Un’interruzione tecnologica in una sala operatoria o in un servizio di pronto intervento può fare la differenza tra la vita e la morte. Purtroppo, mentre fornitori di assistenza sanitaria e aziende medicali e farmaceutiche di tutto il mondo lavorano per combattere la diffusione di COVID-19, i cyber criminali stanno calcolando come colpirle… proprio quando la società ne ha più bisogno. In molti casi, gli attaccanti prendono di mira terze parti e aziende che hanno accesso privilegiato ai dati e ai sistemi critici di queste organizzazioni, come è diventato comune per chi è coinvolto nella ricerca, nello sviluppo e nella fornitura del vaccino per il COVID-19.
Lo scorso 9 dicembre, l’EMA, l’Agenzia Europea per i Medicinali, responsabile della valutazione e approvazione dei vaccini – è stata colpita da un cyber attacco. Sebbene non siano stati divulgati dettagli, Ars Technica riferisce che, poco dopo, la società farmaceutica Pfizer e l’azienda biotecnologica BioNTech hanno rilasciato una dichiarazione congiunta in cui segnalavano che i documenti relativi al loro vaccino per il COVID-19 erano stati consultati illegalmente tramite un server EMA. La dichiarazione sottolineava che “nessun sistema BioNTech o Pfizer è stato violato in relazione a questo incidente e non siamo a conoscenza del fatto che i partecipanti allo studio siano stati identificati attraverso i dati a cui si è avuto accesso”.
L’esatta linea temporale dell’attacco e le motivazioni degli attaccanti non sono state confermate, ma questo evento arriva poche settimane dopo che Pfizer e BioNTech hanno annunciato l’efficacia al 95% del loro vaccino “BNT162b2” nella prevenzione del COVID-19.
Questo attacco è solo il primo di una serie di tentativi di violazione nei confronti di terzi che hanno accesso a preziose informazioni sui vaccini.
Il 10 dicembre scorso è stata rilevata una campagna di email phishing su larga scala che aveva come obiettivo le catene di approvvigionamento di vaccini contro il coronavirus. Il team di ricerca IBM che ha scoperto la minaccia ha scritto che “il bersaglio mirato rappresentato da dirigenti e organizzazioni chiave a livello globale ha i segni distintivi di un potenziale spionaggio da parte di uno stato”, valutando in seguito che “lo scopo di questa campagna potrebbe essere stato quello di raccogliere le credenziali per ottenere un futuro accesso non autorizzato, per ottenere poi informazioni sulle comunicazioni interne, così come sul processo, i metodi e i piani per distribuire un vaccino COVID-19”.
L’attacco alla catena di fornitura ha suscitato un allarme da parte del Dipartimento di Homeland Security e ha sottolineato le sfide affrontate dalle organizzazioni di ricerca e sviluppo e dai fornitori di servizi sanitari interconnessi per proteggere i sistemi salvavita, i dati sensibili dei pazienti e la preziosa proprietà intellettuale da attacchi che sfruttano ecosistemi di terze parti.
Partner e fornitori sanitari sono bersagli di elevato valore
Il settore sanitario si affida sempre più alla tecnologia –applicazioni SaaS, dispositivi abilitati all’Internet of Things, sistemi di diagnostica mobile, piattaforme di telemedicina e altro ancora – per migliorare i servizi ai pazienti e ottimizzare i risultati clinici.
La moderna erogazione di cure integrate si basa sulla capacità di scambiare le informazioni sanitarie protette dei pazienti attraverso identità e componenti tecnologiche. Account e credenziali privilegiate contribuiscono a rendere possibile questa “interoperabilità”, consentendo agli amministratori di accedere alle applicazioni o ai dati, o ai dispositivi e sistemi di accedere gli uni agli altri. Tutto, dalle applicazioni di assistenza virtuale basate su cloud all’integrazione dei dati diagnostici dei pazienti da parte di servizi di terze parti, richiede un accesso privilegiato.
Gli attaccanti sanno che il privilegio è il modo per arrivare ai dati – e sono altamente motivati ad accedervi. Un singolo record protetto può fruttare fino a 363 dollari sul dark web, rispetto ai dettagli delle carte di credito che ormai valgono solo 1 o 2 dollari. Si può solo immaginare quanto potrebbero fruttare “formule” o altre informazioni confidenziali relative al vaccino COVID-19 con la relativa proprietà intellettuale.
Ma perché tentare di irrompere in una fortezza sorvegliata quando si può semplicemente dirottare un camion per le consegne già autorizzato a entrare nei suoi spazi? Anche gli attaccanti la pensano a questo modo, e per questo prendono di mira i fornitori, le terze parti e le organizzazioni di ogni dimensione presenti nel continuum della cura.
Secondo un recente report di Ponemon, un ospedale ha in media rapporti con più di 1.300 diversi fornitori esterni. L’identità di ognuno richiede diversi livelli di accesso privilegiato ai dati e ai sistemi dell’organizzazione sanitaria per svolgere il proprio ruolo, dalla gestione dei dispositivi medici all’aggiornamento delle cartelle cliniche dei pazienti. L’approvvigionamento e la gestione manuali dell’accesso privilegiato per ciascuna di queste identità rappresenta un compito gravoso per il personale IT e di sicurezza. Questo può contribuire a spiegare perché solo il 36% dei fornitori di servizi sanitari ritiene di poter dare effettivamente priorità ai rischi legati alle aziende esterne, nonostante l’80% ritenga che sia “molto importante” farlo.
Un nuovo studio condotto da Black Book Market Research su più di 700 fornitori stima che le violazioni dei dati sanitari triplicheranno nel 2021. Per proteggere le organizzazioni da attacchi inevitabili – dall’esterno, interno e attraverso le loro reti di terze parti, i team di sicurezza IT hanno bisogno di poter scalare i loro sforzi e automatizzare il maggior numero possibile di attività di gestione delle identità e degli accessi privilegiati, come l’amministrazione di credenziali e sessioni, l’autenticazione dell’identità del fornitore e il provisioning just-in-time. Questo non solo riduce al minimo le attività operative che richiedono l’impiego di molto tempo, ma semplifica l’accesso alle aziende verificate a sistemi, dispositivi e dati di cui hanno bisogno per svolgere il loro lavoro, esattamente quando (e solo quando) ne hanno bisogno.
di Massimo Carlotti, Presales Team Leader di CyberArk