Che il mondo della sanità sia un obiettivo primario per i cybercriminali è una cosa ormai dimostrata dai fatti. Sono molti gli episodi verificatisi su scala internazionale che hanno visto protagonisti in negativo attori del settore, presi di mira dai cybercriminali, spesso con successo.
Tra i casi più recenti, uno ha riguardato il New York Oncology Hematology, e ha visto messi a rischio i dati personali di oltre 128.000 tra pazienti e dipendenti, a seguito di un attacco di phishing verificatosi lo scorso aprile. Mentre, sempre negli Stati Uniti, sono oltre 2 milioni i pazienti le cui informazioni, in questo caso amministrative, sono state messe a rischio da un databreach subito da AccuDoc, fornitore di servizi sanitari del North Carolina. Si tratta solamente di due casi recenti ed eclatanti, gli ultimi di una lunghissima serie di data breach occorsi al settore sanitario, estremamente redditizio per i criminali alla ricerca di dati riservati e sensibili.
Gli ospedali e le organizzazioni sanitarie in generale mantengono e processano dati personali che possono essere estremamente sensibili, oltre che necessari per erogare le cure richieste. Ma non si tratta solo delle cartelle cliniche dei pazienti, peraltro sempre più spesso digitali: ugualmente sono da considerare sensibili tutte le informazioni economiche, ad esempio quelle relative ai pagamenti.
Queste ultime sono forse le informazioni la cui utilità è più immediata ed evidente, perché possono essere usati dai cybercriminali a proprio diretto vantaggio economico. Ma tutte le informazioni hanno un’utilità per gli hacker, oltre che un valore reale di mercato. Il mondo del cybercrime si è infatti nel tempo strutturato come un settore economico vero e proprio, nel quale vengono trattati beni e servizi, esattamente come succede in ogni altro ambito. I dati personali sono in questo senso un bene ambito, che gli hacker mettono a disposizione di altri attori, che sanno perfettamente cosa farsene, perché sugli attacchi mirati basano il loro business. I possibili utilizzi sono molteplici: possono lanciare campagne di social engineering sempre più mirate, creare mail di phishing precise e dettagliate da sembrare ancor più credibili…
Questa distinzione di fatto tra chi sottrae fisicamente i dati e chi poi li utilizza per attività altrettanto illecite porta con sé un doppio problema conseguente: da un lato il passaggio intermedio rende più difficile perseguire chi compie queste azioni, dall’altro chi si specializza nel furto di dati ha a disposizione canali fidati e collaudati, oltre che redditizi, per la loro distribuzione. Ergo, ogni tipo di dato è utile, ogni tipo di dato troverà la sua collocazione sul mercato.
La definizione e applicazione di normative specifiche come il GDPR non ha risolto il problema. Se da un lato ha sicuramente alzato la soglia di attenzione delle organizzazioni, aggiungendo un elemento sanzionatorio a fronte della possibile perdita di dati, dall’altro proprio questo elemento sanzionatorio ha di fatto concentrato su di sé l’attenzione delle realtà che operano in questo ambito, che spesso appaiono più preoccupate di rispettare le normative quanto di proteggere in modo efficace informazioni sensibili, ma anche fondamentali per il proprio business.
La crescente varietà delle tipologie di minacce che gli hacker possono mettere in atto rende estremamente difficile proteggersi in modo adeguato, soprattutto se si scelgono soluzioni tecnologiche puntuali. L’unico modo realmente efficace per difendersi, e per difendere il proprio patrimonio informativo, consiste nell’elevare la sicurezza a sistema, con un costante monitoraggio dei propri asset e piattaforme, indipendentemente da tecnologie e ambiti specifici.
Un servizio di Security Operation Center, affidato a un partner tecnologico di fiducia, permette di identificare e mettere in luce le possibili anomalie di un sistema, e di correlarle tra loro per comprendere, ad esempio, se si sta generando un rischio di sicurezza concreto. Solo un monitoraggio continuo e in tempo reale può consentire di reagire in modo tempestivo quando i segnali diventano critici, ed eventualmente analizzare ex post ogni tipo di evento per condurre analisi predittive e definire azioni migliorative. Senza considerare la possibilità di ricostruire gli accadimenti in modo preciso e dettagliato a fronte di incidenti, ma anche di denunce o ispezioni legali.
Gianluca Vadruccio, CTO CyberSecurity, Axitea