Contro il Social engineering, ecco le proposte del progetto europeo Dogana
Il progetto è condotto da un consorzio di 18 partner, provenienti da 11 paesi diversi , tra università, istituti di ricerca pubblici e privati, tester finali del sistema e fornitori di tecnologie. Una volta ultimata, la piattaforma verrà testata e sperimentata da partner che operano nelle aree ritenute critiche rispetto al problema analizzato nel progetto: energia, finanza, sanità, trasporti, servizi, pubbliche amministrazioni e pubbliche autorità
5 Maggio 2016
Matteo Mauri, Giorgio Giacinto, Alessio Mulas, Davide Ariu e Fabio Roli, Università di Cagliari
La crescente digitalizzazione di una parte sempre più cospicua delle attività quotidiane e lavorative, genera un naturale interesse tra noi cittadini, tra amministrazioni e professionisti: sostanzialmente accogliamo con entusiasmo e favore quegli elementi innovativi in grado di facilitare le nostre vite, semplificare qualche processo, automatizzarne l’esecuzione, e perché no, farci risparmiare qualche minuto da dedicare a noi stessi, alla casa, all’intrattenimento e così via.
Il rovescio della medaglia – perché c’è un rovescio della medaglia come ci ha insegnato anche il frutto colto da Adamo – è che la digitalizzazione di dati sensibili e delle pratiche quotidiane vengono accolte con fuochi d’artificio ed entusiasmo ancora maggiore da coloro che più di tutti sono in grado di monetizzare le potenziali derive prodotte dal digitale: i criminali informatici .
E questo non perché sia l’innovazione digitale in sé a portare il male, ma per via dell’ impreparazione dei suoi fruitori ad affrontare il rovescio della medaglia che ogni bene si porta appresso. Forse troppo spesso, a causa dell’entusiasmo di cui sopra, ci facciamo cogliere di sorpresa quando apprendiamo a nostre spese che tecnologie potenzialmente rivoluzionarie, vanno manovrate con cautela e preparazione; seguendo per esempio corsi e aggiornamenti per professionisti, in caso di introduzione di nuove tecnologie sul posto di lavoro, e utilizzando adeguati strumenti di protezione. Le nuove tecnologie sono davvero in grado di agevolarci la vita e farci risparmiare tempo se una parte del tempo guadagnato viene a sua volta investita nell’apprendimento di nuovi processi e procedure di utilizzo e condotta. Altrimenti il tempo (e il denaro) risparmiato si trasforma in tempo (e denaro) perso nel tentativo di rimediare ad errori inediti. D’altronde nessun operaio si metterebbe in testa di utilizzare un tornio senza un’adeguata formazione – e per inciso nessun CEO lo farebbe utilizzare ai suoi dipendenti – e a nessuno verrebbe in mente di utilizzare uno smeriglio senza utilizzare occhiali protettivi.
Non si capisce dunque perché si assista spesso all’introduzione di tecnologie delicate (che forniscono una potenziale superficie d’attacco informatico mastodontica), come digitalizzazione di record medici e assicurativi o introduzione di tessere sanitarie elettroniche e cartelle cliniche elettroniche, senza un’adeguata formazione di tutto il personale che lavora in ambito sanitario e senza un’adeguata protezione (con sistemi antimalware aggiornati e firewall correttamente configurati) dei sistemi informativi, dagli anelli più forti a quelli più deboli, che possono essere per esempio, una volta di più, i terminali dei dipendenti di strutture mediche.
In questo articolo affrontiamo il trend degli attacchi informatici mirati al settore sanitario , ormai consolidato negli Stati Uniti, dove il sistema sanitario è assai differente e più business-oriented rispetto a quello europeo e italiano, ma che sta prendendo piede anche nel nostro paese, dove si segnalano casi sempre meno sporadici. E in conclusione introdurremo brevemente il progetto DOGANA , finanziato dalla Commissione Europea, che punta, attraverso la mitigazione dei rischi accennati nelle righe precedenti e attraverso la proposta di formazione e sensibilizzazione, a stimolare consapevolezza e responsabilità tra i dipendenti di strutture pubbliche e private, di fronte a strumenti digitali.
Non è recentissimo (2015) il Report dei Websense Security Labs, Healthcare Drill-Down Report , ma può servire a dare un’idea generale dell’esposizione delle strutture mediche ad attacchi informatici. In breve, secondo il rapporto:
- Il settore sanitario a livello globale è più esposto a furto di dati rispetto alla media dei settori industriali: registra infatti il 340 % in più di incidenti di sicurezza e di attacchi informatici.
- Ogni 600 attacchi in questo settore, uno vede l’utilizzo di malware avanzato. Spesso per carenza di budget da destinare a contromisure, e a causa di strutture organizzative e hardware inadeguati.
- Sempre rispetto al settore industriale, quello sanitario ha il 74 % in più di probabilità di essere colpito da attacchi di phishing spesso per l’assenza di sensibilizzazione alla sicurezza verso dipendenti.
- L’assistenza sanitaria ha 4,5 volte più probabilità di essere colpita dal ransomware Cryptowall.
In Italia i casi segnalati aumentano di mese in mese, come già anticipato sin dal 2014 e 2015 nei rapporti CLUSIT e CINI – Il futuro della Cyber Security in Italia , sebbene la situazione non colpisca gli Europei in maniera quantitativamente analoga rispetto ai colleghi di settore Statunitensi, come vedremo nelle prossime righe.
Tuttavia, due casi su tutti possono rendere l’idea di quanto sia pericoloso abbassare la guardia e non prestare la giusta attenzione al fenomeno:
- Il celebre caso di #OpSafePharma, come segnalato dai siti della Polizia Postale e dal Ministero dell’Interno, risale al Marzo scorso ed è stato capace di far registrare numerosi attacchi diretti all’Istituto superiore di sanità, al ministero della Salute, Asl di numerose Regioni, e Asl locali.
- La manomissione del database informatico dell’ Ospedale Gradenigo di Torino che ha mandato in black-out il sistema rendendo illeggibili i dati dei pazienti, vanificando i tentativi recuperare gli stessi da precedenti back-up, a causa dello stato di “disordine” dei dati stessi, e obbligando l’ospedale a far ripetere a proprie spese i risultati esami andati persi (di circa 800 pazienti). Nella destabilizzazione dei vivi, il caos generato ha fatto tuttavia esultare i morti, che risultavano prenotati per gli esami.
Il caso che stiamo per segnalare nelle prossime righe invece ci porta oltreoceano: un po’ lontano dalla nostra realtà ma questo ci consente di analizzare un trend tecnologico ben noto negli Stati Uniti, dai quali spesso importiamo, con qualche mese/anno di ritardo, non solo i benefici delle tecnologie. E questo caso risulta particolarmente interessante sia per il numero di vittime coinvolte , sia per la tecnica di attacco utilizzata, il Social Engineering.
Come riportato dalla NBC, il 16 febbraio 2016, la Main Line Health (MLH), provider sanitario con
sede a Philadelphia, che opera su quattro ospedali e diverse altre istituzioni
di settore, è risultato vittima di un attacco di
phishing che ha compromesso le informazioni personali di circa 11.000 dipendenti.
L’attacco è iniziato con l’apertura, da parte di un impiegato MLH, di quella
che sembrava essere un’e-mail spedita da una fonte
ritenuta legittima.
MLH si è resa conto dell’accaduto solo pochi giorni dopo a seguito di una segnalazione nazionale riguardante la diffusione di pericoli derivanti da questa e-mail truffa.
Questa storia si svolge in realtà in un modo abbastanza comune: un criminale informatico, dopo aver studiato la sua vittima con tecniche di Social Engineering, invia un’e-mail nella quale, fingendosi un superiore in grado, semplicemente chiede (e ottiene) informazioni dettagliate sul resto del personale. In generale, di fronte a tecniche di questo tipo, la vittima cade in errore quando ritiene affidabile il mittente; l’attaccante raggiunge il bersaglio quanto più è in grado di impersonare un mittente legittimo, attraverso uno studio pregresso del suo target e attraverso tecniche informatiche e/o sociali.
Gli attacchi segnalati in Italia nelle righe precedenti, i casi segnalati dal Healthcare Drill-Down Report e il caso di Philadelphia che stiamo ora trattando, riguardano tutti il settore medico ma sono in realtà molto diversi tra loro. Nei casi più frequenti un criminale punta direttamente al denaro e guadagna un accesso illecito accesso ad un sistema, sfruttando una falla tecnica e umana, talvolta chiedendo sfacciatamente un riscatto, come nei casi di utilizzo di tecniche di ransomware Cryptowall. Nel caso di Philadelphia invece, il criminale utilizza un approccio più sottile facendo leva su debolezza umana e senso del dovere piuttosto che su competenze tecniche; il suo obiettivo tra l’altro non sembra più essere solo il denaro, ma ambisce all’apparenza a “ semplici” dati. La mancanza di formazione del dipendente di fronte a tecniche di Social Engineering completa il quadro.
L’attaccante riceve in risposta un file allegato contenente un pozzo di informazioni organizzate e strutturate: la raccolta di dati sui dipendenti delle strutture mediche gestite da MLH. Un tesoro di dati preziosi come nome, cognome, indirizzo e altre informazioni personali e sensibili.
Perché? Qual è il motivo che spinge a rubare questo tipo di dati? Qual è il valore dei dati? E’ complesso stabilire un corretto prezzo della privacy, motivo per cui ci risulta difficile comprendere le ragioni che stanno dietro questo tipo di attacco. Tuttavia scienziati, ricercatori ed esperti di sicurezza, pur non essendo d’accordo su un valore preciso, hanno provato a fare delle stime.
Secondo questo articolo del Washington Post, un set completo di credenziali medico-assicurative di un cittadino americano, valeva circa 20 $ nel 2015; una seconda fonte riporta invece due quantificazioni: secondo una relazione del Aberdeen Group, i record di ogni paziente valgono oggi circa 500 $, mentre secondo il Ponemon Institute, rubare le cartelle cliniche dei pazienti può portare il criminale che ne rivende i dati, a raggiungere un profitto di circa $ 363 per ogni record.
Nel caso MLH, quasi 11.000 set di credenziali complete sono stati rubati. Anche facendo una stima tarata sul valore più basso tra quelli proposti nelle precedenti righe (20 $ per ogni set di dati), si arriva all’incredibile cifra di 220.000 $ ottenuti in seguito all’invio di una “semplice” e-mail.
Come detto in apertura di articolo, questo è solo uno tra i più eclatanti casi recenti di attacchi all’economia di dati sanitari, bacino di informazioni che possono essere vendute a cifre considerevoli sul mercato nero (quello della morfina per esempio).
I dati medici hanno un valore più duraturo rispetto ad altri tipi di informazioni: mentre una carta di credito rubata può essere annullata, non è sicuramente possibile cancellare o modificare una data di compleanno o un codice fiscale . Ecco perché, nel mercato nero, le informazioni mediche possono raggiungere un valore pari o talvolta superiore a quello rappresentato da una carta di credito. E per gli operatori del settore sanitario è sicuramente più complesso individuare certi tipi di frode (e rimediare ad essi), a differenza degli operatori del settore finanziario, che hanno raggiunto negli anni un maggiore grado di preparazione e consapevolezza; fattore che spinge sempre più criminali informatici verso bersagli meno barricati.
Anche a causa di considerazioni come quelle descritte nelle precedenti righe, la Commissione Europea, attraverso il programma Horizon 2020, ha disposto fondi di finanziamento per il progetto DOGANA (aDvanced sOcial enGineering And vulNerability Assesment framework ), coordinato da Engineering e che vede la partecipazione, tra gli altri, dei partner italiani CEFRIEL e CNIT (Consorzio Nazionale Interuniversitario per le Telecomunicazioni, Unità di Cagliari, PRA Lab). L’avvento dei Social Network ha esposto ancor più aziende ed enti pubblici al cosiddetto Social Engineering 2.0, rendendoli quindi vulnerabili di fronte ad attacchi informatici mirati. Purtroppo non esiste attualmente alcuna soluzione disponibile sul mercato che consenta una globale valutazione sulla “vulnerabilità social“, né la sua gestione e la riduzione dei rischi associati. DOGANA si propone di colmare questa lacuna attraverso lo studio del un quadro di riferimento economico-sociale , e attraverso lo sviluppo di una piattaforma , prendendo come assunto il fatto che le valutazioni sulle vulnerabilità social ( Social Vulnerabilities Assessments – SVAs ), quando eseguite regolarmente con l’ausilio di un quadro di riferimento efficace, aiutano a sviluppare strategie vincenti di mitigazione dei rischi e portano di conseguenza a ridurre i rischi derivanti dalle moderne tecniche di attacco basate sul Social Engineering 2.0. Due caratteristiche rilevanti del quadro proposto da DOGANA sono: 1) il concetto di ” sensibilizzazione” sul tema del Social Engineering 2.0 come punto focale delle attività di mitigazione dei rischi; 2) la progettazione di una piattaforma in linea con le normative europee (in termini di privacy per esempio), curata da un partner espressamente dedito a questo compito.
Il progetto è condotto da un consorzio di 18 partner, provenienti da 11 paesi diversi , tra università, istituti di ricerca pubblici e privati, tester finali del sistema e fornitori di tecnologie. Si tratta di una partnership che si avvale di leader mondiali nel campo della sicurezza informatica nonché nel campo delle consulenze legali. Una volta ultimata, la piattaforma DOGANA verrà testata e sperimentata da partner che operano nelle aree ritenute critiche rispetto al problema analizzato nel progetto: energia, finanza, sanità, trasporti, servizi, pubbliche amministrazioni e pubbliche autorità .
Le strutture sanitarie stanno di giorno in giorno diventando vittime sempre più ambite per i criminali informatici e, al tempo stesso, la protezione dei dati medici rappresenta una delle sfide più complicate del panorama digitale. In attesa dell’evoluzione di questa sfida futura, concludiamo questo articolo guardando invece al passato più recente (dal 2009 ad oggi), segnalando i 10 attacchi informatici più notevoli verso sistemi sanitari, secondo i dati riportati dal U.S. Department of Health and Human Resources :
- 2009: AvMed, Inc. – 1,2 Milioni di vittime
- 2009: BlueCross BlueShield of Tennessee – 1,2 Milioni di vittime
- 2010: North Bronx Healthcare Network – 1,7 Milioni di vittime
- 2011: TRICARE Management Activity – 4,9 Milioni di vittime
- 2011: The Nemours Foundation – 1 Milioni di vittime
- 2011: Health Net, Inc. – 1,9 Milioni di vittime
- 2013: Advocate Medical Group – 4 Milioni di vittime
- 2014: Community Health Systems – 4,5 Milioni di vittime
- 2015: Anthem, Inc. – 78,8 Milioni di Vittime
- 2015: Excellus Health Plan, Inc. – 10 Milioni di vittime