Blog WatchGuard

Attacco al sistema sanitario

Nel mese di ottobre del 2021 il reparto IT del sistema sanitario israeliano ha subito un attacco ransomware, dal quale ha impiegato mesi a riprendersi. Sebbene la motivazione che sottendeva a questo attacco non fosse geopolitica, ma finanziaria, fonti governative hanno dichiarato di temere incidenti ben più pericolosi contro questo settore, orchestrati da gruppi collegati a potenze straniere, come l’Iran.

Ma quello israeliano non è stato l’unico sistema sanitario a subire attacchi nel 2021. A giugno un pesante attacco ransomware ha colpito l’organizzazione responsabile della sanità pubblica in Irlanda (HSE). Numerosi incidenti si sono verificati in Belgio, negli Stati Uniti e in altri Paesi, ma quello forse più sorprendente si è verificato recentemente in Brasile. In questo caso, un attacco ransomware è stato rivolto, nello specifico, al database contenente i dati relativi alle vaccinazioni contro il COVID-19.

A rischio la cosa più importante

Gli esempi finora elencati dimostrano quanto i criminali informatici abbiano intensificato la propria attività in questo settore. Secondo il dipartimento di Sanità statunitense gli attacchi ransomware verificatisi negli ospedali di tutto il mondo sarebbero stati ben 68. In base a quanto evidenziato, le conseguenze di attacchi simili in settori come quello bancario o assicurativo si limitano alla condivisione di dati dei clienti, oppure, nel peggiore dei casi, a perdite finanziarie.

Ma quando si tratta del settore sanitario, la posta in gioco è ben più alta, perché sono le vite dei pazienti a essere a rischio. Oltre al mancato funzionamento delle risorse IT, anche gli elementi OT vengono minacciati: un gruppo di hacker etici ha già dimostrato di essere in grado di introdurre malware all’interno di dispositivi e macchinari ospedalieri. Si sono dimostrati infatti capaci di disattivare i dispositivi diagnostici o di modificare i dosaggi dei medicinali assegnati (ad esempio nel caso di macchinari deputati alla distribuzione dell’insulina), per procurare danni fisici, se non addirittura la morte dei pazienti.

Backup, aggiornamenti e protezione avanzata dell’endpoint

Fortunatamente, i team IT che assistono i sistemi sanitari dispongono di strumenti e tecnologie in grado di ridurre le possibilità di esecuzione di malware o quantomeno di ridurre la portata degli incidenti, in modo che il loro impatto sia minimo su server e dispositivi ospedalieri. 

A questo proposito, CISA ha pubblicato lo scorso anno un documento con consigli mirati per il settore sanitario. Fra le indicazioni riportate venivano menzionate la necessità di disporre di un piano di risposta agli incidenti, l’importanza di eseguire backup di sicurezza di tutti i dati secondo la regola del 3-2-1 (tre copie dei dati sensibili su almeno due dispositivi di archiviazione diversi, uno dei quali online), il valore di software aggiornati, per ridurre i rischi di vulnerabilità, e il bisogno di distribuire soluzioni avanzate per la verifica, la protezione e il pronto intervento sugli endpoint (EPDR). Tali strumenti devono poter eseguire il monitoraggio continuo di tutte le attività basate su un approccio zero-trust ed essere dotati di funzionalità di protezione degli endpoint come il filtro degli URL, il controllo dei dispositivi e il firewall gestito.

In questo modo i team IT che si occupano della gestione dei sistemi ospedalieri saranno in grado di difendersi dagli attacchi informatici più sofisticati, come i malware zero-day o fileless, spesso capaci di aggirare gli strumenti di sicurezza informatica tradizionali.