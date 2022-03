Uno dei lati meno noti della sicurezza informatica è quello della cybersecurity applicata all'ambito sanitario, ovvero ai sistemi informatici degli ospedali, ai gestionali delle cartelle cliniche e dei fascicoli sanitari, alle piattaforme di prenotazione di visite ed esami e, soprattutto in tempo di Coronavirus, di tamponi e vaccini.

Tuttavia, la cybersicurezza sanitaria viene spesso sottovalutata dalle strutture ospedaliere e dai sistemi sanitari sia privati che pubblici, nonostante i numerosi attacchi che ogni anno riguardano i servizi clinici.



Un report dello U.S. Department of Health and Human Services pubblicato a fine 2021 mostra che i dati clinici di 40 milioni di pazienti sono stati rubati lo scorso anno nei soli Stati Uniti, mentre uno studio di Censinet, sempre per lo stesso anno, ha spiegato che gli attacchi hacker mettono a rischio le vite dei pazienti, vittime spesso inconsapevoli degli effetti collaterali delle minacce ransomware.



Per capire quale sia lo stato della cybersecurity sanitaria in Italia, abbiamo intervistato il Prof. Fabrizio Baiardi, docente di Sicurezza Informatica all'Università di Pisa e membro del Gruppo di Studio Nazionale di Cybersecurity per i Servizi Sanitari, istituito dall'ISS tra il 2020 e il 2021.



Una duplice minaccia di cybersecurity

A inizio gennaio, un rapporto di Cynerio mostrava come gli ospedali siano estremamente vulnerabili alle minacce cyber: addirittura, sembra che la metà dei dispositivi medici connessi a internet sia a rischio di potenziali attacchi ransomware.

Le cose sono persino peggiorate negli ultimi anni e, in maniera ancora più grave, nelle scorse settimane, a causa di due fattori contingenti. Il primo è la sussistenza dei sistemi di monitoraggio contro il Covid-19, utilizzati per il tracciamento dei positivi al virus e dei loro contatti ma anche per la gestione delle vaccinazioni e delle certificazioni come il Green Pass europeo. Il secondo, invece, è l'aumento degli attacchi hacker da parte della Russia e da gruppi filorussi, rivolti ai Paesi membri della NATO dopo l'inizio delle ostilità in Ucraina. La concomitanza di questi fattori ha fatto alzare il rischio di attacchi ai servizi clinici e sanitari informatizzati, le cui difese cyber non sono sempre tra le più in forma.



Senza andare troppo indietro nel tempo, abbiamo avuto un assaggio di queste vulnerabilità lo scorso dicembre, quando un gruppo di hacker ha messo in ginocchio un intero sistema sanitario sudamericano, con un ransomware che ha rubato i dati medici del Brasile, specie quelli relativi alle vaccinazioni anti-Covid.

Secondo il Prof. Baiardi, esistono "due grandi classi di sistemi informatici nel campo sanitario: quelle per la gestione dei dati clinici delle persone e quelle che controllano i dispositivi medici. La prima classe comprende sistemi standard che gestiscono sostanzialmente dati come le cartelle cliniche. La seconda classe è invece estremamente vasta e va dai pacemaker agli infusori di insulina, fino alle apparecchiature radiologiche, per Tac e per risonanze magnetiche, passando anche per i robot chirurgici".



Chiariti quali sono i dispositivi e i sistemi vulnerabili, bisogna capire quali attaccanti vogliono colpirli con malware e ransomware. In questo senso, ci spiega Baiardi, "le principali minacce sono due, ovvero quelle interessate ad acquisire e a trafugare le cartelle cliniche e quelle di tipo ransomware che bloccano i sistemi, cifrando tutte le informazioni per ricattare i proprietari e spingerli a pagare un riscatto per ottenere la chiave di decifrazione dei dati".

Sul piano pratico, queste due tipologie di attacchi non sono distinte l'una dall'altra, poiché spesso accade che gli attacchi ransomware acquisiscano i dati cifrati, minacciando di pubblicarli se non viene pagato un riscatto.

Ovviamente, "un attacco ransomware sui dispositivi medici avrebbe effetti devastanti, poiché provocherebbe il blocco del dispositivo stesso con danni difficilmente prevedibili per i pazienti. Invece, un attacco ai sistemi per la gestione dei dati clinici provocherebbe il blocco di servizi fondamentali, come i ricoveri e le dimissioni . In questo caso, l'unica soluzione in attesa di ripristinare i sistemi è l'uso della carta, un salto indietro nel tempo".



Non si tratta di una previsione catastrofista: al contrario, questa catena di eventi si è già verificata in Irlanda nel 2021, quando un attacco del gruppo ransomware filorusso Conti ha creato enormi problemi al sistema sanitario nazionale.

Gli hacker di Conti avrebbero anche chiesto un riscatto al Governo di Dublino ma, quando questo ha deciso di non pagare, i cybercriminali hanno semplicemente ripristinato i sistemi crittografati scusandosi con gli irlandesi, spiegando che il loro era stato un "atto involontario". A prescindere dalla realtà dei fatti, il sistema sanitario irlandese è passato per diverso tempo all'uso della carta per ovviare alla mancanza di un apparato informatico funzionante, con ripercussioni durate per mesi.

Fortunatamente, solo in rarissimi casi gli attacchi colpiscono i dispositivi medici come pacemaker e iniettori di insulina e, secondo Baiardi, ciò si spiega perché "gli attaccanti temono le reazioni politiche, mentre il fatto che spesso questi sistemi non siano in rete minimizza le possibilità di un attacco di successo".

Un backup fin troppo fortunato

Benché se ne parli poco, non bisogna pensare che i cyberattacchi sanitari non avvengano in Italia: al contrario, anche il nostro Paese viene colpito regolarmente da minacce informatiche sanitarie. L'esempio più emblematico è quello dell'attacco hacker alla Regione Lazio avvenuto nell'agosto del 2021, che ne ha compromesso l'intero sistema sanitario, compresi i Green Pass e le piattaforme di prenotazione dei vaccini anti-Covid, fino a quando la Regione o il Governo non avessero pagato ingente un riscatto in Bitcoin.



In termini mediatici, le notizie emerse sulla questione sono state poche e contraddittorie: secondo la versione ufficiale dei fatti, ci spiega Baiardi, "si è trattato di un errore in buona fede di un utente, che poi è stato recuperato usando una copia di backup. In realtà, molti esperti credono che l'attacco sia stato facilitato dalla gestione non corretta dei sistemi e che si sia pagato un riscatto, anche se non si vuole rendere pubblica la notizia".

Stando a quanto riporta il portale Cybersecurity360, l'attacco ha avuto inizio domenica 1 agosto 2021 e ha fin da subito provocato enormi disagi alla sanità regionale, bloccando anzitutto la piattaforma di gestione delle prenotazioni dei vaccini, per poi estendersi al resto della burocrazia locale, anche al di là dell'ambito prettamente medico, portando alla scomparsa di pratiche e documenti legali risalenti agli ultimi decenni. Solo il 5 agosto è stata ripristinata l'attività dei centri vaccinali, mentre la Regione ha confermato di essere stata "fortunata" a reperire un backup dei dati non cancellato dagli hacker e a decrittarlo in tempi rapidi.

Il caso della Regione Lazio è comunque solo il più grave di una lunga serie di attacchi, che hanno riguardato tutti i sistemi del Governo locale: limitandoci al campo sanitario, numerosi sono gli attacchi hacker che hanno riguardato ospedali, ASL-ATS, server e servizi di prenotazioni online. Un elenco completo delle minacce che hanno colpito il nostro sistema sanitario è disponibile in rete e potete vederlo riportato nella tabella qui sopra.

Lo stato della cybersecurity sanitaria in Italia

Se il quadro finora dipinto sembra decisamente fosco, ci sono dei motivi per pensare in maniera ottimistica per il futuro.

Intanto, gli attacchi cyber ai sistemi sanitari mettono raramente a rischio immediato i pazienti e solo in pochissimi casi sono stati colpiti i dispositivi informatizzati vitali. Inoltre, "anche quando ciò è avvenuto, si è trattato sostanzialmente di errori degli attaccanti".

Baiardi, tuttavia, aggiunge anche che "nel caso in cui questi sistemi siano collegati a Internet, il rischio esiste ed è potenzialmente alto". Non c'è da pensare che gli attacchi ransomware con i dispositivi clinici non avvengano per pura bontà degli hacker, poiché semplicemente "la vera ragione per cui questi attacchi non hanno mai avuto luogo è che non vi sono particolari possibilità di guadagno permesse da questo tipo di attacchi": in altre parole, dal momento che un attacco ad un pacemaker o ad un iniettore di insulina collegato alla rete sarebbe letale, renderebbe inutile qualsiasi richiesta di riscatto poiché il paziente sarebbe morto ancor prima di poter pagare.



In altri casi, semplicemente, colpire paziente per paziente significa chiedere riscatti ragionevolmente ridotti, in modo da essere sicuri che la vittima possa essere in grado di pagare: si tratta, in questo caso, di una pratica poco redditizia per gli hacker, specialmente a confronto con pochi attacchi di ampie dimensioni mirati ai sistemi sanitari locali e nazionali.

A questo punto viene da domandarsi quale sia lo stato della cybersecurity sanitaria in Italia e nel mondo. Anche in questo caso, purtroppo, le risposte non sono affatto positive.



In quasi ogni Paese del mondo, la cybersecurity clinica viene messa in secondo piano tanto dai media quanto dalle autorità: tornando al caso del sistema sanitario irlandese, Baiardi conclude spiegando che "l'investigazione indipendente commissionata dal Governo irlandese dopo l'attacco ha evidenziato carenze drammatiche sulla sicurezza, poiché mancano degli addetti che se ne occupino ad ogni livello. Molti esperti ritengono che la situazione in Italia potrebbe essere simile: mancano responsabilità e competenze sulla sicurezza informatica su vari livelli delle strutture sanitarie e non; quindi non vi è una consapevolezza dei rischi informatici e dei possibili impatti degli attacchi. Molti esperti ritengono che le scelte sono affidate ai fornitori [di dispositivi medici e sistemi informatici] perché manca una strategia complessiva sulla sicurezza informatica".