Ransomware e dispositivi medici. Le paure della sanità USA
Sugli ospedali incombe il pericolo ransomware. Come spiega Sara Gamba, UEM & Security Sales Specialist Mediterranean Region di Ivanti, solo negli Stati Uniti, gli attacchi al sistema sanitario causano un costo annuale di 21 miliardi di dollari, di cui oltre cento milioni di dollari in somme legate a richieste di riscatto. Pensando all’Italia, la situazione non è certo migliore, anche perché risultiamo essere il quarto paese al mondo ad aver subito, negli ultimi mesi, maggiori attacchi informatici a strutture sanitarie e ospedaliere. L’aspetto finanziario è solo un aspetto del problema perché il costo reale è rappresentato dalle conseguenze sulla cura dei pazienti e dai tassi di mortalità più elevati, conseguenza diretta di attacchi informatici che coinvolgono quasi sempre dispositivi IoT/loMT (Internet of Medical Things).
Ospedali sotto attacco
Negli Stati Uniti, qualche mese fa, Joshua Corman, Consulente Senior del CISA (l’Agenzia Americana impegnata nella difesa delle infrastrutture critiche dalle minacce cyber) ha documentato i rischi crescenti nel settore sanitario durante un’audizione al Senato e nell’agosto di quest’anno Cynerio, partner di Ivanti, ha collaborato con il Ponemon Institute per approfondire l’impatto dei dispositivi medici poco sicuri per ospedali e pazienti nel report “Insecurity of Connected Devices in Healthcare 2022“. L’indagine ha intervistato oltre cinquecento ospedali in merito alle minacce e alla sicurezza dei dispositivi IoMT con risultati inquietanti. Il 43% degli intervistati ha subito almeno un attacco ransomware, l’88% dei cyberattacchi ha coinvolto un dispositivo IoMT, il costo medio della violazione dei dati è stato di oltre un milione di dollari con il 24% degli attacchi che ha provocato un aumento della mortalità. Il report ha evidenziato anche come la rivendita dei dati dei pazienti sia un’attività redditizia visto anche che il 43% degli intervistati che ha subito almeno una violazione dei dati nei 24 mesi precedenti.
Gli attacchi con i ransomware sono una costante e danno vita a un circolo vizioso, alimentato dai pagamenti degli ospedali. Le infrastrutture sanitarie, infatti, valutano il pagamento del riscatto come la soluzione ideale per il rapido recupero dei dati, con il 47% che sceglie di pagare. Il 32% dei riscatti pagati è compreso tra 250 e 500 mila dollari. Coloro che invece hanno deciso di non pagare alcun riscatto hanno sostenuto maggior investimenti per implementare un’efficace strategia di backup (53%) e rivedere le policy interne (49%).
La carenza di personale causa grandi lacune di competenze e gli hacker approfittano del gap informativo sulla sicurezza dei dispositivi IoT/IoMT scatenando vari attacchi agli ambienti sanitari.
Tipologie di attacchi
Tra le principali minacce all’IoT e agli altri dispositivi connessi, gli intervistati hanno espresso la massima preoccupazione per la mancanza di visibilità sulle reti IoT (45%), phishing (45%), attacchi zero-day (41%) e attacchi ransomware (39%).
In media, gli ospedali dichiarano di spendere il 3,4% del proprio budget IT per proteggere i dispositivi, ma i responsabili del budget spesso hanno difficoltà ad allocare le risorse per proteggere i propri ambienti. Il budget IT standard degli intervistati ammonta in media a 145 milioni di dollari da investire nel corso dell’anno e un valore pari al 17% di tale spesa è destinata alla sicurezza IT. Di questa spesa dedicata alla sicurezza, circa il 20% viene destinato alla sicurezza dei dispositivi IoT/IoMT, un valore sicuramente insufficiente se si considerano le potenziali conseguenze di una violazione dei dati o l’impatto sulla sicurezza dei pazienti. Inoltre, il 71% degli intervistati ha valutato i rischi per la sicurezza presentati dai dispositivi IoT/IoMT come alti o molto alti, mentre solo il 21% ha dichiarato di essere in una fase avanzata per implementare azioni di sicurezza proattive.
Secondo il report, inoltre, la responsabilità in materia loT/loMT è distribuita tra diversi reparti, con conseguente confusione e attribuzione delle competenze in caso di problemi. Il coordinamento della responsabilità per tutti i dispositivi IoT/IoMT deve essere invece gestito all’interno di un unico reparto dell’ospedale, non distribuito tra vari uffici come avviene oggi.
Infine, gli ospedali dovrebbero aumentare la spesa media per la sicurezza dei dispositivi IoT/IoMT almeno fino al 5%/7% del proprio budget totale per l’IT, rispetto all’attuale 3%, al fine di riuscire a ridurre sensibilmente i danni derivanti dagli attacchi hacker che causano un aumento dei tassi di mortalità, danneggiano l’immagine e riducono la produttività.
I dati, merce preziosa
Gli aggressori, spiega il report, eseguono abitualmente operazioni a lungo termine che aprono numerose vie per attacchi ripetuti. Del 56% degli intervistati che hanno subito almeno un attacco informatico negli ultimi 24 mesi, l’82% ha subito una media di quattro o più attacchi in quell’arco di tempo. Gli attacchi ransomware hanno registrato tassi più o meno equivalenti, con il 43% degli intervistati che ha subito un attacco e il 76% che ne ha subiti in media tre o più.
La rivendita dei dati dei pazienti è ancora preziosa, come dimostra il 43% degli intervistati che ha subito almeno una violazione dei dati nei 24 mesi precedenti. Di questi, il 65% ha subito una media di cinque o più violazioni di dati in quell’arco di tempo, con i dispositivi IoT/IoMT coinvolti nell’88% dei casi. Agli intervistati è stato chiesto di stimare il costo totale della più grande violazione dei dati che ha coinvolto un dispositivo IoT/IoMT, includendo le spese dirette, le spese dirette, i costi indiretti del lavoro, i costi generali e le opportunità commerciali perse. Il costo totale medio della più grande violazione dei dati è stato stimato in 13 milioni di dollari per le organizzazioni rappresentate in questa ricerca.
Una delle ragioni dei ritardi nelle pratiche di sicurezza è evidente: non esiste una proprietà ampiamente accettata. Alla domanda su chi sia il principale responsabile della sicurezza di questi dispositivi a rischio, nessun ruolo ha ottenuto più del 18% delle risposte. Anche le risposte più alte variano molto, dal CIO/CTO (18%) alla operations leadership (14%), al CISO/CSO (14%) e alla network leadership (11%). In un settore in cui la leadership e la guida sono spesso ben definite, la mancanza di accordo sulla responsabilità dei dispositivi IoT/IoMT richiede miglioramenti significativi.
Alla richiesta di valutare il livello di rischio per la sicurezza creato dai dispositivi IoT/IoMT su una scala da 1 a 10 (da 1 = rischio basso a 10 = rischio alto), il 71% degli intervistati ha valutato il rischio come alto o molto alto (7 o superiore), ma solo il 21% degli intervistati ha dichiarato di essere in una fase matura di azioni di sicurezza proattive. In circa la metà dei casi (46%) l’attività più elementare di scansione dei dispositivi è in atto, ma ⅔ di questi intervistati (67%) non tiene traccia dell’inventario risultante.
I titolari di budget spesso hanno difficoltà ad allocare le risorse per proteggere i loro ambienti. Questa sarà una sfida continua nello spazio IoT/IoMT per gli anni a venire, ma le pratiche iniziali si stanno chiarendo. La spesa It tipica degli intervistati ammonta in media a 145 milioni di dollari nell’anno fiscale e una media del 17% di tale spesa si concentra sulla sicurezza It. Di questa spesa, una media del 20% è stata destinata alla sicurezza dei dispositivi IoT/IoMT, per una media di cinque milioni di dollari nell’anno fiscale. Questi numeri probabilmente varieranno molto, ma forniscono una base iniziale su cui lavorare.
La carenza di personale non porta solo a posti vuoti, ma anche a grandi lacune di conoscenza. Gli aggressori hanno approfittato della carenza di conoscenze in materia di sicurezza IoT/IoMT scatenando una vasta gamma di attacchi agli ambienti sanitari. Gli intervistati ritengono che la mancanza di conoscenze e l’ampia gamma di attacchi stiano portando a un panorama complicato di minacce. Tra le principali minacce all’IoT e ad altri dispositivi connessi per le quali gli intervistati hanno espresso maggiore preoccupazione vi sono la mancanza di visibilità nelle reti IoT (45%), il phishing (45%), gli attacchi zero-day (41%) e gli attacchi ransomware (39%).