Tra il 2020 e il 2021 il volume degli incidenti di sicurezza nelle strutture sanitarie ha subito un'impennata: l’incremento è stato del 35% negli Stati Uniti, del 45% in Spagna e fino al 50% in Germania e Francia... Una situazione critica, considerando che questi ambienti sensibili impiegano in media 28 giorni per tornare a una normale operatività. Perché, nonostante il sostegno e l'assistenza offerti principalmente dai governi, i centri ospedalieri continuano ad essere vulnerabili?
L’analisi e l’opinione degli esperti su un fenomeno che preoccupa sia i professionisti della salute che l'opinione pubblica.
Iniziative per affrontare le minacce informatiche
La vulnerabilità delle strutture sanitarie è emersa chiaramente con la pandemia da Covid-19 all'inizio del 2020. Da allora, gli ospedali subiscono quasi quotidianamente attacchi informatici che li paralizzano, indipendentemente dalle dimensioni o dalla posizione geografica. Tuttavia, la vulnerabilità delle strutture sanitarie non è una novità, al contrario: è fonte di grande preoccupazione per i professionisti da oltre un decennio. La prima iniziativa dedicata alla sicurezza informatica nelle strutture sanitarie è stata lanciata in Francia nel 2011, nella città di Le Mans, dove, con l'obiettivo di incontrarsi e confrontarsi, è stato organizzato il primo Congresso Nazionale sulla Sicurezza dei Sistemi Informativi Sanitari su iniziativa di Vincent Trely, RSSI della Clinica universitaria di Le Mans. Nel 2013, sempre in Francia, la Legge sulla programmazione militare (LPM) introduceva il concetto di OIV (organismi di importanza vitale), un acronimo che classifica un gruppo di aziende e organizzazioni essenziali per la sopravvivenza della nazione. Anche se l'elenco non sarà reso pubblico, alcuni dei principali ospedali vengono inclusi fin da subito. Nello stesso anno, l'American Association Hospital (AHA) inizia a pubblicare avvisi e report sugli attacchi informatici che stavano colpendo le strutture sanitarie negli Stati Uniti. Alcuni anni dopo, nel luglio 2016, a livello europeo entra in vigore la direttiva NIS (Network and Information Security), destinata a essere aggiornata in seguito con la sua seconda versione, NIS2. Questa prevede, in particolare, un inasprimento delle misure di sicurezza informatica per gli operatori appartenenti a settori chiave, attraverso l'introduzione della nozione di OSE (operatori di servizi essenziali), un nuovo acronimo che si aggiunge a quello di OIV.
La consapevolezza del problema non è affatto recente, soprattutto tra gli esperti del settore sanitario (come gli RSSI e l'ANSSI). Ma è sufficiente per garantire una protezione efficace contro le minacce informatiche? Purtroppo, la crisi sanitaria e l'ondata di attacchi informatici contro gli ospedali hanno rapidamente infranto questo ottimismo. Secondo l'analista statunitense Brett Callow, tra il 2020 e il 2021, si sono registrati circa 170 attacchi ransomware che hanno interessato quasi 1.800 cliniche e strutture sanitarie negli Stati Uniti. In Francia, nel 2021, l'ANSSI riportava in media un incidente a settimana in un'istituto sanitario, rivelando che ben 27 strutture erano state colpite da attacchi informatici nello stesso anno. Un triste primato.
In risposta a questi nuovi attacchi, il settore si sta mobilitando nuovamente: a partire da febbraio 2020, diverse aziende private specializzate in sicurezza informatica hanno iniziato a offrire assistenza gratuita alle strutture sanitarie. Allo stesso tempo, l'ENISA ha avviato la pubblicazione di una guida contenente dieci migliori pratiche da adottare nelle strutture sanitarie per contrastare efficacemente le minacce informatiche. Inoltre, nel marzo 2020, oltre 3.000 professionisti del settore si sono uniti nella COVID-19 Cyber Threat Coalition, con l'obiettivo di condividere analisi e indicatori di compromissione, producendo e distribuendo gratuitamente flussi di Threat Intelligence all'interno della comunità. Nel settembre 2020, lo Stato francese ha istituito un fondo di 136 milioni di euro nell'ambito del piano France Relance, dedicato a potenziare la sicurezza delle infrastrutture critiche, inclusi gli ospedali. Alcuni mesi dopo, il ministero della Salute ha incrementato questo budget di ulteriori 350 milioni di euro destinati agli ospedali. Ad aprile e giugno 2021, il governo tedesco ha emanato un'ordinanza che obbliga i fornitori di servizi che operano con infrastrutture critiche, tra cui gli ospedali, a rafforzare le misure di sicurezza informatica. Nel frattempo, le autorità francesi hanno aggiunto 135 gruppi ospedalieri alla lista degli operatori di servizi essenziali (OSE). Infine, nell'agosto del 2022, il governo francese ha comunicato un incremento di 20 milioni di euro per l'ANSSI, con l'obiettivo di potenziare il supporto alle strutture sanitarie.
Di fronte alle minacce informatiche, le strutture ospedaliere non sono dunque sole. Ma è sufficiente?
Perché gli ospedali sono ancora vulnerabili
Ma perché le strutture sanitarie rimangono vulnerabili nonostante tali risorse, supporto e iniziative? Il motivo risiede nel fatto che la superficie di attacco degli ospedali è considerevole.
Il rinnovamento delle attrezzature informatiche negli ambienti sanitari presenta alcune difficoltà, poiché, sebbene un sistema informatico tradizionale venga aggiornato ogni cinque anni, i dispositivi medici possono presentare criteri di redditività che si estendono fino a quindici anni. Di conseguenza, i sistemi attualmente integrano tecnologie obsolete che non sono più supportate. "Questi investimenti, che ammontano a diverse decine o centinaia di migliaia di euro, si distribuiscono su un arco di dieci o quindici anni", spiega Charles Blanc-Rolin, ex responsabile della sicurezza informatica di un’istituzione sanitaria e responsabile di progetto per la sicurezza digitale nel settore della sanità elettronica presso il GCS Pays de la Loire. "Non è raro imbattersi in sistemi Windows o Windows XP, che non sono più supportati dal 2014 e talvolta anche in versioni più vecchie per le quali non sono disponibili patch di sicurezza. Ci troviamo di fronte a veri e propri "colabrodo" e sistemi altamente vulnerabili, a cui si aggiunge l'obbligo del marchio CE per il produttore. Ciò rappresenta un ulteriore vincolo per l'istituzione sanitaria, che non può apportare modifiche al dispositivo, come un aggiornamento delle patch di sicurezza, senza perdere il marchio CE." Per evitare il rischio di utilizzare sistemi operativi non aggiornati, le politiche di sicurezza informatica devono invece essere adattabili, come sottolinea Charles Blanc-Rolin: "È fondamentale implementare un piano di continuità operativa e di ripristino delle attività, ma è altrettanto cruciale disporre di procedure di emergenza. Attualmente, si stanno introducendo numerosi strumenti di sicurezza, ma si rischia di trascurare le basi e la necessaria flessibilità. "
Non è raro imbattersi in sistemi Windows o Windows XP, che non sono più supportati dal 2014 e talvolta anche in versioni più vecchie per le quali non esistono nemmeno patch di sicurezza.
Charles Blanc-Rolin, responsabile di progetto per la sicurezza digitale nel settore della sanità elettronica presso il GCS Pays de la Loire
Parallelamente, da oltre un decennio gli ospedali sono sottoposti a una rapida digitalizzazione che genera ulteriori vincoli. Jean-Sylvain Chavanne, responsabile della sicurezza informatica della Clinica universitaria di Brest e del Gruppo Ospedaliero del Territorio della Bretagna Occidentale, spiega: "Per fare un esempio, il perimetro da proteggere per l'ospedale universitario di Brest comprende 140 applicazioni aziendali, 350 server virtuali, 6.000 postazioni di lavoro, 10.000 dispositivi connessi alla rete, 20.000 apparecchiature biomediche (come pompe per siringhe, MRI, camere iperbariche…) e 2,7 petabyte di dati grezzi da salvaguardare. Si tratta di un campo di applicazione decisamente molto ampio. Parallelamente, a partire dagli anni 2010, i centri ospedalieri hanno avviato una rapida digitalizzazione, finanziata da una serie di bandi ma senza budget dedicati alla manutenzione. Di conseguenza, gli ospedali si trovano a dover colmare gradualmente un pesante debito tecnico." A seguito della digitalizzazione, le strutture sanitarie sono state ulteriormente indebolite dalla diffusione massiccia dei dispositivi connessi. La medicina e le sue pratiche sono in continua evoluzione, e settori come l'imaging medico, l'ospedalizzazione a domicilio e l'identificazione dei pazienti sono stati profondamente trasformati da queste innovazioni, come sottolinea Charles Blanc-Rolin. "Grazie a nuovi strumenti, come i braccialetti RFID per il monitoraggio dei pazienti, è ora possibile tracciare con precisione la loro posizione all'interno dell'ospedale, ottimizzando così il percorso di cura. Occorre quindi gestire con attenzione questi nuovi strumenti digitali, garantendo sicurezza senza generare nuovi oneri tecnologici." La proliferazione di questi dispositivi nei servizi sanitari ha portato a un'espansione incontrollata della superficie di attacco, un problema che Jean-Sylvain Chavanne analizza attraverso tre rischi principali: "Il primo consiste nella mancanza di controllo sugli oggetti connessi implementati all'interno del sistema informatico ospedaliero. Basti pensare a un fornitore che si collega alla rete senza implementare alcuna misura di sicurezza. Il secondo rischio risiede nelle relazioni contrattuali. In assenza di contratti con subappaltatori o fornitori, non vi è alcun obbligo di garantire le misure di sicurezza, come ad esempio l'aggiornamento dei software necessari. L'ultimo rischio è costituito dai software integrati, che agiscono come autentiche "scatole nere". Se non sappiamo cosa contengono, non possiamo gestire la sicurezza né risolvere le vulnerabilità. Lo scorso dicembre, abbiamo affrontato il problema di Log4Shell, che ci ha obbligati a contattare 200 fornitori di dispositivi medici per accertarci che il loro software contenesse questa vulnerabilità. "
A partire dagli anni 2010, i centri ospedalieri hanno avviato una rapida digitalizzazione, finanziata da una serie di bandi che però non prevedevano alcun budget per la manutenzione. Di conseguenza, gli ospedali si trovano a dover colmare gradualmente un pesante debito tecnico.
Jean-Sylvain Chavanne, RSSI Clinica universitaria di Brest
Tuttavia, il fattore umano rappresenta anch'esso un elemento di vulnerabilità all'interno degli ospedali. Sottoposte a una carenza di personale, le squadre informatiche si concentrano principalmente sull'obiettivo di fornire le informazioni rapidamente, rischiando talvolta di trascurare regole di sicurezza fondamentali. In questo scenario, i team di Sicurezza dei sistemi informatici (SSI) delle strutture ospedaliere svolgono un ruolo cruciale nel sensibilizzare il personale, esaminando e mettendo in discussione alcune libertà d’azione che, secondo Jean-Sylvain Chavanne, non dovrebbero essere concesse ai professionisti della salute, evidenziando la necessità di rivedere e ristrutturare tali pratiche: "Attualmente, i nostri sistemi di sicurezza riescono a bloccare un'email di spam ogni 50 secondi e un virus ogni ora. Occorre sensibilizzare ed educare il personale sulla necessità di limitare l'uso dei software che gestiscono i dati sanitari. Ad esempio, i professionisti della salute non dovrebbero accedere alle informazioni diagnostiche dei pazienti dai propri telefoni personali. Per questo motivo, ribadiamo costantemente le buone pratiche nel corso dell'anno." Un personale medico costantemente sotto pressione, spesso portato a prendere scorciatoie per concentrarsi sul proprio compito di cura, deve essere sensibilizzato sull'importanza della sicurezza informatica. Una sfida significativa per i Responsabili della Sicurezza Informatica, ispirati dalla comunicazione di un noto direttore ospedaliero ai propri collaboratori, consiste nell'affrontare problematiche come l'obsolescenza del materiale, la necessità di rafforzare la cultura del rischio e le sfide nel reclutamento, tutte fondamentali per garantire una sicurezza informatica efficace nelle strutture ospedaliere.
Minacce informatiche in espansione: un rischio crescente per i dati sanitari
Di fronte a queste diverse difficoltà, Charles Blanc-Rolin sottolinea che la sicurezza delle strutture sanitarie è fondamentale per proteggere i dati dei pazienti e garantire loro assistenza. "Gli attacchi informatici, in particolare quelli che utilizzano il ransomware, possono paralizzare un ospedale e compromettere seriamente le possibilità di cura dei pazienti, costringendo i medici a ricorrere a misure di emergenza, in assenza di accesso ai dati e alle informazioni diagnostiche. Ma il vero pericolo risiede nel deterioramento della qualità delle cure, che può compromettere la sicurezza dei pazienti."
I professionisti della salute, privati dell'accesso ai dati e alle diagnosi, saranno costretti a ricorrere a misure d'emergenza. Tutto ciò comporta un abbassamento della qualità delle cure, che può compromettere la sicurezza dei pazienti.
Charles Blanc-Rolin, responsabile di progetto per la sicurezza digitale nel settore della sanità elettronica presso il GCS Pays de la Loire
Peraltro, i dati sanitari costituiscono un'ulteriore opportunità per i criminali informatici. Al di là del carattere personale dei dati basilari, come nome, cognome e data di nascita, queste informazioni possono rivelare aspetti molto più intimi, portando a scenari di estorsione estremamente inquietanti per le vittime stesse. È quanto accaduto ai pazienti dell'azienda finlandese Vastaamo nel corso del 2020, quando una violazione dei dati ha esposto informazioni sensibili riguardanti il monitoraggio psichiatrico di ben 25 centri del gruppo, colpendo duramente la loro privacy e sicurezza. Come riportato da Wired, 30.000 pazienti hanno ricevuto una richiesta di riscatto da pagare entro 24 ore per non incorrere nella divulgazione. Un'evoluzione nelle modalità di attacco informatico, in cui il riscatto è prevalentemente rivolto alle aziende: in questo caso si sono trovati i pazienti nel mirino. Le oltre 25.000 denunce presentate alle autorità fanno di questo attacco informatico il più grande procedimento penale della storia finlandese. Pochi mesi dopo, l'Autorità finlandese per la protezione dei dati ha inflitto all'azienda una multa di 608.000 euro per violazione del Regolamento generale sulla protezione dei dati. Purtroppo, anche altri paesi europei hanno subito la stessa sorte, come la Francia, dove nello stesso periodo sono state sottratte 500.000 cartelle cliniche da un gruppo di laboratori a ovest del Paese. Secondo uno studio americano pubblicato nel marzo 2022, i dati sanitari valgono 25 volte di più di una carta di credito.
Se da un lato le informazioni sanitarie rappresentano un'opportunità finanziaria per i criminali informatici, dall'altro diventano obiettivi strategici per i governi. Durante la crisi sanitaria, la sottrazione di dati relativi allo sviluppo dei vaccini è diventata cruciale per alcuni paesi privi delle risorse necessarie per la ricerca e lo sviluppo. Secondo il Wall Street Journal, non meno di sei aziende farmaceutiche, tra cui Johnson & Johnson e Novavax Inc, sono state prese di mira contemporaneamente da attivisti informatici nordcoreani. Alla fine del 2020, lo stesso gruppo, spacciandosi per un'agenzia di reclutamento, avrebbe contattato i dipendenti di Astrazeneca con false offerte di lavoro con l'obiettivo di introdurre nell'azienda file contenenti codici malevoli. Nello stesso anno, in Francia, su 24 incidenti registrati nel settore sanitario, sette riguardavano l'industria farmaceutica, stando a quanto dichiarato da Charlotte Drapeau, responsabile dell'ufficio Salute e Società dell'ANSSI. Una tendenza di fondo secondo l'HIPAA Journal: il numero di violazioni significative riguardanti il furto di dati sanitari è passato negli Stati Uniti da 368 nel 2018 a 714 nel 2021.
Secondo Jean-Sylvain Chavanne, gli attacchi che interessano le aziende farmaceutiche francesi non sono perpetrati da criminali informatici tradizionali: "Le vittime degli attacchi sono tutte aziende farmaceutiche che hanno sviluppato un vaccino contro il Covid-19. È difficile credere che questo sia il risultato di azioni opportunistiche da parte degli aggressori, ma piuttosto di una strategia di destabilizzazione o di spionaggio industriale."
Le ragioni della vulnerabilità delle strutture sanitarie sono quindi complesse. Derivano da problematiche strutturali del settore e non possono certamente essere risolte in pochi mesi. Per ridurre il debito tecnico, affrontare la carenza di personale e limitare la superficie di attacco, il settore sanitario deve agire senza indugi, affiancato dal supporto dei governi. Solo così è possibile rendere l'ospedale uno spazio connesso e sicuro.
