Trace Id is missing

Sanità USA a rischio: Rafforzare la resilienza contro gli attacchi ransomware

Condividi
Un gruppo di professionisti del settore medico che guardano un tablet

Il settore sanitario deve fare i conti con un numero crescente di minacce alla cybersecurity, tra cui gli attacchi ransomware costituiscono il caso più significativo. La dispersione delle risorse dovuta alla combinazione di appetibili dati di pazienti, dispositivi medici interconnessi e varie operazioni informatiche o di cybersecurity da parte del personale, rende le organizzazioni del settore sanitario il principale bersaglio degli attori di minacce. La progressiva digitalizzazione delle operazioni, dall’utilizzo di cartelle cliniche elettroniche a piattaforme di telemedicina e dispositivi interconnessi, aumenta la complessità della superficie di attacco nelle strutture ospedaliere, rendendole ancora più vulnerabili.

L’analisi che segue offre una descrizione generale dell’attuale panorama di cybersecurity nella sanità, evidenziando come il settore rappresenta un bersaglio primario, la crescente frequenza degli attacchi ransomware e le pesanti conseguenze a livello finanziario e di assistenza al paziente che ne derivano.

Una video discussione presentata da Sherrod DeGrippo, direttore della strategia di intelligence sulle minacce di Microsoft, analizza in modo approfondito le maggiori problematiche, offrendo informazioni dettagliate di esperti su attori di minacce, strategie di recupero e vulnerabilità del settore.

Il briefing di Microsoft Threat Intelligence: Settore sanitario

Sherrod DeGrippo, direttore della strategia di intelligence sulle minacce per Microsoft Threat Intelligence, conduce un’approfondita discussione con i migliori esperti di intelligence sulle minacce del settore, analizzando le ragioni che fanno della sanità un bersaglio primario degli attacchi ransomware, le tattiche utilizzate dai vari gruppi di attori, le tecniche di protezione e molto altro.
  • Secondo Microsoft Threat Intelligence, nel secondo trimestre del 2024 il settore della sanità pubblica e privata è stato tra i 10 più colpiti.1
  • Il ransomware come servizio (RaaS) ha reso possibili attacchi anche da parte di attori con esperienza tecnica limitata; allo stesso tempo, la Russia offre protezione a vari gruppi di ransomware. Il risultato è stato un aumento del 300% negli attacchi ransomware dal 2015 a oggi.2
  • Nell’anno fiscale precedente, 389 istituzioni sanitarie americane sono state vittima di attacchi ransomware, che hanno portato alla chiusura delle reti e dei sistemi di comunicazione, a ritardi nell’esecuzione di procedure urgenti e al rinvio delle visite mediche programmate.3. Attacchi di questo tipo hanno un costo finanziario importante: secondo un’analisi, le organizzazioni del settore sanitario perdono fino a 900.000 $ al giorno solo in tempo di inattività. 4
  • Delle 99 organizzazioni del settore sanitario che hanno ammesso di aver pagato un riscatto e ne hanno reso noto l’ammontare, la cifra media era di 1,5 milioni di dollari, con il pagamento medio a 4,4 milioni di dollari.5

Impatto drammatico sull’assistenza al paziente

Le interruzioni alle operazioni delle strutture sanitarie causate dagli attacchi ransomware possono influire pesantemente sulle cure ai pazienti, non solo negli ospedali colpiti, ma anche nelle zone circostanti,che assorbono pazienti da vari centri di primo soccorso.6

Si considerino i risultati di questo recente studio, che mostrano come un attacco ransomware a quattro ospedali (due colpiti e due indenni) abbia portato, in due altri ospedali della zona, a un aumento del volume di pazienti del pronto soccorso, a un aumento dei tempi di attesa e a ulteriore pressione sulle risorse, in particolare nell’ambito delle cure urgenti come il trattamento degli infarti.7
Aumento dei casi di infarto: L’attacco ransomware ha avuto un impatto significativo sull’intero ecosistema sanitario, compresi gli ospedali non colpiti, che si sono trovati a dover assorbire i pazienti delle strutture danneggiate. I codici relativi agli infarti negli ospedali circostanti sono quasi raddoppiati, da 59 a 103, mentre gli infarti confermati sono passati da 22 a 47 casi, un aumento del 113,6%.
Aumento degli arresti cardiaci: L’attacco ha messo sotto pressione l’intero sistema sanitario locale, con un aumento dell’81% (da 21 a 38) dei casi di arresto cardiaco negli ospedali non colpiti. Questi dati mostrano l’impatto a catena dell’attacco a una struttura sanitaria, che porta a un aumento delle urgenze negli ospedali circostanti.
Calo dell’indice di sopravvivenza nei casi di diagnosi neurologica favorevole: L’indice di sopravvivenza nei casi di pazienti non ricoverati con diagnosi neurologica favorevole si è drasticamente ridotto negli ospedali non colpiti, passando dal 40% prima degli attacchi al 4,5%.
Aumento negli arrivi delle ambulanze: Si può vedere un aumento del 35,2% nel numero di arrivi dei mezzi di emergenza negli ospedali non colpiti durante la fase di attacco, che suggerisce un sostanziale dirottamento del traffico delle ambulanze causato dai disagi negli ospedali colpiti.
Incremento del volume di pazienti: L’attacco ha compromesso quattro ospedali della zona (due colpiti e due indenni), facendo registrare un significativo aumento nel numero di pazienti del pronto soccorso nelle strutture non colpite. Il numero giornaliero di casi negli ospedali non colpiti ha registrato un aumento del 15,1% durante la fase di attacco rispetto al periodo precedente.
Ulteriori danni all’assistenza al paziente: Durante l’attacco, gli ospedali non colpiti hanno mostrato un aumento nel numero di pazienti usciti senza permesso, nei tempi di attesa in accettazione e nella durata dei ricoveri. Ad esempio, il tempo medio di attesa in accettazione è passato da 21 minuti nel periodo precedente all’attacco a 31 minuti durante l’attacco.

Casi di studio di attacco ransomware

Le conseguenze degli attacchi ransomware sono drammatiche, non solo a livello di danni alle organizzazioni colpite ma anche per quanto riguarda l’assistenza al paziente e il buon funzionamento delle operazioni. I seguenti casi di studio illustrano gli effetti drammatici dei ransomware su strutture sanitarie di vario tipo, dai centri ospedalieri di primaria importanza alle strutture minori delle zone rurali, evidenziando i vari modi in cui gli attacchi penetrano nelle reti informatiche e i conseguenti danni ai servizi sanitari essenziali.
  • Gli attori di minacce hanno utilizzato credenziali compromesse per accedere alla rete da uno dei punti di accesso remoto vulnerabile senza autenticazione a più fattori. Gli attori di minacce hanno quindi criptato l’infrastruttura critica, estrapolando dati sensibili in un duplice atto di estorsione, minacciando di divulgare i dati se non fosse stato pagato un riscatto.

    Impatto:     L’attacco ha provocato sostanziali interruzioni, impedendo all’80% del personale sanitario e delle farmacie di verificare la validità delle assicurazioni mediche. 
  • Gli attacchi hanno sfruttato la vulnerabilità del software senza patch dell’ospedale, operando lateralmente per compromettere gli appuntamenti dei pazienti e le informazioni mediche. Utilizzando una duplice tattica di estorsione, gli attori della minaccia hanno poi estrapolato dati sensibili minacciandone la divulgazione se non fosse stato pagato un riscatto.

    Impatto: L’attacco ha danneggiato l’operatività della struttura, causando cancellazione di appuntamenti, ritardi nelle operazioni chirurgiche e necessità di utilizzare processi manuali, con conseguenze su personale e pazienti. 
  • Gli autori dell’attacco hanno utilizzato email phishing per accedere alla rete informatica dell’ospedale, sfruttando poi le vulnerabilità senza patch per lanciare il ransomware, che ha criptato cartelle cliniche elettroniche e sistemi di assistenza ai pazienti. In una duplice tattica di estorsione, gli attori della minaccia hanno poi estrapolato informazioni riservate e dati finanziari minacciandone la divulgazione se non fosse stato pagato un riscatto. 

    Impatto:     L’attacco ha causato danni a quattro ospedali e a più di 30 cliniche, provocando ritardi nelle cure e nell’assistenza di primo soccorso, oltre ai problemi relativi all’esposizione dei dati. 
  • Nel febbraio 2021, un attacco ransomware ha colpito il sistema informatico di un piccolo ospedale rurale (44 posti letto), forzando l’utilizzo di operazioni manuali per tre mesi, con un drammatico impatto sulla gestione delle assicurazioni mediche.

    Impatto:     L’impossibilità di riscuotere i pagamenti in modo efficiente ha causato danni finanziari alla struttura, privando la comunità locale di un cruciale servizio di assistenza sanitaria. 

A causa dell’ampia superficie di attacco, di sistemi poco aggiornati e di protocolli di sicurezza inconsistenti, il settore sanitario degli Stati Uniti costituisce un bersaglio allettante per i criminali informatici che operano a scopo di lucro. La dipendenza del settore sanitario dalla tecnologia digitale, in combinazione con la natura sensibile dei dati e la scarsità di risorse, spesso dovuta alle ridotte disponibilità finanziarie, con cui diverse organizzazioni devono fare i conti, tende a limitare le possibilità di investimento in cybersecurity, aumentando la vulnerabilità. Le organizzazioni sanitarie tendono inoltre a dare assoluta priorità all’assistenza ai pazienti e questo può portare alla decisione di pagare il riscatto per evitare complicazioni.

Una reputazione a pagare il riscatto

Parte della ragione per cui gli attacchi ransomware costituiscono oggi un sostanziale problema per il settore sanitario è proprio la marcata tendenza a soddisfare le richieste di riscatto. Le organizzazioni sanitarie danno assoluta priorità all’assistenza ai pazienti e se si trovano a dover pagare milioni di dollari per evitare complicazioni, sono spesso disposte a farlo.

A conferma di quanto detto, un recente studio basato su un sondaggio tra 402 organizzazioni sanitarie mostra che il 67% ha subito un attacco ransomware nell’anno precedente. Tra le organizzazioni interpellate, il 53% ammette di aver pagato un riscatto nel 2024, rispetto al 42% nel 2023. Lo studio evidenzia anche l’impatto finanziario, con il riscatto medio, secondo quanto ammesso, pari a 4,4 milioni di dollari.12

Limitazioni di risorse e investimenti nella sicurezza

Un’altra importante difficoltà è rappresentata dalle limitazioni in termini di bilancio e risorse per la cybersecurity caratteristiche del settore sanitario. Secondo il recente studio Healthcare Cybersecurity Needs a Check-Up13 portato a termine da CSC 2.0 (un gruppo che prosegue il lavoro della Commissione congressuale Cyberspace Solarium), "le limitazioni economiche e la necessità di dare priorità ai servizi essenziali per il paziente hanno ridotto gli investimenti nella cybersecurity, rendendo le organizzazioni sanitarie più vulnerabili in caso di attacco."

In sostanza, nonostante la gravità del problema, i servizi sanitari non investono in modo sufficiente nella cybersecurity. Per una complessa serie di fattori, tra cui un modello di pagamento indiretto che spesso porta a dare priorità alle immediate necessità della struttura rispetto a investimenti meno visibili come la cybersecurity, per quasi due decenni si è assistito a una sostanziale mancanza di investimenti nella sicurezza informatica.10

Come se non bastasse, l’Health Insurance Portability and Accountability Act (Legge sulla portabilità e la responsabilità dell’assicurazione medica) ha portato a dare priorità agli investimenti relativi alla confidenzialità dei dati, spesso lasciando in secondo piano la protezione dell’integrità e della disponibilità delle informazioni critiche. Un approccio di questo tipo può portare a minore attenzione alla resilienza dell’organizzazione, riducendo in modo particolare gli obiettivi del tempo di ripristino (RTO) e gli obiettivi del punto di ripristino (RPO).

Sistemi antiquati e infrastrutture vulnerabili

Una conseguenza del ridotto investimento nella cybersecurity è l’utilizzo di sistemi superati o poco aggiornati, che costituiscono oggi l’obiettivo principale degli attacchi. L’utilizzo di tecnologie molto diverse tra loro porta inoltre alla creazione di un’infrastruttura poco uniforme e poco sicura, aumentando il rischio di attacchi.

La vulnerabilità dell’infrastruttura è ulteriormente complicata dalla recente tendenza del settore sanitario per le acquisizioni. La fusione tra più ospedali, che mostra un aumento del 23% rispetto al 2022 e si trova attualmente al punto più alto dal 202014, ha portato alla creazione di infrastrutture complesse, suddivise tra varie località geografiche. Senza sufficiente investimento nella cybersecurity, queste infrastrutture sono estremamente vulnerabili agli attacchi.

Espansione delle superfici di attacco

Se la creazione nel settore sanitario di reti integrate di dispositivi e tecnologie aiuta a migliorare le cure al paziente e a ridurre il numero di decessi, la superficie di attacco è oggi molto maggiore, un aspetto sfruttato in modo crescente dagli attori di minacce.

Gli ospedali lavorano sempre di più online, connettendo in rete dispositivi medici critici come tomografie computerizzate, sistemi di monitoraggio dei pazienti e pompe per infusione senza però avere il livello di visibilità richiesto per identificare e mitigare le vulnerabilità, con un impatto significativo sull’assistenza al paziente.

Christian Dameff e Jeff Tully, due medici che hanno fondato e oggi dirigono il San Diego Center per la cybersecurity nel settore sanitario dell’Università della California, segnalano come in media, il 70% dei punti di attacco in un ospedale non sono computer ma dispositivi.   
Una stanza di ospedale con apparecchiature mediche, un mobiletto bianco e una tenda blu.

Le organizzazioni del settore sanitario trasmettono inoltre enormi quantità di dati. Secondo i dati dell’Ufficio nazionale per la coordinazione degli aspetti informatici del settore sanitario, più dell’88% degli ospedali utilizza comunicazione elettronica per ottenere o inviare informazioni sui pazienti e più del 60% integra queste informazioni nelle cartelle mediche elettroniche.15

Le strutture più piccole delle zone rurali devono fare i conti con difficoltà di particolare natura

Gli ospedali delle zone rurali più remote sono particolarmente vulnerabili ad attacchi ransomware perché hanno spesso risorse limitate per prevenire o eliminare i rischi alla sicurezza. Gli effetti sulla comunità sono drammatici, poiché ospedali di questo tipo costituiscono spesso l’unica struttura sanitaria della zona.

Secondo Dameff e Tully, gli ospedali delle zone rurali non dispongono tipicamente dello stesso livello di infrastruttura di sicurezza o di competenze degli ospedali urbani di maggiori dimensioni. Evidenziano inoltre come i piani di sviluppo aziendale di questo tipo di ospedali sono spesso antiquati o inadeguati al livello di protezione richiesto dalle attuali minacce informatiche come ransomware.

Molti degli ospedali più piccoli e più remoti devono fare i conti con difficoltà di natura economica e devono spesso operare con margini di profitto molto esigui. Questa realtà economica rende difficili sostanziali i investimenti in misure di cybersecurity. Strutture di questo tipo si affidano spesso a un singolo esperto informatico, in grado di gestire i problemi tecnici di natura generale, ma senza competenze specializzate in cybersecurity.

Uno studio del Gruppo di lavoro sulla cybersecurity nel settore sanitario del Dipartimento della salute e dei servizi umani degli Stati Uniti, creato come parte del Cybersecurity Act 2015, evidenzia come una significativa proporzione degli ospedali delle zone rurali più remote non disponga di personale specializzato in cybersecurity, a conferma dei più generali problemi di risorse di cui soffrono le strutture sanitarie di questo tipo.

“Gli addetti informatici di queste strutture, in grado di gestire reti e computer dal punto di vista generale, si trovano quasi sempre ad affrontare problemi del tipo ‘Non riesco a stampare’, ‘Non riesco ad accedere’ o ‘Ho dimenticato la password’” spiega Dameff. “Ma non sono esperti in cybersecurity. Non hanno il personale e le risorse economiche, e in ogni caso non saprebbero neanche da dove cominciare.”

Il processo di attacco di un criminale informatico si sviluppa tipicamente in due fasi: accesso iniziale alla rete, spesso mediante phishing o sfruttando punti vulnerabili, seguito dall’attacco ransomware, che cripta sistemi critici e dati. L’evoluzione di simili tattiche, compreso l’utilizzo di strumenti legittimi e la proliferazione di RaaS, ha semplificato gli attacchi, aumentandone la frequenza.

La fase iniziale di un attacco ransomware: Ottenere l’accesso alla rete della struttura sanitaria

Jack Mott, che ha lavorato a capo di un team di Microsoft specializzato nell’intelligence e nel rilevamento di minacce di email aziendali, spiega che le "email rimangono tra i principali vettori di malware e phishing utilizzati negli attacchi ransomware.”16

In un’analisi di Microsoft Threat Intelligence di 13 sistemi ospedalieri di varia natura operativa, tra cui ospedali di zone rurali, il 93% delle attività informatiche malevoli osservate era relazionato con campagne di phishing e ransomware, con il numero maggiore di attività rappresentato dalle minacce relazionate con le email.17
"Le email rimangono uno dei principali vettori di malware e phishing utilizzati negli attacchi ransomware."
Jack Mott 
Microsoft Threat Intelligence

Le campagne che prendono di mira le organizzazioni del settore sanitario utilizzano spesso esche molto specifiche. Mott sottolinea come gli attori di minacce inviano email utilizzando linguaggio medico specifico come riferimenti a referti autoptici, in modo da aumentare la credibilità e ingannare il personale del settore. 

Tattiche di ingegneria sociale come queste, particolarmente in un ambiente in cui la pressione è molto elevata, fanno leva sull’urgenza spesso avvertita dal personale, causando errori nella gestione della sicurezza. 

Mott evidenzia inoltre come gli autori degli attacchi utilizzino metodi sempre più sofisticati, riferendosi spesso a "nomi reali, servizi legittimi o strumenti diffusi nel settore informatico (come strumenti di gestione remota)" per evitare di essere individuati. Tattiche di questo tipo rendono più difficile la distinzione tra attività legittime e attività malevoli per i sistemi di sicurezza. 

I dati di Microsoft Threat Intelligence mostrano anche come gli autori degli attacchi sfruttino spesso vulnerabilità nei software o nei sistemi delle organizzazioni precedentemente identificate. Si tratta di vulnerabilità ed esposizioni comuni, ampiamente documentate, per le quali sono disponibili patch o simili rimedi, e sono spesso prese di mira perché gli autori degli attacchi sanno bene come molte organizzazioni non hanno ancora eliminato questo tipo di rischi.18

Dopo essere riusciti ad accedere, gli autori degli attacchi conducono di solito una ricognizione della rete, che può essere identificata da indicatori come attività di scansione inusuale. Azioni di questo tipo aiutano gli attori delle minacce a ottenere una mappa della rete, a identificare sistemi critici e a preparare la fase successiva: l’attacco ransomware.

La fase finale di un attacco ransomware: L’utilizzo di ransomware per criptare sistemi critici

Dopo aver ottenuto accesso, tipicamente mediante phishing o malware inviato con un’email, gli attori di minacce passano alla seconda fase: l’attacco ransomware.

Jack Mott spiega come l’aumento di RaaS abbia contribuito in modo significativo all’aumento della frequenza degli attacchi ransomware nel settore sanitario. "Le piattaforme RaaS hanno democratizzato l’accesso agli strumenti ransomware più sofisticati, permettendo anche a chi ha una conoscenza tecnica minima di lanciare attacchi estremamente efficaci," prosegue Mott. Questo modello ha moltiplicato il numero degli attori di minacce, rendendo gli attacchi ransomware più efficienti e più semplici da eseguire.
"Le piattaforme RaaS hanno democratizzato l’accesso agli strumenti ransomware più sofisticati, permettendo anche a chi ha una conoscenza tecnica minima di lanciare attacchi estremamente efficaci.” 
Jack Mott 
Microsoft Threat Intelligence

Mott prosegue spiegando come operano i RaaS, e afferma che "Piattaforme di questo tipo includono un vero e proprio insieme di strumenti, tra cui software di crittografia, elaborazione di pagamenti o perfino servizi di assistenza per la negoziazione dei riscatti. Questo sistema ‘chiavi in mano’ permette a un gruppo più ampio di attori di minacce di mettere a punto campagne di ransomware, con un decisivo aumento nel numero e nella gravità degli attacchi."

Mott sottolinea inoltre la natura coordinata di questi attacchi, evidenziando che "Una volta lanciato il ransomware, gli autori degli attacchi passano rapidamente a crittografare dati e sistemi critici, spesso nel giro di poche ore. Vengono prese di mira infrastrutture essenziali come cartelle di pazienti, sistemi di diagnosi o perfino operazioni di pagamento, in modo da massimizzare l’impatto e costringere le organizzazioni sanitarie a pagare il riscatto."

Attacchi ransomware nel settore sanitario: Profilo dei principali gruppi di attori di minacce

Gli attacchi ransomware nel settore sanitario sono spesso portati a termine da gruppi di attori di minacce estremamente organizzati e specializzati. Gruppi che oltre ad includere sia criminali informatici che operano a scopo di lucro sia attori di minacce di Paesi ostili, utilizzano strumenti e strategie avanzate per infiltrarsi nella rete, crittografare dati e richiedere il pagamento di un riscatto.

Gli hacker sponsorizzati dai governi di stati autoritari fanno parte di questo gruppo di attori di minacce e utilizzano ransomware o collaborano con gruppi di autori di ransomware in operazioni di spionaggio. Ad esempio, si sospetta che attori di minacce del governo cinese utilizzino con frequenza crescente ransomware in attività di spionaggio.19

Nel corso del 2024, gli attori di minacce iraniani sono stati tra i più attivi negli attacchi alle organizzazioni sanitarie.20 A conferma di ciò, in agosto, il governo degli Stati Uniti ha emesso un avviso rivolto al settore sanitario su un attore di minacce iraniano conosciuto con il nome di Lemon Sandstorm. Questo gruppo “utilizzava accesso non autorizzato ad alcune organizzazioni americane, tra cui organizzazioni sanitarie, per facilitare, eseguire e beneficiare da futuri attacchi ransomware da parte di gruppi criminali russi affiliati.”21

I profili che seguono offrono informazioni dettagliate su alcuni dei più noti gruppi di attacchi ransomware a scopo di lucro che prendono di mira il settore sanitario; vengono descritti metodi, motivazioni e impatto sulle attività del settore.
  • Lace Tempest è un gruppo estremamente prolifico di ransomware, che prende di mira il settore sanitario. Utilizzando un modello RaaS, Lace Tempest permette agli attori di minacce affiliati di lanciare ransomware. Il gruppo è alla base di importanti attacchi a sistemi ospedalieri, con crittografia di dati critici di pazienti e richieste di riscatto. Conosciuto per l’utilizzo di una duplice estorsione, il gruppo procede non solo a crittografare ma anche a estrapolare i dati, minacciando la divulgazione se non viene pagato un riscatto.
  • Sangria Tempest è noto per i suoi avanzati attacchi ransomware contro organizzazioni del settore sanitario. Grazie a un sofisticato metodo di crittografia, il gruppo rende praticamente impossibile il recupero dei dati senza il pagamento un riscatto. Il gruppo utilizza anche una duplice estorsione, estrapolando dati di pazienti e minacciando la divulgazione. Gli attacchi del gruppo causano notevoli problemi di operatività, obbligando i sistemi sanitari a dirottare le risorse, con conseguenze negative sull’assistenza ai pazienti.
  • Cadenza Tempest, noto per attacchi DDoS, concentra oggi molte delle sue operazioni di ransomware nel settore sanitario. Composto da un gruppo di hacker legati alla Russia, prende di mira i sistemi sanitari di Paesi ostili agli interessi russi. Gli attacchi del gruppo danneggiano i sistemi ospedalieri compromettendo operazioni critiche e creando confusione, in modo particolare se combinati con campagne di ransomware.
  • Attivo dal luglio del 2022, il gruppo Vanilla Tempest, che opera a scopo di lucro, ha recentemente iniziato a utilizzare ransomware INC ottenuti da provider RaaS per prendere di mira il settore sanitario americano. Il gruppo sfrutta le vulnerabilità esistenti, utilizza script personalizzati e strumenti standard di Windows per ottenere credenziali, opera lateralmente e rilascia ransomware. Il gruppo utilizza inoltre duplice estorsione, richiedendo un riscatto per sbloccare i sistemi danneggiati e per evitare la divulgazione dei dati trafugati.

Di fronte ad attacchi ransomware sempre più sofisticati, le organizzazioni del settore sanitario devono adottare un approccio flessibile alla cybersecurity. Devono essere preparate a sostenere, rispondere e recuperare a seguito di incidenti informatici, assicurando continuità nell’assistenza al paziente.

La guida che segue offre un modello comprensivo per migliorare la resilienza, assicurare un rapido ripristino, coltivare l’attenzione alla sicurezza tra i dipendenti e promuovere la collaborazione nell’intero settore sanitario.

Governance: Garantire preparazione e resilienza

Un edificio con numerose finestre sullo sfondo di nuvole in un cielo azzurro

Un’efficace governance della cybersecurity nel settore sanitario è un aspetto essenziale per prevenire o rispondere ad attacchi ransomware. Dameff e Tully del San Diego Center per la cybersecurity nel settore sanitario dell’Università della California raccomandano la creazione di un solido modello di governance con ruoli ben chiari, regolare formazione e collaborazione interdisciplinare. Questo permette alle organizzazioni del settore sanitario di migliorare la resilienza contro attacchi ransomware e di assicurare la continuità dell’assistenza al paziente, anche di fronte a significative interruzioni.

Un aspetto chiave del modello descritto consiste nell’eliminazione delle barriere tra personale sanitario, tecnici della sicurezza informatica e addetti alla gestione delle emergenze, in modo da sviluppare piani sistematici di risposta agli incidenti. Questo tipo di collaborazione tra dipartimenti è essenziale per garantire la sicurezza dei pazienti e la qualità dell’assistenza nei casi in cui viene compromessa la tecnologia dei sistemi operativi.

Dameff e Tully sottolineano inoltre il bisogno di creare un gruppo o un consiglio responsabile per la governance che riveda e aggiorni i piani di risposta agli incidenti. Raccomandano di fornire ai gruppi responsabili della governance gli strumenti per testare i piani di risposta con realistiche esercitazioni e simulazioni, in modo che tutti i dipendenti, compresi quelli più giovani e con meno dimestichezza con le pratiche amministrative cartacee, siano in grado di lavorare in modo efficiente senza gli strumenti digitali.

Dameff e Tully sottolineano anche l’importanza della collaborazione esterna. Sono a favore di strutture regionali e nazionali che favoriscano la collaborazione tra gli ospedali nel caso di incidenti di particolare gravità e suggeriscono la creazione di "riserve tecnologiche nazionali strategiche" che possano sostituire temporaneamente i sistemi compromessi.

Resilienza e risposte strategiche

Nel quadro della cybersecurity nel settore sanitario, la resilienza va oltre la semplice protezione dei dati, assicurando la resistenza e la capacità di recupero dagli attacchi dell’intero sistema. È essenziale gestire la resilienza in modo comprensivo, concentrandosi non solo sulla protezione dei dati del paziente ma anche sul potenziamento dell’intera infrastruttura che sostiene le operazioni sanitarie. Questo include l’intero sistema: reti, catena di approvvigionamento, dispositivi medici e altro.

L’utilizzo di una solida strategia di difesa è un aspetto critico per favorire la creazione di una postura di sicurezza che possa contrastare in modo efficace gli attacchi ransomware.

L’utilizzo di una solida strategia di difesa è un aspetto critico per favorire la creazione di una postura di sicurezza che possa contrastare in modo efficace gli attacchi ransomware. Una simile strategia permette di rendere sicuro ciascun elemento dell’infrastruttura sanitaria, dalla rete, ai punti finali e fino al cloud. Assicurando la presenza di livelli di difesa multipli, le organizzazioni del settore sanitario possono ridurre la probabilità di successo degli attacchi ransomware.

Utilizzando un simile approccio con i nostri clienti, i team di Microsoft Threat Intelligence monitorano in modo costante possibili elementi malevoli. Quando vengono rilevate attività di questo genere, viene inviato un messaggio di notifica.

Non si tratta di un servizio a pagamento o esclusivo: tutte le aziende ricevono lo stesso tipo di attenzione, indipendentemente dalle dimensioni. L’obiettivo è quello di inviare una notifica nei casi in cui vengono individuate potenziali minacce (tra cui ransomware) e di fornire assistenza nella messa a punto di misure per proteggere l’organizzazione.

Oltre all’implementazione di vari livelli di difesa, è fondamentale utilizzare efficaci piani di rilevamento e risposta agli incidenti. Avere un piano non è però sufficiente; è necessario che le organizzazioni del settore siano in grado di metterlo in pratica in modo efficace durante eventuali attacchi, in modo da minimizzare i danni e assicurare un rapido recupero.

In conclusione, costante monitoraggio e capacità di rilevamento in tempo reale sono componenti essenziali di un solido sistema di risposta agli incidenti e assicurano l’identificazione e l’eliminazione di potenziali minacce.

Per ulteriori informazioni sulla resilienza nel settore sanitario, si veda il materiale pubblicato dal Dipartimento della salute e dei servizi umani Obiettivi di prestazione in cybersecurity per il settore sanitario (CPG), che aiuta le organizzazioni a dare priorità all’implementazione di efficaci procedure di sicurezza informatica.

Creato dalla collaborazione tra settore pubblico e privato sulla base dei sistemi, delle direttive, delle pratiche e delle strategie più diffuse nel settore sanitario a livello di cybersecurity, il materiale CPG offre una serie di procedure da utilizzare per rinforzare i sistemi informatici, migliorare la resilienza e proteggere le informazioni sanitarie e la sicurezza dei pazienti.

Passaggi per ripristinare le operazioni in modo rapido e rafforzare la sicurezza a seguito di un attacco

Il recupero da un attacco ransomware richiede un approccio sistematico, che assicuri il pronto ritorno alle normali operazioni e al tempo stesso prevenga incidenti futuri. Vengono indicati qui di seguito una serie di passaggi utilizzabili per valutare i danni, ripristinare i sistemi colpiti e rafforzare le misure di sicurezza. Le organizzazioni del settore sanitario possono utilizzare questi passaggi per mitigare l’impatto degli attacchi e rafforzare le proprie difese contro future minacce.
Valutazione dell’impatto e circoscrizione dell’attacco

Isola immediatamente i sistemi colpiti per evitare che l’attacco si propaghi.
Ripristino mediante l’utilizzo di backup non danneggiati

Controlla che siano disponibili backup verificati e non danneggiati prima di ripristinare le operazioni. Utilizza i backup offline per evitare la crittografia da parte dei ransomware.
Ricostruzione dei sistemi

Prediligi la ricostruzione dei sistemi compromessi rispetto all’applicazione di patch, in modo da eliminare tutti i malware ancora presenti. Utilizza la guida del team di risposta agli incidenti Microsoft per ricostruire i sistemi in modo sicuro. 
Rafforza i controlli di sicurezza a seguito di un attacco

Rafforza la postura di sicurezza dopo un attacco valutando le vulnerabilità e i sistemi di applicazione di patch e migliorando gli strumenti di rilevamento dei punti finali.
Esegui un’analisi a seguito dell’incidente

Lavora con un fornitore di sicurezza esterno, analizza l’attacco per identificare i punti deboli e migliora le difese contro incidenti futuri.

Formazione della forza lavoro sull’importanza della sicurezza

Un uomo e una donna che guardano una seconda donna.

La formazione della forza lavoro sull’importanza della sicurezza richiede una continua collaborazione tra varie discipline.

La formazione della forza lavoro sull’importanza della sicurezza richiede una continua collaborazione tra varie discipline. È importante eliminare le barriere tra team di sicurezza informatica, addetti ai servizi di emergenza e personale sanitario per creare piani coerenti di risposta agli incidenti. Senza questo tipo di collaborazione, l’intera struttura ospedaliera rischia di non essere adeguatamente preparata a rispondere in modo efficace in caso di incidenti.

Educazione e consapevolezza

Efficace formazione e una cultura che aiuti a individuare potenziali problemi sono componenti essenziali nella difesa delle organizzazioni sanitarie da attacchi ransomware. L’abitudine dei professionisti del settore sanitario a dare priorità all’assistenza al paziente, li porta spesso a sottovalutare la cybersecurity, rendendoli maggiormente suscettibili alle minacce informatiche.

La risoluzione di tali problematiche implica formazione continua sui fondamenti della cybersecurity, ad esempio su come individuare email phishing, su come evitare di fare clic su link sospetti e su come riconoscere le principali tattiche di ingegneria sociale.

Le risorse di Microsoft sulla conoscenza della cybersecurity possono essere utili in questo senso.

"L’incoraggiamento a segnalare problematiche di sicurezza senza paura è un aspetto chiave," spiega Jack Mott, un ex dipendente di Microsoft. "I potenziali problemi vanno segnalati quanto prima. Se si tratta di un problema minore, tanto meglio."

Regolari esercitazioni e simulazioni devono inoltre ricreare scenari di attacco realistici come phishing o ransomware, aiutando il personale a fare pratica su come rispondere in un ambiente controllato.

Condivisione di informazioni, collaborazione e difesa collettiva

Visto l’aumento della frequenza di attacchi ransomware (Microsoft ha osservato un incremento del 2,75% da un anno all’altro tra i suoi clienti16), è cruciale l’utilizzo di una strategia di difesa collettiva. La collaborazione, tra team interni, partner regionali e reti più ampie di livello nazionale o globale, è fondamentale per rendere sicure le operazioni del settore e garantire la sicurezza del paziente.

Un impegno collettivo da parte di questi elementi nella creazione e nell’implementazione di comprensivi piani di risposta agli incidenti può limitare la confusione organizzativa durante un attacco.

Dameff e Tully sottolineano l’importanza di unificare i team interni come medici, addetti all’emergenza e personale di sicurezza informatica, che troppo spesso lavorano in isolamento. Un impegno collettivo da parte di questi elementi nella creazione e nell’implementazione di comprensivi piani di risposta agli incidenti può limitare la confusione organizzativa durante un attacco.

A livello regionale, le organizzazioni sanitarie devono operare in partnership, in modo da condividere capacità e risorse e assicurare l’assistenza al paziente anche nel caso in cui alcuni degli ospedali siano colpiti da attacchi ransomware. Una forma di difesa collettiva di questo tipo può anche aiutare la gestione del sovraffollamento di pazienti, distribuendo gli eccessi in altre strutture sanitarie.

Oltre la collaborazione regionale, sono fondamentali le reti nazionali e globali per la condivisione delle informazioni. Piattaforme come gli Health ISAC (Centri per la condivisione e l’analisi delle informazioni) sono utilizzate dalle organizzazioni sanitarie per condividere intelligence sulle minacce di fondamentale importanza. Errol Weiss, responsabile capo della sicurezza di Health-ISAC, descrive questo tipo di organizzazioni in modo simile ai "programmi di sicurezza virtuale di quartiere," in cui i membri possono condividere rapidamente informazioni su eventuali attacchi e su tecniche di limitazione dei danni. La condivisione di informazioni aiuta a limitare o a eliminare minacce simili, rafforzando la difesa collettiva su larga scala.

  1. [1]
    Dati di Microsoft internal threat intelligence, Q2, 2024
  2. [2]
    Executive summary per CISO: Panorama delle attuali ed emergenti minacce informatiche del settore sanitario; Health-ISAC e Associazione degli ospedali americani (AHA)  
    (https://go.microsoft.com/fwlink/?linkid=2293307)
  3. [3]
    TRASCRIZIONE: House Committee Hearing to Assess Microsoft’s Cybersecurity Shortfalls,” Tech Policy Press, 15 giugno, 2024
  4. [4]
    On average, healthcare organizations lose USD$900,000 per day to downtime from ransomware attacks,” Comparitech, 6 marzo 2024
  5. [5]
    Healthcare Ransomware Attacks Continue to Increase in Number and Severity,” The HIPAA Journal, settembre 2024
  6. [6]
    Fatti a pezzi dagli hacker? Gli effetti di attacchi ransomware su ospedali e pazienti; https://go.microsoft.com/fwlink/?linkid=2292916
  7. [7]
    Attacchi ransomware associati con problematiche di pronto soccorso negli ospedali circostanti negli Stati Uniti; Attacchi ransomware associati con problematiche di pronto soccorso negli ospedali circostanti negli Stati Uniti | Medicina d’emergenza | Rete JAMA aperta | Rete JAMA
  8. [8]
    https://go.microsoft.com/fwlink/?linkid=2293508
  9. [9]
    Ascension Ransomware Attack Hurts Financial Recovery,” The HIPPA Journal, 20 settembre 2024
  10. [10]
    Patient Data Exposed in Phishing Attack on UC San Diego Health,” The HIPPA Journal, 13 marzo 2024
  11. [11]
    Ransomware Attack Key Factor in Decision to Close Rural Illinois Hospital,” The HIPPA Journal, 14 giugno 2023
  12. [12]
    Healthcare Ransomware Attacks Continue to Increase in Number and Severity,” The HIPAA Journal, settembre 2024
  13. [13]
    https://go.microsoft.com/fwlink/?linkid=2293219
  14. [14]
    There were more hospital mergers in 2023, and financial distress is driving more deals (chiefhealthcareexecutive.com)
  15. [15]
    Interoperabilità e metodi di condivisione tra ospedali nel 2021 | HealthIT.gov
  16. [16]
    Report sulla difesa digitale Microsoft 2024, Microsoft pagina 27
  17. [17]
    Telemetria di Microsoft Threat Intelligence 2024
  18. [18]
    Catalogo sulle vulnerabilità conosciute e utilizzate,”CISA, 2024
  19. [19]
    https://go.microsoft.com/fwlink/?linkid=2293016
  20. [20]
    Dati di Microsoft Threat Intelligence sulle minacce informatiche nel settore sanitario, 2024
  21. [21]
    https://go.microsoft.com/fwlink/?linkid=2293213
Ransomware Crimine informatico

Ulteriori informazioni in Security Insider

Guida all'igiene Cyber Resilience

Un’igiene informatica di base rimane il modo migliore per difendere le identità, i dispositivi, i dati, le app, l'infrastruttura e le reti di un’organizzazione da circa il 98% delle minacce informatiche. Scopri suggerimenti pratici in una guida completa.
Scopri di più

Direttamente dal fronte della lotta agli hacker che hanno interrotto l’operatività di ospedali e messo in pericolo vite umane

Scopri di più sulle minacce emergenti più recenti studiando i dati e le ricerche di Microsoft in questo campo. Leggi l’analisi delle tendenze e scopri cosa fare per rafforzare la tua prima linea di difesa.
Scopri di più

Approfittarsi dell'economia della fiducia: la frode dell'ingegneria sociale

Esplora il panorama digitale in evoluzione in cui la fiducia è una valuta ma anche una vulnerabilità. Scopri le tattiche di frode basate sull'ingegneria sociale che gli utenti malintenzionati usano più spesso e verifica le strategie che possono aiutarti a identificare e disinnescare le minacce di ingegneria sociale pensate per manipolare le persone.
Scopri di più

Segui Microsoft Security