È incredibile come si debba essere arrivati a tanto per sensibilizzare in merito alla cybersecurity nel mondo HealthCare. Finalmente, nell’ultimo periodo, sembra che le cose stiano cambiando. Come mai questo cambiamento di mindset? Innanzitutto, c’è da dire che il settore sanitario è tra le vittime preferite dei cyber criminali. Già questo basterebbe per drizzare le antenne in questa direzione. A cosa è dovuto tutto questo interesse? Semplice: Beneficio – Costo = HealthCare. Questo è ciò che balena nella mente degli hacker in tutto il mondo.
Spieghiamoci meglio: quella descritta sopra è l’elementare equazione che risolve ogni cyber criminale prima di individuare un target da attaccare. Cosa mi può portare il massimo beneficio con il minimo sforzo? L’HealthCare è la risposta per svariati motivi:
- Il primo, ovvio e già accennato in apertura: le strutture sanitarie storicamente non hanno mai investito nella sicurezza informatica. Hanno spesso sistemi obsoleti e quasi mai aggiornati. Quindi, fanno il gioco dei Cyber Criminali senza volerlo.
- In secondo luogo, i dati sanitari sono una vera e propria miniera d’oro. Nel Dark Web un record sanitario ha un valore estremamente alto (ci ritorneremo in seguito). Questo, tuttavia, è risaputo: eccetto le informazioni di base anagrafiche del paziente, si può accedere alla cartella clinica, ai dati relativi all’assicurazione sanitaria e molto altro.
Cerchiamo di snocciolare dei dati a supporto di quanto appena detto, che confermano la gravità della situazione.
La situazione nel mondo HealthCare
Ecco un paio di indicatori significativi che immortalano in un’istantanea la situazione attuale.
- Più di 450 sono i Data Breach segnalati al Dipartimento della Sanità Americano;
- 6 milioni è la cifra indicativa di record sanitari violati.
Queste cifre sono relative all’anno passato ma sono il chiaro sintomo che la situazione relativa al mondo HealthCare sia preoccupante.
Cosa possiamo dire, invece, riguardo il costo medio di un singolo record violato?
Le cifre, in questo caso, sono ancora più eloquenti. Nel seguente specchietto si può apprezzare come un record sanitario sia tre volte più “prezioso” sul Dark Web rispetto ad un qualsiasi altro record di un’altra azienda. Nello specifico, possiamo vedere come:
- Nel settore sanitario, un singolo record ha un valore (sul Dark Web) di 380 dollari;
- Nel settore finance, per esempio, dove ci sono informazioni sensibili per il malcapitato utente, il valore è “solo” di 245 dollari per record;
- Risulta evidente il perché Beneficio – Costo faccia HealthCare: moltiplicando per tre il valore di un record rubato ad un’azienda generica, non si arriva ancora al valore di un singolo record sanitario.
Ci sono diversi report interessanti che affrontano la questione (alquanto spinosa) dell’HealthCare Cyber Crime. In questa sede ci limitiamo ad analizzare le numeriche relative ai rapporti di Thales 2018, Verizon e Accenture. Da questi report emergono dei dati e delle statistiche molto interessanti, tra cui:
- Più del 70% degli enti sanitari è stata vittima di un Data Breach. Più di due aziende sanitarie su tre ha subito una violazione dei dati: questo dato è sconvolgente, presuppone che le misure di sicurezze presenti nel mondo sanitario siano largamente insufficienti.
- Le vulnerabilità sono in costante aumento: 93 aziende sanitarie su 100 utilizzano il Cloud, sistemi per gestire i Big Data o l’Internet of Things. Questo implica che le vulnerabilità crescano sempre di più in quanto i punti di accesso si moltiplicano. I punti di accesso appena citati sono una vera e propria manna per i Cyber Criminali, sfruttando le vulnerabilità in essi presenti è possibile intrufolarsi nel sistema e condurre attività malevole.
- Quali sono i vettori di attacco nel settore HealthCare? Il dato che desta impressione è questo: il 60% degli episodi informatici legati al mondo HealthCare ha come responsabile diretto l’uomo. Nello specifico il dipendente. I dipendenti negligenti (o addirittura intenzionati a ledere l’azienda) sono molto comuni, purtroppo. Basi pensare, a corollario di questo punto, che un dipendente su quattro, in ambito sanitario, è a conoscenza della vendita illegale di record sanitari.
- Per completare l’analisi, non possiamo stancarci di ripetere quanto sia importante predisporre un CyberSecurity Framework di riferimento che rispetti le best practice. A supporto di questo: 7 Data Breach su 10 sono avvenuti per il mancato rispetto degli standard di sicurezza. Dove non sono garantite le misure minime e quando il dipendente non è sensibilizzato verso le tematiche legate alla CyberSecurity. Le violazioni che ne conseguono hanno molteplici conseguenze.
I danni, infatti, non si limitano alla mera violazione del sistema (che già di per sé è un fatto non da poco). Gli istituti sanitari vittime di questi attacchi devono successivamente supportare tutte le beghe legali del caso che in tempi di GDPR non sono banali (questo aspetto, tuttavia, verrà approfondito più avanti). Inoltre, non di poco conto sono tutti gli aspetti legati alla perdita di reputazione e al danno d’immagine che, alle volte, risulta irrimediabilmente compromessa in seguito ad una violazione che desta scalpore – non è infatti semplice riguadagnarsi la fiducia dei pazienti. In ultimo luogo citiamo gli ovvi dati finanziari cui l’azienda dovrà porre rimedio con le proprie risorse.
Attacchi al mondo HealthCare: scopi ed obiettivi
In uno scenario così complicato come quello appena descritto, per difendersi le aziende del mondo HealthCare devono percorrere ogni strada. Un’analisi sempre utile da fare è quella che consiste nell’immedesimarsi nella mente del Cyber Criminale. Quali possono essere i suoi scopi? Dove vuole arrivare un Hacker quando esegue un attacco informatico indirizzato ad una struttura sanitaria?
In prima istanza vediamo quali possono essere alcuni dei fini ultimi di un Cyber Criminale che attacca un’organizzazione sanitaria. Tra i molteplici e possibili scopi possiamo citare: spionaggio industriale, spam, recruitment di device che si andranno ad aggiungere ad una botnet di dispositivi infetti, cyberterrorismo, phishing, furto di dati,…
Come possono essere raggiunti questi scopi? Attraverso degli attacchi informatici che hanno dei vettori di attacco, dei punti di partenza. Questi vettori di attacco sono: Bot o Botnet che riescono, attraverso l’uso di strumenti completamente automatizzati, a trarre vantaggio dalla presenza delle – già citate in precedenza – vulnerabilità note. Umano il vettore di attacco umano presuppone una tecnica di attacco più evoluta e manuale.
HealthCare, GDPR e Framework di Sicurezza
La sempre più elevata frequenza di attacchi deve prevedere l’adozione di un HealthCare CyberSecurity Framework di riferimento. In questo senso, la legislazione ci viene incontro. Infatti, il GDPR prevede un rinforzo delle misure di sicurezza. I dati sanitari sono sensibili per natura e la legge, per questo motivo, cerca di tutelarli. Ci sono delle best practice dettate dal workgroup “Article 29 Working Party” che rafforzano questo accento posto sulle tematiche di sicurezza informatica. Tuttavia, non è finita qui. Il GDPR stesso, all’articolo 32 comma 1 prevede l’obbligatorietà dell’analisi del rischio tecnologico. Cosa vuol dire questo? Significa che è necessario essere a conoscenza del livello di rischio tecnologico presente nei propri asset informatici e questo include un’analisi a tutto tondo, dai siti internet ai network. Vanno perciò condotte, su base periodica, attività come Vulnerability Assessment e Network Scan.
Inoltre, per far si che il Framework di riferimento sia efficace bisogna includere: Policy e Procedure (di CyberSecurity e di sviluppo sicuro dei software), Piani (di gestione degli incidenti e di recovery in caso di calamità o disastri), Attività di Sicurezza Preventiva (Vulnerability Assessment, Network Scan e Code Review), Attività di gestione del rischio e delle vulnerabilità e tanta formazione e sensibilizzazione del personale.
© RIPRODUZIONE RISERVATA
