I nostri dati sanitari sono sotto attacco

By Mikko Hypponen, Chief Researcher Officer, F-Secure

Per molti anni, i nostri clienti mi hanno fatto domande sui dati personali relativi alla salute. “E’ vero che i dati sanitari sono uno degli obiettivi principali degli hacker malvagi? Vero che stanno cercando la mia storia sanitaria?”, hanno chiesto. Per anni la mia risposta è stata: “No, non lo è”.

Circa il 99% dei casi che indaghiamo in F-Secure Labs sono criminali che stanno cercando di fare soldi. Il mio pensiero è stato che se stai cercando di fare soldi, il tuo obiettivo principale sono le informazioni finanziarie come i dati della carta di credito, non le immagini a raggi X.

Ma ora sto cambiando idea.

Il motivo è l’aumento degli attacchi contro ospedali, unità di ricerca medica e persino pazienti che abbiamo visto durante la pandemia – in particolare, l’attacco di ottobre contro il Centro di psicoterapia Vastaamo in Finlandia, in cui informazioni sensibili relative a decine di migliaia di pazienti sono state compromesse.

Il caso di Vastaamo è un ottimo esempio di un attaccante motivato dal denaro, che tenta di monetizzare i dati personali ricattando direttamente i pazienti anziché le istituzioni. Ci vuole un attaccante spietato per prendere di mira i dati relativi alla salute in generale, ma abbiamo visto solo una manciata di attaccanti in tutto il mondo che sono abbastanza malvagi da prendere di mira direttamente i pazienti.

Inseguire individui anziché istituzioni e aziende non è ancora una tendenza, ma stiamo vedendo indicatori che potrebbero diventare una tendenza nel prossimo futuro. Sono preoccupato per questo. E se il Chief Research Officer di F-Secure è preoccupato per questa tendenza, probabilmente dovresti esserlo anche tu.

La maggior parte degli attacchi mirati al settore sanitario sono ancora perpetrati contro le istituzioni e la maggior parte sono ransom trojan. Questo di solito comporta un’interruzione come il blocco delle attività e la richiesta: “Pagaci se vuoi continuare a salvare vite umane”. Abbiamo assistito a una serie di attacchi ransom trojan durante la pandemia, soprattutto Ryuk. Gli attacchi Ryuk hanno colpito dozzine di ospedali e organizzazioni sanitarie durante la pandemia, in particolare negli Stati Uniti, dove il COVID-19 ha spinto ospedali, organizzazioni sanitarie e personale sull’orlo del collasso.

Se stai puramente cercando profitto, prendere di mira gli ospedali nel bel mezzo di una pandemia è un’ottima idea perché devono continuare le attività a prescindere da tutto. Chiaramente, ci sono persone là fuori che sono disposte a sfruttare questa opportunità.

Quando la pandemia ha colpito nel marzo del 2020, ho pubblicato un messaggio pubblico alle bande di ransomware dicendo loro “State lontano dagli ospedali durante la pandemia”. Non mi aspettavo una gran risposta, ma ne ho ricevuta una. Cinque bande della criminalità organizzata hanno dichiarato: “Ok, abbastanza giusto. Non andremo dietro agli ospedali durante la pandemia.” Questa è stata una bella sorpresa, ma non puoi davvero fidarti di una risposta data da criminali professionisti. E infatti, abbiamo assistito ad attacchi contro ospedali, istituzioni mediche, pazienti.

Una sfida enorme

I dati sanitari sono sempre stati un facile obiettivo per i threat agent perché in genere non sono ben protetti. La maggior parte dei sistemi medici sono finanziati con fondi pubblici, il che significa che i dati sanitari mondiali sono spesso archiviati in vecchi sistemi legacy che eseguono sistemi operativi obsoleti. Gli attaccanti hanno sempre avuto facile accesso a questi sistemi. Ora che stanno iniziando a usarlo, la necessità di proteggere alcuni dei nostri dati più privati ​​e sensibili è più urgente che mai.

Quindi cosa sarà necessario per mantenere al sicuro i dati sanitari mondiali in futuro? Soldi, tanto per cominciare. Ma è complicato.

Nel 2017, il ransomware WannaCry ha colpito in modo particolarmente duro il servizio sanitario nazionale (NHS) del Regno Unito. La causa principale era ovvia: decenni di tagli al budget. La maggior parte dei sistemi in uso dall’NHS eseguiva Windows XP nel 2017, il che è imperdonabile. In conseguenza a WannaCry, l’NHS è stato costretto a cancellare circa 19.500 appuntamenti e 600 interventi chirurgici. Gli ospedali, il personale e, soprattutto, i pazienti hanno sofferto.

L’attacco WannaCry ha causato problemi così enormi che all’NHS è stato concesso un considerevole aumento del budget per risolvere i problemi più grandi che avevano consentito l’attacco. Il fatto che ci sia voluto un enorme fallimento per i politici per fornire il budget di cui l’NHS aveva bisogno evidenzia uno dei più grandi enigmi nella sicurezza informatica: liberare i budget necessari in risposta a un disastro invece che come mezzo per prevenire innanzitutto il verificarsi di disastri. Quando facciamo bene il nostro lavoro come esperti di sicurezza informatica, i nostri successi sono invisibili. Quando falliamo, i nostri fallimenti sono altamente visibili. È una partita difficile da giocare quando devi fallire per essere riconosciuto.

Un altro problema è che i dati sanitari non sono come i dati aziendali, che vengono archiviati per un periodo relativamente breve e possono quindi essere distrutti o resi pubblici. I dati sanitari devono rimanere accessibili, protetti e privati ​​per sempre. E con budget limitati e sistemi legacy, questa è una sfida enorme che stiamo iniziando ad affrontare solo ora.

La conclusione è che i nostri dati sanitari sono ora oggetto di ricatti e altri tipi di attacchi. Risolvere questa enorme sfida richiederà un cambiamento di atteggiamento su molti livelli. E sicuramente non è un problema che chiunque può affrontare da solo. Richiederà sia una comprensione più profonda di questa minaccia emergente e crescente sia la volontà di affrontarla a tutti i livelli possibili.

La conoscenza, l’intuizione e le azioni dei professionisti di cyber security sono una parte importante della soluzione, ma l’unico modo per risolvere i problemi che affrontiamo è farlo insieme.

“Se pensi alle email aziendali, diventano record storici in circa 20 anni. I dati sanitari devono essere accessibili e sicuri per sempre”.