La Sanità è stato uno dei settori più presi di mira negli ultimi anni e gli hacker hanno incrementato gli attacchi approfittando della pandemia di COVID-19. Gli attacchi contro le strutture sanitarie sono aumentati negli ultimi 5 anni, con un incremento del 42% dal 2019 al 2020. Secondo lo studio “Healthcare Cybersecurity” di Bitdefender, realizzato in Italia l’anno scorso, il 93% delle aziende del settore sanitario ha subito attacchi informatici in passato mentre il 64% ritiene probabile, o altamente probabile, un attacco informatico nel prossimo futuro.
Inoltre i dati sanitari sono molto richiesti dai mercati clandestini. Un numero di previdenza sociale può valere 1 dollaro sul dark web, mentre una patente di guida può costare 20 dollari. Le cartelle cliniche possono arrivare fino a 1.000 dollari, a seconda di quanto siano complete le informazioni disponibili. L’unico altro dato che eguaglia o supera il valore dei dati sanitari tra i criminali è un passaporto degli Stati Uniti, che può arrivare a 1.000-2.000 dollari. Difficilmente questi attacchi cesseranno, soprattutto se le strutture sanitarie non intraprendono alcuna azione o non reagiscono a questo contesto ostile.
L’anno appena iniziato potrebbe essere una buona opportunità per le aziende del settore della sanità di valutare come sarà la cybersecurity nel prossimo futuro in modo da potersi preparare al meglio.
Qui di seguito le cinque previsioni per il mercato della sicurezza informatica per il settore sanitario nel 2022.
1. Il ransomware continuerà a colpire il settore sanitario
Gli attacchi ransomware sono la causa principale dell’aumento delle violazioni nel settore sanitario. Nel 2020, 1 struttura sanitaria su 3 ha riferito di essere stata colpita da un ransomware ed è stato rilevato un aumento del 45% degli attacchi, nel breve periodo, da novembre 2020 a gennaio 2021.
È probabile che nel corso del 2022 il ransomware diventi ancora più aggressivo principalmente per tre motivi:
– Gli attacchi automatici continueranno a colpire le aziende sanitarie impreparate, che, al momento, rappresentano un’importante percentuale delle aziende in questo settore
– Aumenterà la diffusione del Ransomware as a Service (RaaS) a seguito della comparsa di gruppi di hacker più piccoli che porteranno ad attacchi più mirati contro le strutture sanitarie. Useranno tecniche di social engineering per apparire più credibili, prenderanno di mira i responsabili dei dipartimenti, presumibilmente delle risorse umane e dell’amministrazione e contabilità.
– I criminali informatici sono consapevoli che le strutture sanitarie sono un buon obiettivo. Hanno una sicurezza minima, budget elevati e ambienti critici, che le rendono obiettivi eccellenti per il ransomware. Molte di queste strutture non possono permettersi un blocco dei sistemi, dato che i pazienti dipendono da questi ultimi, quindi è probabile che paghino velocemente un riscatto.
2. Il settore sanitario sarà ancora tra i più colpiti dalle violazioni dei dati
Le aziende sanitarie non fanno abbastanza per proteggere e assicurare i loro dati e si rendono vulnerabili ad attacchi automatizzati come spam e phishing, infezioni tramite botnet di dispositivi e a violazioni dei database a causa di errori di configurazione.
Per molti ospedali la sicurezza è importante ma non una priorità. Le aziende del settore sanitario avrebbero dovuto gestire in modo prioritario i fondamenti della sicurezza informatica anni fa ed è questa in gran parte la ragione per cui sono vulnerabili agli attacchi. Gli istituti sanitari che ancora non investono nella loro sicurezza informatica continueranno a vedere aumentare gli attacchi contro le loro strutture.
3. Violazione dei dispositivi IoT e di altri dispositivi medici connessi
Il settore sanitario ha visto un incremento esponenziale dell’uso dell’IoT e dei dispositivi medici connessi nelle strutture sanitarie e per la cura dei pazienti.
Ma da questi dispositivi spesso conseguono dei rischi, in particolare perché sono collegati alla rete di una struttura, rendendoli un potenziale vettore di attacco. E le aziende del settore sanitario non stanno prestando la dovuta attenzione per garantire che i dispositivi stessi non siano messi a rischio e che la loro implementazione venga eseguita correttamente.
Questi rischi includono:
- Password hardcoded: gli hacker sanno come trovare le password hardcoded (a codifica fissa) della maggior parte dei dispositivi e possono usarle per penetrare nella rete di un’azienda.
- Mancanza di controlli di sicurezza: se non c’è modo di impedire agli utenti non autorizzati di accedere ai dispositivi della propria azienda, è meglio cercare un’alternativa più sicura.
- Implementazione della rete: le strutture sanitarie devono integrare attentamente i dispositivi connessi nella loro rete per mitigare i potenziali rischi, altrimenti gli hacker possono sfruttare questi dispositivi.
- Mancanza di credenziali di sicurezza: come parte della due diligence, le aziende dovrebbero verificare le credenziali per i dispositivi come, per esempio PCI DSS e SOC 2 Type 2, che mostrano i provvedimenti del produttore per rendere i dispositivi più sicuri.
I dispositivi medici e altri dispositivi connessi possono essere estremamente pericolosi se le strutture sanitarie non prendono le misure adeguate per garantire che siano sicuri e protetti. Qualche anno fa, il team di ricerca di Bitdefender, ha individuato diverse vulnerabilità in una presa intelligente che avrebbero potuto causare problemi a molte aziende.
4. Le vulnerabilità zero-day continueranno ad aumentare
La scoperta di log4j ha dimostrato come le vulnerabilità zero-day possono ancora sconvolgere il mondo della cybersecurity e rappresentare una grande minaccia per migliaia di aziende. Il settore sanitario, non solo è probabilmente più soggetto alle vulnerabilità zero-day, ma la mancanza di attenzione può portare ad un aumento di questo tipo di minaccia.
Senza valutazioni delle vulnerabilità, la due diligence e la gestione delle vulnerabilità, le aziende potrebbero non essere in grado di individuare gli exploit critici, aumentando il rischio che gli hacker li trovino per primi.
5. I dirigenti delle aziende sanitarie investiranno in modo mirato in soluzioni per la cybersecurity
Il management del settore sanitario farà della cybersecurity una priorità e dedicherà risorse, tempo e sforzi per adottare le soluzioni essenziali per la cybersecurity e collaborare con fornitori chiave per migliorare drasticamente il loro livello di sicurezza informatica. Al fine di affrontare le principali lacune in ambito cybersecurity, le aziende del settore della sanità dovrebbero:
- Investire nella gestione e nella valutazione continua delle vulnerabilità per scoprire le vulnerabilità, i potenziali exploit e correggerli prima che portino a una violazione.
- Dare priorità alla due diligence di sicurezza e alla revisione di tutti i dispositivi (nuovi e vecchi) e dei fornitori di terze parti che possono essere sfruttati dagli hacker per colpire l’azienda.
- Isolare le reti e utilizzare servizi di gestione delle identità per ridurre il rischio di violazione tramite i dipendenti – questo è particolarmente importante data la dimensione di molte organizzazioni sanitarie e il numero dei loro dipendenti.
- Sfruttare i test di penetrazione, le simulazioni di attacchi, testando la prontezza e le capacità di risposta della propria azienda. Questo aiuterà a individuare i dipartimenti/dipendenti vulnerabili e a identificare le aree di miglioramento per quanto riguarda la risposta agli incidenti.
- Lavorare con partner strategici che possono fornire strumenti e soluzioni di cybersecurity come EDR, XDR, threat intelligence e servizi gestiti. Per molte delle aziende che non possono dedicare un grande numero di risorse per creare dipartimenti di sicurezza completi, è l’unico modo per tenere conto della dimensione del rischio a cui sono esposte le strutture sanitarie.
Il settore sanitario ha bisogno di investire in modo significativo nella cybersecurity perché lo status quo non è sostenibile. Dallo studio “Healthcare Cybersecurity” realizzato in Italia da Bitdefender per valutare lo status di efficienza della sicurezza informatica nel settore sanitario nel 2021 è emersa una preparazione nettamente insufficiente (49%) sia in termini di tecnologie che di competenze professionali. Incremento dei costi delle assicurazioni sanitarie, maggiore frequenza degli attacchi ransomware e ampliamento della superficie d’attacco delle aziende: una solida strategia di cybersecurity deve quindi diventare una priorità organizzativa per affrontare il 2022.
Di Alex “Jay” Balan, Security Research Director di Bitdefender