Attacchi hacker, dati sanitari in pericolo: la lista segreta dei 35 ospedali colpiti

(Milena Gabanelli e Simona Ravizza – corriere.it) – A chi può interessare se io ho la glicemia o il colesterolo alto, ho subito un intervento alla prostata, ho problemi cardiaci o sono sovrappeso? In realtà, i nostri dati sanitari sono una merce preziosissima da mettere sul mercato. Le multinazionali farmaceutiche possono orientare le loro scelte di marketing per decidere su quali città puntare per la vendita di un farmaco, oppure su quali età e per che patologie; le assicurazioni private possono decidere a chi conviene o meno vendere una polizza malattia (in pratica come una banca decide di dare un mutuo in base al rating). Conoscere la storia sanitaria di una persona può essere uno strumento decisivo per un’assunzione, l’erogazione di un mutuo, o per venderle prodotti mirati. È il motivo per cui gli ospedali sono diventati uno dei principali bersagli dei pirati informatici.

Quando un sistema informatico è vulnerabile

Un sistema informatico è vulnerabile quando la vittima ignara scarica sul computer un software all’apparenza legittimo, ma che in realtà contiene un virus che infetta il suo computer e tutti quelli con cui comunica. Si viene a creare così una rete zombie che consente al criminal hacker di vedere e registrare tutte le operazioni. Oppure quando i sistemi informatici non sono aggiornati. Per scoprire i «sistemi» vulnerabili il cybercriminale va a strascico, ovvero scansiona l’intero range mondiale di indirizzi IP pubblici (cioè gli indirizzi univoci che identificano i device connessi alla rete) o una parte di essi. Una volta identificati quelli deboli, il pirata informatico si appropria delle informazioni per venderle all’interno di forum nel dark web, oppure passa all’attacco rendendo inaccessibile l’accesso al sistema. Che sblocca dopo il pagamento di un riscatto.

Che cosa succede quando attacchi un ospedale?

Maggio 2017: nel Regno Unito il ransomware WannaCry colpisce 603 centri di cure primarie, incluse le chirurgie, causando l’annullamento di 19.494 appuntamenti, fra cui 139 pazienti con una diagnosi di intervento urgente per sospetto tumore.
3 giugno 2019: l’American Medical Collection Agency (Amca), una società di Elmsford, New York, che fornisce servizi finanziari a una serie di strutture mediche statunitensi, è vittima di un massiccio furto di dati dai propri server. Gli hacker riescono a sottrarre oltre 24 milioni di file e cartelle cliniche.
11 settembre 2020: alla clinica universitaria di Düsseldorf, un attacco ransomware ha causato la paralisi completa di tutti i sistemi informatici e della chirurgia neurologica. Fatale per una donna arrivata in ambulanza con un aneurisma aortico. In tutti i casi ciò che succede dopo segue — secondo le prime ricostruzioni — il modus operandi di tanti altri attacchi ransomware.

Il valore di una cartella sanitaria sul mercato nero è ormai superiore a quello della carta di creditoSecondo un rapporto della Cbs, le cartelle cliniche possono essere vendute fino a 1.000 dollari ciascuna sul dark web. Ma i criminali possono anche rubare i dati delle cartelle cliniche dei pazienti per creare kit di identità che valgono fino a 2.000, con gli acquirenti che utilizzano le informazioni per creare documenti fasulli, presentare false richieste di assicurazione o accumulare altri tipi di spese. Il problema più grave però è un altro: secondo la ricerca della Vanderbilt University (Usa) la violazione del sistema informatico degli ospedali (data breach) può aumentare, nei trenta giorni successivi, il rischio di mortalità per i malati con problemi cardiocircolatori acuti. Lo studio presentato nel 2018 dal dottor Sung Choi negli Usa, rivela che oltre 2.100 decessi all’anno negli Stati Uniti potrebbero essere attribuiti al data breach. I criminali lo sanno, e le organizzazioni sanitarie per evitare lunghe interruzioni delle cure mediche, sono spesso disposte a pagare riscatti milionari.

Gli attacchi informatici in Italia

In Italia gli ospedali iniziano a essere presi di mira nel 2019 con virus spediti via email all’ospedale di Bari, al Santa Maria Nuova di Reggio Emilia, all’azienda ospedaliera di Caserta, all’Asl di Roma di Novara, al San Carlo di Varese, e all’Istituto Superiore di Sanità. Nel 2020 esfiltrano i dati sanitari della Regione Friuli-Venezia Giulia, rubano quelli sui ricoverati Covid alla Regione Lazio, compromessi i server del San Raffaele di Milano e dello Spallanzani di Roma. Sottratti i dati del Gaslini di Genova e degli Ospedali Riuniti delle Marche. Nel 2021 si fa un salto di qualità, con il blocco dei sistemi e la richiesta di riscatto. Dal portale del Policlinico Gaetano Martino di Messina vengono rubate le password di accesso degli utenti; attacco informatico all’Agenzia italiana del farmaco (Aifa). A febbraio ancora la Regione Lazio: mandato in tilt il portale. Nuova incursione a giugno, dove vengono bucate oltre 150 postazioni Internet, e ad agosto viene fatto saltare tutto: bloccato il 90% dell’attività del portale, e l’erogazione dei vaccini per 5 giorni. E gli hacker chiedono il riscatto. Prima di allora la società pagata per gestire la sicurezza informatica della Regione non si era mai accorta dei ripetuti accessi anomali nel sistema sanitario. A fine agosto 2021, criptati anche i dati del servizio sanitario regionale della Toscana e chiesto il riscatto. La stessa cosa succede il 12 settembre al San Giovanni di Roma, che addirittura non aveva nessun referente per la sicurezza informatica.

Quanti ospedali hanno sistemi informatici sicuri

In Italia, in poco più di 2 anni sono state attaccate e danneggiate 35 strutture sanitarie. La società milanese di cyber security Swascan (gruppo Tinexta s.p.a.) è entrata nel dark web lo scorso agosto con strumenti di threat Intelligence (quelli che permettono di raccogliere informazioni in rete su una minaccia o un pericolo esistente o emergente che interessa una determinata azienda), prendendo a campione 20 aziende ospedaliere pubbliche e private tra le principali top cento del Paese. Questi i risultati: solo 4 aziende fra quelle analizzate non presentano vulnerabilità, le altre 16 ne hanno complessivamente 942 di natura tecnica, di cui 239 Ip esposti su Internet, 9.355 indirizzi e-mail aziendali compromessi579 portali di accesso, console o servizi di database che dovrebbero essere visibili e accessibili solo al personale interessato che, invece, sono stati inavvertitamente resi accessibili e quindi facilmente attaccabili. Secondo lo standard internazionale Cve (una enciclopedia del rischio delle infrastrutture e dei servizi It), il 14% delle vulnerabilità individuate sono classificabili come alte, il 75% medie e l’11% basse. Più la vulnerabilità è alta, e più è facile l’intrusione. E chi è vittima di un attacco informatico una volta, spesso lo è anche una seconda, se non una terza, come dimostra il caso della Regione Lazio.

Perché succede

Gli ospedali hanno le peggiori performance in termini di investimenti (solo il 5% in media del fatturato) e per accorgersi di una violazione dei propri sistemi, impiegano una media di 236 giorni. Nel frattempo il pirata informatico esfiltra i dati, o decide di far scattare il ransomware per bloccare l’ospedale e chiedere il riscatto. Poi per il ripristino del sistema informatico, le strutture impiegano mediamente 93 giorni (sondaggio Himms 2020), con un costo medio per incidente di 9,23 milioni di dollari (report Ibm 2021).

Per evitare tutto questo bisogna prima di tutto dotarsi di un sistema di sorveglianza capace, e poi investire in screening preventivi, che per la cyber security è la ricerca, tramite threat Intelligence, di tutte quelle informazioni che circolano sull’azienda nel dark web, e quali minacce possono colpirla. Si tratta di accurati check-up per rilevare falle, anche dei processi umani, e porvi rimedio. Come una cura preventiva che interviene sui primi segnali e argina l’attacco.dataroom@rcs.it

1 reply

  1. Ma guarda un po’, chi lo avrebbe mai detto?
    Possibile che nell’ era dell’ informatica neppure i Millennials – per non parlare della “generazione Z” – sappiano che nulla è sicurò?
    E che si fidino delle rassicurazioni e degli antivirus di chiunque?
    Perchè raccogliere una mole infinita di dati sensibilissimi se non possono essere usati?
    Qualcuno non crederà mica che sia “per il nostro bene e per curarci meglio”…!

    "Mi piace"