La minaccia cibernetica al settore sanitario: l’analisi e le raccomandazioni dell’ACN
L'Autorità per la cybersicurezza nazionale (ACN) ha di recente pubblicato il report “La minaccia cibernetica al settore sanitario", in cui analizza le dinamiche degli attacchi cyber per il periodo gennaio 2022 – agosto 2024 per poi formulare specifiche raccomandazioni volte a rafforzare la resilienza del settore, proponendole all’attenzione specifica della dirigenza delle strutture sanitarie e del relativo personale tecnico (ma di interesse per tutte le parti coinvolte).
Come vedremo, si tratta di raccomandazioni che sono valide non solo per il settore sanitario ma che per tale comparto sono particolarmente necessarie per prevenire e/o fronteggiare incidenti di sicurezza che possono riverberarsi in particolare:
a) sulla salute dei cittadini;
b) sulla continuità operativa dei presidi sanitari;
c) sulla riservatezza di dati personali particolari;
d) sulla reputazione delle strutture colpite.
L’ACN evidenzia come, a livello non solo nazionale, il comparto in esame sia fra quelli maggiormente “offesi” da attacchi cyber: nel periodo in esame sono stati registrati almeno due attacchi al mese e la metà dei quali si è tramutato in effettivo “incidente di sicurezza” avendo avuto un impatto sui servizi erogati in termini di disponibilità e/o riservatezza e/o integrità delle informazioni. Al riguardo richiama anche il primo report dell’ENISA sul settore sanitario (2023), che pure ne evidenzia “la sua notevole vulnerabilità” in Europa.
La crescente digitalizzazione, unita allo stato delle infrastrutture, ha reso questo settore particolarmente attraente per i cybercriminali, con il ransomware che è risultata la minaccia più frequente; colpisce poi come una quota sensibile del fenomeno sia (tuttora) ascrivibile alla diffusione di malware tramite email (14% degli incidenti nel 2023).
Mediante una estesa analisi “passiva” (cioè senza testare interazione con i siti e, inoltre, limitata alle entità che non si avvalgono di società terze per la gestione delle infrastrutture IT) l’ACN ha vagliato, negli ultimi 13 mesi esaminati, oltre 50.000 indirizzi IP riconducibili a strutture sanitarie dei quali una media giornaliera di 2.178 ha esposto pubblicamente servizi sul web. Per questi ultimi sono risultate numerose criticità, così classificate:
- impropria (incauta) esposizione dei servizi sul web;
- servizi con vulnerabilità note o con software obsoleto;
- configurazioni errate o che non rispettano le best practices, con potenziale compromissione della sicurezza. A questa categoria appartiene la maggior parte delle criticità rilevate.
Il report prosegue soffermandosi poi sulle principali bad practices che sono state rilevate nel supportare le entità vittime degli incidenti in esame (ma che sono sottese anche alle tre criticità emerse dall’analisi “passiva”). La loro menzione è utile per generare consapevolezza verso la cybersecurity, tantopiù che l’ACN propone anche delle raccomandazioni generali per migliorare la postura di sicurezza delle strutture sanitarie:
a) gestione decentralizzata dei sistemi digitali;
b) obsolescenza dei dispositivi, connessa al costo e alla lunghezza del ciclo di vita degli apparati medicali (a fronte della rapidità anche tecnologica con cui si muove il cybercrime);
c) carenze quali-quantitativa del personale dedicato alla cybersicurezza.
Sottese a queste tre categorie, che possono agevolare attacchi e incidenti come quelli avvenuti, l’ACN evidenzia, le seguenti principali bad practices, che qui si raggruppano per aspetto prevalente:
a) inadeguatezze in ordine all’adeguata protezione nell’accesso alle informazioni, nel rispetto anche del principio del need to know, con riguardo a: i) autenticazione multifattoriale sulle VPN, ii) password policy, iii) gestione dei privilegi utente e iv) protocolli di autenticazione e cifratura obsoleti;
b) inadeguatezze afferenti al security management in ordine a: i) gestione dei log, ii) endpoint detection and response, iii) segmentazione della rete, iv) hardening configuration per ridurre la superficie di attacco dei sistemi e v) aggiornamento dei prodotti e inventariazione di quelli critici per impostare l’attività di patch management.
c) inadeguatezze in ordine a continuità operativa e al crisis management: i) gestione dei backup e ii) procedure di incident response (a tal riguardo si rimanda a titolo esemplificativo di prassi proattiva l’azione anche informativa messa in campo da una AUSL del Centro Italia per fronteggiare un attacco subito a fine 2023).
In relazione a ciò, l’ACN raccomanda l’implementazione di pratiche di sicurezza volte a dare risposta alle diverse inadeguatezze rilevate, sottolineando che una governance centralizzata della cybersecurity e dell’IT - con la definizione di un rispondente assetto organizzativo (ruoli, responsabilità, processi di sicurezza) fondato sulla gestione del rischio - il valore aggiunto delle risorse, anche tecnologiche, impegnate sarebbe accresciuto in termini di efficacia.
Come ricorda l’ACN, con il recepimento della Direttiva 2555/2022 (NIS2) che “prevede chiare responsabilità e una pianificazione adeguata delle misure di sicurezza cyber anche per il settore Healthcare”, il coinvolgimento attivo della dirigenza sanitaria diventa fondamentale.
E tale richiamo alla NIS2 è quanto mai pertinente per diversi aspetti che la connotano; come evidenziato dalla Commissione UE la Direttiva, che ha avuto impulso da una emergenza sanitaria, il Covid-19 che ha reso il sistema più dipendente dalle soluzioni digitali con le maggiori vulnerabilità che ne conseguono, propone una serie di misure base che i soggetti interessati devono considerare (art. 22):
a) politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
b) gestione degli incidenti;
c) continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi;
d) sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
e) sicurezza dell'acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
f) strategie e procedure per valutare l'efficacia delle misure di gestione dei rischi di cibersicurezza;
g) pratiche di igiene informatica di base e formazione in materia di cibersicurezza;
h) politiche e procedure relative all'uso della crittografia e, se del caso, della cifratura;
i) sicurezza delle risorse umane, strategie di controllo dell'accesso e gestione degli attivi;
j) uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.
Tali indicazioni includono – allargando lo sguardo anche alla supply chain - quelle prospettate dall’ACN nel report in esame, che risultano a ben vedere proponibili a molteplici ambiti, trattandosi di principi di information security di carattere generale. Indicazioni che divengono particolarmente stringenti per il settore sanitario, atteso che i dati sanitari sono altamente monetizzabili, per fronteggiare le evenienze di rischio rilevati in premessa.
Infine, ad adiuvandum, si sottolinea l’importanza di una azione di sensibilizzazione continua di tutte le figure coinvolte per evitare rischi cyber e/o data breach. Ad es. il fatto che il 14% del malware diffuso passi attraverso le email per essere fronteggiato evidenzia come, oltre che all’adozione di idonee protezioni tecniche, sia necessario un richiamo costante ai possibili varchi da cui può insinuarsi la minaccia cyber, inclusa la forma del social engineering.
