Cyber risk nella sanità 2019

Il 21 Febbraio 2019 il Clusit-Associazione Italiana per la Sicurezza Informatica, ha presentato in anteprima alla stampa il Rapporto 2019 sulla sicurezza ICT (Information and Communications Technology). Giunto alla sua quattordicesima edizione, il rapporto Clusit 2019 presenta come da tradizione un’analisi delle attività di cybercrime con tanto di stima del loro impatto nell’ultimo anno: l’indagine è stata condotta su un campione di 8400 attacchi cyber, tutti di particolare gravità e verificatisi nel corso di otto anni, dal 1° Gennaio 2011 al 31 Dicembre 2018, in tutto il mondo, Italia compresa.

Una questione che emerge in modo significativo è il problema della Sanità. Ci spiegano Andrea Zapparoli Manzoni, membro del consiglio direttivo di Clusit, e Sofia Scozzari, membro del Comitato Scientifico di Clusit, che si tratta di uno dei settori nei quali gli attacchi sono cresciuti di più rispetto all’anno precedente. Questo perché naturalmente i “cattivi” colpiscono dove trovano più facilità a recare danni. In termini quantitativi i dati raccolti nel rapporto Clusit 2019 ci dicono che gli attacchi gravi verso il settore della Sanità sono praticamente raddoppiati tra il 2017 e il 2018 rappresentando ormai il 10% del campione. Questo fatto, confermato da una molteplicità di report internazionali, da qualche mese a questa parte vede coinvolta in prima persona anche l’Italia: infatti nel 2018, più di una volta, gli hacktivisti del gruppo Anonymous in collaborazione con i gruppi LulzSecIta e AntiSecIta, hanno attaccato sia siti di istituti che sono coinvolti nelle politiche sanitarie pubbliche sia siti di aziende sanitarie locali, trafugando dati sensibili dei pazienti, per poi rivendicare le loro azioni.

L’immagine seguente riporta la lista dei diciassette siti attaccati da Anonymous, e pone l’accento sul data breach che il rapporto Clusit 2019 ha definito come più grave: quello dell’Ospedale Sant’Andrea di Roma.

 

immagine art

In generale, gli attacchi informatici verso il settore Health secondo le statistiche del rapporto Clusit 2019 hanno nel 90 % dei casi le finalità di estorcere e trafugare grandi quantità di dati personali utili per realizzare truffe oppure costruire false identità per il mercato nero criminale. La maggior parte delle volte tali attacchi sono realizzati attraverso malware di tipo ransomware e questo costituisce un problema estremamente grave; infatti i ransomware generano interruzioni di attività e, come è facilmente intuibile, non c’è problema peggiore nel settore sanitario: un’interruzione comporta l’impossibilità per un tempo indefinito di accedere alle cartelle cliniche dei pazienti e/o di adoperare correttamente dispositivi medici che sono di solito connessi alla rete internet (IoT, Internet of Things).

Il problema del cybercrime nel settore sanitario è un dato di fatto, e richiede una reazione immediata. Una prima risposta possibile è quella di investire ingenti risorse in cybersicurezza ed in questa direzione si riscontrano i primi risultati in Italia: nell’articolo (1) , Gabriele Faggioli, Responsabile Scientifico dell’Osservatorio Information Security and Privacy del Politecnico di Milano, spiega che secondo i dati a disposizione del Politecnico di Milano i finanziamenti in Italia sono cresciuti di circa il 9% dal 2017 al 2018per un totale di 1 miliardo e 200 milioni di euro, e in due anni la crescita è stata di oltre il 22-23%, nonostante si tratti di cifre ancora non particolarmente elevate in termini di valore assoluto, per lo meno abbiamo un aumento della consapevolezza del fattore rischio. 

A questo bisogno di prevenzione risponde il progetto Panacea: che fa parte del Programma Quadro europeo per la Ricerca e l’innovazione, iniziativa coordinata dall’Università Cattolica in sinergia con la Fondazione Policlinico Universitario Gemelli IRCSS, che può contare sulla collaborazione di 15 partner tra Università, enti e aziende europee.

Con un finanziamento di 5 milioni di euro e una durata complessiva di tre anni, il progetto Panacea svilupperà diversi temi ed in particolare un sistema di simulazione 24h su 24 delle postazioni informatiche presenti nella struttura ospedaliera al fine di individuare e porre rimedio alle eventuali falle nella sicurezza. “Nel complesso sistema di infrastrutture “critiche” – afferma Daniele Gui, coordinatore del progetto insieme a Sabina Magalini, entrambi afferenti alla Chirurgia d’Urgenza – dalle quali dipende lo svolgersi regolare della vita civile e la cui perdita di funzione può causare danni gravi alla nostra società, è oggi entrato anche il sistema sanitario, ad ulteriore prova del significato e dell’importanza che il diritto alla salute riveste nelle nostre società”. L’attenzione sarà in particolare rivolta alle aree più esposte al rischio, ovvero le aree più deboli in cui un’infiltrazione provocherebbe un danno grave alla salute e alla privacy dei pazienti, nonché un’onerosa interruzione di efficienza dell’intera infrastruttura.
La riflessione dell’Ingegnere Francesco Vellucci, membro del Comitato Consulenza sulla sicurezza della Società Italiana di Telemedicina e Sanità Elettroniche (Digital SIT) descrive l’attuale situazione: ”Si tende a colpire i soggetti più deboli. E la Sanità è un settore molto debole: gestisce i sistemi più critici per i diritti e le libertà dei soggetti, tratta grandi quantità di dati riservati (immagini digitali/fascicoli sanitari…) e ha una spesa corrente talmente elevata da rendere da sempre minimali gli investimenti”.
Ma quali sono i costi degli attacchi laddove una mancanza di investimenti non abbia portato ad una protezione sufficiente? Se gli investimenti sono quasi raddoppiati, i costi dei cyber-assalti sono quintuplicati negli ultimi sette anni. L’ultima ricerca condotta dal Ponemon Institute (3), un centro di ricerca negli Stati Uniti che si occupa di security per conto di IBM Security, ha rilevato il costo medio di un'infiltrazione dolosa per ogni paese, attestando la media italiana sui 3.43 milioni, e quella statunitense sui 7.91 milioni di dollari.

La ricerca ha anche evidenziato come l'efficienza nell'identificare un’intrusione e la velocità di risposta abbia un enorme impatto sul suo costo complessivo. Il tempo medio globale necessario per identificare un data breach è di 197 giorni ed il lasso di tempo per neutralizzare la minaccia è di 69 giorni,  interessante è la relazione tra le tempistiche e la perdita subita, la ricerca afferma infatti che
le imprese che sono state  in grado di intervenire in meno di un mese hanno risparmiato oltre un milione rispetto a quelle che hanno impiegato più tempo. L’analisi dei costi riflette chiaramente l’esigenza di investimenti sempre maggiori nel campo della sicurezza informatica.

Il segnale è forte e chiaro, alla consapevolezza del rischio a cui si è esposti deve corrispondere una protezione immediata, protezione che può essere raggiunta solo per mezzo dei necessari investimenti in cybersicurezza, e il progetto Panacea non può che essere l’inizio di un percorso di continuo miglioramento nel  tentativo di ridurre il divario tra capacità di attacco e di difesa.

 

Bibliografia:

(1) Ruggiero Corcella, Attacchi Informatici: anche negli ospedali e nelle Asl è allarme, Corriere della Sera,17 Febbraio 2019

(2) Fondazione Policlinico Universitario Agostino Gemelli IRCCS Cybersecurity: ”Panacea” Progetto europeo per la difesa dagli attacchi informatici in ospedale,18 Gennaio 2019

(3) Cost of a Data Breach Study: Benchmark research sponsored by IBM Security Independently conducted by Ponemon Institute LLC Global Overview July 2018