Il settore sanitario è uno tra gli obiettivi più colpiti da attacchi cibernetici: è quanto emerge dal rapporto “La minaccia cibernetica al settore sanitario. Analisi e raccomandazioni. Gennaio 2022 – Agosto 2024” dell’Agenzia per la Cybersicurezza Nazionale (ACN).

Le analisi, in particolare, hanno evidenziato che i tentativi di attacco il più delle volte hanno successo in quanto le buone pratiche di sicurezza informatica non risultano essere correttamente implementate o, ancora peggio, vengono del tutto ignorate.

Per questo è importante adottare le utili raccomandazioni raccolte dall’ACN nel suo report e adottare tutte le contromisure primarie per potenziare la cyber igiene delle strutture sanitarie.

La minaccia cyber al settore sanitario: i numeri

L’intero lavoro di raccolta e analisi dei dati ricevuti è stato svolto dalla componente tecnico-operativa dell’Agenzia, CSIRT Italia, in quanto nucleo nazionale per la gestione delle notifiche obbligatorie e volontarie inviate dai soggetti colpiti.

Nella fase di triage, allo scopo di fornire un’analisi precisa e dettagliata, CSIRT Italia ha classificato gli eventi in:

1. “evento cyber”, nel caso l’avvenimento preso in considerazione sia risultato, dopo valutazione approfondita, avere un impatto potenziale su almeno un soggetto nazionale per il quale CSIRT Italia dirama un alert o fornisce assistenza;
2. “incidente”, nel caso l’impatto di un evento cyber abbia impattato la disponibilità, l’integrità o la confidenzialità delle informazioni.

Nel rapporto l’analisi è divisa in due momenti: un primo momento che si dedica ai rilevamenti effettuati nel periodo compreso tra gennaio 2022 e dicembre 2023 e un secondo che prende in considerazione un periodo temporale compreso tra gennaio e agosto 2024.

Per quanto concerne il periodo 2022-2023, l’incidenza degli eventi cyber ai danni del settore sanitario nel 2023 secondo CSIRT Italia è aumentata del 50% rispetto al 2022, per un totale di 45 casi. Di questi, è emerso che il 47% (21 casi) sono stati confermati come incidenti.

Durante il 2023, l’efficacia maggiore degli attacchi cibernetici è stata registra a dicembre, in cui sono stati confermati due incidenti su due eventi cyber, ad aprile, giugno e agosto, in cui è stato confermato un incidente su un evento cyber.

Inoltre, un’attività maggiore è stata rilevata a ottobre, in cui sono stati rilevati cinque eventi cyber con due incidenti confermati, a novembre, in cui sono stati rilevati quattro eventi cyber con un incidente confermato, e a febbraio, in cui sono stati rilevati quattro eventi cyber con due incidenti confermati.

Le principali tipologie di attacchi al settore sanitario

In merito alla tipologia degli attacchi cibernetici, è emerso dalla classificazione dei 45 eventi cyber rilevati nel 2023 che:

1. il 35% sono stati ransomware (in calo del 25% rispetto al 2022 in cui rappresentavano il 60% degli attacchi);
2. il 14% sono stati information disclosure;
3. il 10% sono stati tentativi di intrusione tramite credenziali aziendali;
4. il 10% sfruttamento di vulnerabilità;
5. il 10% diffusione di malware tramite e-mail;
6. il 7% phishing;
7. il 7% misconfiguration;
8. il 7% DDoS.

Queste ultime due tipologie di attacchi nel 2022 non erano state ancora rilevate, il che espande lo spettro di tecniche e tattiche impiegate dagli attori cyber malevoli per colpire le infrastrutture digitali sanitarie e, di conseguenza, richiede un ampliamento delle tattiche e degli strumenti di difesa necessari per innalzare i livelli di protezione.

Gli incidenti di sicurezza nel settore sanitario

Sul versante degli incidenti, il rapporto evidenzia che nel 2023:

1. i ransomware risultano la modalità di attacco più diffusa con il 43% (il 24% in calo rispetto al 2022 in cui rappresentavano il 67% degli incidenti);
2. la diffusione di malware tramite e-mail ha caratterizzato il 15% degli incidenti;
3. l’esfiltrazione è stata rilevata nel 7% degli incidenti;
4. le compromissioni da malware hanno caratterizzato il 7% degli incidenti (sono diminuite del 10% rispetto al 2023).

Inoltre, CSIRT Italia ha riportato che la predominanza dei casi nel biennio 2022-2023 è di tipo ransomware con il 42% e che i tre principali attori cibernetici ad aver condotto operazioni contro il settore sanitario sono stati i gruppi Lockbit, le cui operazioni sono state bloccate nel febbraio 2024 tramite un’operazione guidata dalla National Crime Agency del Regno Unito in coordinamento con l’Europol, Rhysida e Monti.

Per quanto concerne il periodo compreso tra gennaio e agosto 2024, CSIRT Italia ha osservato un incremento complessivo degli eventi di natura cibernetica rispetto al medesimo intervallo temporale del 2023, raggiungendo un totale di 57 eventi cyber.

L’analisi dei dati ha inoltre evidenziato una crescita nel numero di incidenti, con un’impennata particolarmente significativa, 31 incidenti, registrata nel mese di luglio.

Tale picco è stato attribuito a un attacco alla catena di approvvigionamento che ha interessato un fornitore di servizi IT, provocando gravi ripercussioni sui suoi clienti operanti nell’ambito del settore sanitario.

Sebbene questo picco sia il più alto registrato fino ad oggi, bisogna far notare che ad aprile 2024 sono stati rilevati sette eventi cyber di cui ben cinque sono stati confermati incidenti, rendendolo il secondo mese con l’incidenza più alta nell’intero biennio preso in analisi.

A differenza del 2023, il ransomware non è stata la tipologia di attacco più impiegata dagli attori malevoli con 8 eventi cyber, sebbene la sua efficacia rimanga elevata con sette incidenti confermati – è probabile che il blocco delle operazioni di Lockbit abbia inciso in maniera significativa –, tale frequenza eguagliata dalle compromissioni da malware e dalle esfiltrazioni.

La tattica più impiegata, in attesa di futuri sviluppi, risulta essere “tentativi di intrusione tramite credenziali” con undici eventi cyber rilevati e sei incidenti confermati.

Gli impatti del ransomware nel settore sanitario

Alla luce dei dati analizzati, nel rapporto è stato dedicato un paragrafo esplicativo degli impatti conseguenti a un attacco di tipo ransomware.

Le evidenze raccolte da CSIRT Italia hanno portato alla luce anche le ulteriori conseguenze che un tale attacco produce.

Infatti, benché l’obiettivo di un attacco ransomware sia quello di interrompere la disponibilità dei servizi, possono verificarsi anche un’esfiltrazione di dati non ai fini di una richiesta di riscatto, con impatto sulla riservatezza di essi, e una cancellazione dei file, con un impatto sulla disponibilità.

Necessario adottare strategie cyber efficaci

Sono necessarie, dunque, strategie di sicurezza efficaci per il settore sanitario, il quale al momento sembra esserne carente in maniera omogenea sul territorio nazionale.

L’identificazione di vulnerabilità nei servizi e dispositivi, secondo il rapporto, è il centro della questione. Lo sfruttamento delle vulnerabilità non arreca un danno solo alle infrastrutture in quanto tali, ma compromette la privacy dei dati personali e la sicurezza delle informazioni mediche: in particolare, i dati genetici e i dati relativi alla salute possono diventare un prodotto rivendibile sul dark web o possono essere impiegati per altri fini illeciti oltre alla mera compravendita.

In merito alle vulnerabilità, CSIRT ha monitorato oltre 50 mila indirizzi IP associati al settore sanitario nel periodo dal 1° luglio 2023 al 31 agosto 2024 ed è risultato che in Italia ogni giorno mediamente 2.178 IP espongono pubblicamente dei servizi online e di questi una media di 585 IP possiede configurazioni errate o non rispetta le best practices consigliate.

Bad practice di sicurezza informatica nel settore sanitario

In ultimo, il rapporto contiene anche le principali bad practice rilevate durante l’assistenza alle vittime degli incidenti:

1. la gestione decentralizzata di sistemi digitali, la quale comporta l’assenza di una politica per l’area di sicurezza informatica comune e coerente che definisca per ogni reparto processi, regole, strutture e strumenti;
2. l’obsolescenza dei dispositivi informatici, la quale implica un’impossibilità per il sistema informatico in dotazione all’infrastruttura sanitaria di proteggere adeguatamente i propri macchinari tecnologicamente avanzati;
3. la carenza di personale tecnico ed esperto per la sicurezza informatica sostituito da personale IT non esperto, la quale renderebbe non del tutto efficace un sistema di protezione all’avanguardia.