è consigliato spegnerli o implementare una VPN. Chiunque all’interno dell’organizzazione invii un’e-mail, abbia una password o utilizzi un dispositivo per accedere a una rete deve conoscere e rispettare le policy IT, come ad esempio la creazione di password più sicure e la capacità di riconoscere le e-mail di spear-phishing. In caso contrario, è fondamentale che i dipendenti vengano formati adeguatamente.
3. Implementare l’EDR avvalendosi del threat hunting
L’EDR (Endpoint Detection and Response) consente di difendere tutti i device collegati a una rete, fornendo al tempo stesso informazioni cruciali sulle potenziali minacce ai response team che può così rintracciarle e neutralizzarle. Questo va di pari passo con il supporto umano del team di threat hunting, la cui competenza nel riconoscere in tempo eventuali segnali di pericolo e nell’analizzare il contesto delle minacce imminenti consente alle aziende di gestire il problema in modo proattivo, eliminando i pacchetti di ransomware dalle reti ed estirpando le minacce alla radice.
4. Risposta immediata agli incidenti di sicurezza
Il ransomware si muove velocemente e di conseguenza anche le realtà del settore sanitario devono essere in grado di rispondere rapidamente: avvalendosi di soluzioni ad hoc come Sophos Rapid Response, ospedali e realtà dell’ambito sanitario potranno velocizzare sensibilmente l’identificazione, la neutralizzazione e l’eliminazione di ransomware e altre minacce dalle proprie reti.
Di Walter Narisoni, Sales Engineer Manager Sophos Italia