La sanità italiana preda facile per gli hacker. Cartelle cliniche vendute a 1.000 euro sul dark web

A distanza di più di un mese dagli attacchi al sistema informatico della regione Lazio proseguono i disservizi nel settore sanitario nell’amministrazione di Nicola Zingaretti. In procura di Roma si cerca di trovare il filo per dipanare la matassa, ma al momento non ci sono indagati. Sarà difficile se non impossibile trovarli. C’è chi spera nell’aiuto del Cnaipic, il nuovo Centro nazionale anticrimine informatico per la Protezione delle infrastrutture critiche. La struttura sta cercando di scoprire in che modo gli hacker abbiano ottenuto le credenziali di un dipendente di Frosinone di LazioCrea, dal cui computer è stato lanciato l’attacco. In attesa di qualche novità c’è chi però ha iniziato ad analizzare le strutture sanitarie italiane, cercando di capire se il Lazio sia un caso isolato oppure possano crearsi situazioni di questo tipo anche in altre regioni italiane.

Non è solo l’attacco diretto alle strutture sanitarie l’obiettivo dei cosiddetti «criminal hacker». C’è infatti un’altra componente di grande valore per gli aggressori: i dati dei pazienti. Il valore di una cartella sanitaria sul mercato nero è ormai superiore a quello di una carta di credito. Secondo un rapporto della Cbs (emittente televisiva americana, le cartelle cliniche possono essere vendute fino a 1.000 dollari ciascuna sul dark web. Contengono importanti informazioni personali e altrettanti dati sensibili. Rubando e chiedendo riscatti per i dati dei pazienti, gli hacker possono ricevere milioni di euro dalle organizzazioni sanitarie, disposte a pagare il riscatto pur di evitare lunghe interruzioni delle cure mediche. In alternativa, i criminali possono rubare i dati delle cartelle cliniche dei pazienti per creare «kit di identità» che valgono fino a 2.000 dollari sul deep web, con gli acquirenti che utilizzano le informazioni per creare documenti fasulli, presentare false richieste di assicurazione o accumulare altri tipi di spese. I danni ai pazienti colpiti potrebbero non essere mai annullati. Lo dimostra il caso di un paziente americano la cui identità è stata rubata nel 2004, che ha trascorso un decennio cancellando accuse su falsi debiti. Con più di 31 milioni di cartelle cliniche esposte da incidenti di Data Breach nel 2020 (considerando solo quelli di cui siamo a conoscenza), questa storia potrebbe diventare fin troppo comune. Una preoccupazione non solo per i pazienti potenzialmente colpiti, ma anche per le organizzazioni sanitarie che contano sulla fiducia dei propri pazienti per garantirsi entrate critiche.

L’analisi sulla sanità italiana è stata effettuata da Swascan tramite il sevizio di cyber risk indicators che «determina e misura il potenziale rischio cyber del settore sanitario italiano». Lo studio è stato fatto nel mese di agosto e ha preso in considerazione 20 strutture sanitarie pubbliche e private tra le prime 100 in termini di dimensione, fatturato e reputazione. Per ogni azienda selezionata è stata effettuata una attività di «Domain Threat Intelligence (Dti) mediante la Cyber Security Platform» di Swascan. Le evidenze di criticità mostrano come le aziende sanitarie sono facile preda di attacchi ransomware. Si stima che entro la fine del 2021 si quintuplicheranno, secondo un rapporto di Cybersecurity Ventures. Più è debole il perimetro, maggiore sarà la probabilità che si verifichino minacce di questo tipo. Pratiche di sicurezza inadeguate, password deboli o condivise e scarsa formazione sui temi di cyber security, espongono gli ospedali al rischio di subire tecniche di hackeraggio alle cartelle cliniche dei pazienti.

La maggior parte delle tecniche vanno a colpire «il fattore umano sfruttando la disattenzione delle persone infatti è possibile invogliarle a cliccare su link malevoli e fornire informazioni personali senza volerlo. Ad esempio, una delle tecniche più note, il phishing, sfrutta le mail per indurre gli individui a divulgare informazioni sensibili o riservate. Questi messaggi non sono sempre facili da distinguere perché sono costruiti a “regola d’arte” per imitare mittenti legittimi e infliggere enormi danni alle organizzazioni. Nello specifico sono state individuate 293 coppie di mail aziendali con password disponibili pubblicamente nella nostra sanità. Parliamo di mail che i dipendenti della struttura hanno usato per registrarsi su siti o servizi terzi, i quali hanno subito un databreach. Di conseguenza le credenziali degli utenti sono diventate pubbliche.

Nonostante ciò, la probabilità che queste password possano essere usate per accedere ai sistemi della struttura è basso, in considerazione che tutte le aziende, anche quelle sanitarie, hanno sicuramente una policy che prevede il cambio password periodico. Il vero rischio è legato proprio alle attività di social engineering, principalmente phishing, per rubare le credenziali o per ingannare gli utenti a scaricare un malware spesso associato a Botnet.

Il gruppo di lavoro di Swascan ha rilevato un rischio concreto per le organizzazioni sanitarie di subire un cyber attack. Nello specifico, operando solo su informazioni pubbliche e semipubbliche – disponibili nel web, dark web e deep web – si è scoperto che le aziende del settore sanità del campione in esame presentano diversi rischi: 942 vulnerabilità in totale, 9355 e-mail compromesse, 239 Ip esposti su internet, 579 servizi aperti su Internet. Nello specifico la media è pari a: 75% vulnerabilità medie 14% vulnerabilità alte, 11% vulnerabilità alte, 468 e-mail compromesse in media per dominio

Va fatta però prima una premessa, perché nell’ultimo «decennio ha visto una drastica riduzione del personale sanitario in Italia dovuta al reiterarsi delle misure di spending review. In questo senso, tra il 2009 e il 2018, i dipendenti a tempo indeterminato sono diminuiti complessivamente del 6,5%, passando da 693.600 unità a fine 2009 a 648.507 a fine 2018. Ad oggi, secondo i dati Istat, in Italia operano: 241 945 medici, 367 684 infermieri, 51 954 odontoiatri, 7 253 ostetriche, 75 000 farmacisti

La crisi sanitaria provocata dalla pandemia da Covid-19 non ha fatto altro che esacerbare questo problema: l’Italia si è infatti trovata con una dotazione insufficiente di risorse umane necessarie per poter fronteggiare un’emergenza di tale portata. Allo stesso tempo, però, il Covid ha accelerato la transizione digitale, al punto che importanti aziende sanitarie hanno, in poco tempo, adottato dispositivi mobili e servizi cloud all’avanguardia. Queste nuove tecnologie oggi sono fondamentali poiché favoriscono una migliore analisi dei dati e un maggiore coordinamento dell’ecosistema, oltre ad avere il potenziale di monitorare la salute del paziente, fornire diagnosi a distanza e salvare vite umane. L’85% delle organizzazioni sanitarie hanno dichiarato che, entro cinque anni, il “mobile” sarà il principale mezzo per fruire dei servizi di assistenza sanitaria. Tuttavia, questa digitalizzazione ha comportato e comporterà dei rischi cyber; più dispositivi al di fuori del perimetro protetto significano una maggiore superficie di attacco che i criminali informatici possono prendere di mira. Se non protetti dalle minacce cyber, infatti, anche i migliori ospedali del mondo sono vulnerabili e rischiano un’interruzione delle proprie attività e delle procedure sanitarie quotidiane.