Come ti cripto e ricatto la Sanità pubblica: è emergenza ransomware negli ospedali

Lo scorso 30 ottobre il complesso ospedaliero inglese NHS Lincolnshire and Goole, che gestisce diversi ospedali pubblici nelle regioni centrali del Regno Unito, ha dovuto improvvisamente cancellare molte operazioni chirurgiche già programmate, annullare tutte le visite e gli appuntamenti, e addirittura trasferire ad altre strutture esterne i pazienti in condizioni più critiche, a causa di una imprevista e grave emergenza: un virus informatico che ha colpito i sistemi computerizzati di gestione della struttura in modo talmente esteso da doverne richiedere lo spegnimento o l’isolamento per ben tre giorni, per poter consentire ai tecnici di ripristinarne il corretto funzionamento. Durante questo periodo l’assistenza ai pazienti rimasti ricoverati nelle strutture, e tutte le funzioni amministrative ed ospedaliere, sono state svolte facendo ricorso a sistemi manuali.

Non è purtroppo la prima volta che una struttura sanitaria viene messa in ginocchio da una minaccia informatica, e quasi certamente non sarà neppure l’ultima. Gli ultimi mesi, infatti, hanno visto il moltiplicarsi di attacchi “cyber” deliberatamente condotti contro il mondo della sanità, in quella che sembra una tendenza oramai consolidata e preoccupante.

I responsabili del complesso NHS Lincolnshire and Goole non hanno fornito informazioni su che tipo di virus abbia colpito i loro sistemi ma molto probabilmente si è trattato di un ransomware, un fenomeno relativamente recente e straordinariamente insidioso: si tratta infatti di una forma specializzata di malware che automatizza una delle più antiche ed odiose minacce di tipo criminale, quella del sequestro di beni a fine di riscatto. Il ransomware infatti, una volta penetrato su un computer appartenente ad una rete aziendale, provvede a cifrare tutti i dati che riesce a trovare su tutti i sistemi raggiungibili da quella rete, provocandone così il blocco totale: l’unico modo per ripristinare la funzionalità dei sistemi compromessi è quello di pagare un riscatto all’organizzazione criminale che ha condotto l’attacco, solitamente tramite una criptovaluta non tracciabile quale il Bitcoin, ottenendo in cambio la specifica chiave in grado di decifrare i dati virtualmente “sequestrati” e renderli così nuovamente utilizzabili.

Il fenomeno del ransomware non è del tutto nuovo: esiste infatti ormai da parecchi anni, anche se si è diffuso in modo preoccupante solo negli ultimi due. Sinora aveva colpito indiscriminatamente tutti i tipi di aziende ed organizzazioni appartenenti alle aree “ricche” del pianeta, attuando un modello di business basato essenzialmente sul concetto di “pesca a strascico”: la diffusione della minaccia era affidata a campagne di spam trasversali e di larga diffusione, finalizzate a colpire quante più vittime possibile, e la richiesta di riscatto era generalmente contenuta (poche centinaia di dollari o di euro) per incoraggiare le vittime a pagare. In tempi recenti, tuttavia, si è assistito ad una specializzazione della minaccia, che ha incominciato a manifestarsi con campagne mirate condotte verso specifici soggetti particolarmente vulnerabili. E le organizzazioni che operano nella sanità sono ai vertici della lista.

Già nel febbraio scorso l’Hollywood Presbyterian Medical Center di Los Angeles (USA) aveva pagato un riscatto di circa 17.000 dollari per poter ripristinare la funzionalità dei propri sistemi compromessi da un ransomware, anche se la stampa locale in un primo momento aveva parlato addirittura di un importo superiore ai tre milioni di dollari. Nel mese di marzo il Methodist Hospital del Kentucky (USA) fu costretto a chiudere i propri sistemi informativi per diversi giorni, e trasferire molti pazienti in altre stutture, per un incidente analogo. Da allora gli attacchi agli ospedali si sono moltiplicati e non accennano a diminuire, tanto negli USA quanto in Europa, anche se non sono tutti finalizzati alla richiesta di riscatto: sono infatti sempre più frequenti le infiltrazioni silenti finalizzate alla cattura dei dati personali e sanitari dei pazienti memorizzati nei data base delle stutture di ricovero e cura, per un ammontare di diversi milioni di record, i quali vengono venduti sul mercato nero ad organizzazioni interessate.

Il blocco dei sistemi informativi ospedalieri in seguito ad un attacco di ransomware rimane tuttavia la minaccia più preoccupante per il sistema sanitario, perché mina la capacità operativa della struttura che ne é vittima e mette ovviamente a rischio la salute dei pazienti. Peraltro questo tipo di attacco è anche il più facile da condurre da parte delle organizzazioni criminali perché i sistemi informativi sanitari, mentre sono generalmente attenti a rispettare le normative sulla privacy, non sono generalmente progettati e gestiti in modo da resistere ad attacchi informatici mirati. Ciò fa della sanità la vittima perfetta per i cybercriminali: è poco protetta ed ha molto da perdere in quanto gestisce un bene incalcolabile, ossia la salute dei cittadini.

È necessario quindi che anche nel mondo della sanità cresca la consapevolezza nei confronti della minaccia cyber: da un lato devono essere rapidamente attuate tutte le opportune contromisure tecniche di protezione delle reti e dei sistemi da parte di coloro che sono incaricati di amministrarli, ma dall’altro è indispensabile che cresca la cultura specifica degli operatori sanitari ad ogni livello, affinché tutti gli utilizzatori sappiano adottare comportamenti prudenti e cautele adeguate nell’utilizzo dei sistemi informativi messi a loro disposizione. Il rischio cyber deve entrare pienamente a far parte del più ampio novero dei rischi che incombono sulla sanità, ed essere gestito consapevolmente, se si vogliono scongiurare situazioni che in ultima analisi potrebbero mettere in serio pericolo la reputazione delle strutture e la salute dei pazienti.