Allarme rosso in Sanità, il furto di dati mette in scacco la PA
Il mondo sanitario ha attirato in poco tempo l’attenzione del cybercrime, a causa del valore dei propri asset e la mediamente minore protezione rispetto ad altri settori, rimanendo vittima di un numero di attacchi superiore del 340%.
14 Dicembre 2015
Enrico Frumento, CEFRIEL- ICT Institute Politecnico di Milano
Le recenti statistiche mostrano come una delle principali minacce per le PA sia il data breach, il furto di dati: Il 2014 è stato definito “ year of the data breach” e il 2016 confermerà il trend. Prendiamo come esempio l’ambito sanitario, poiché è uno dei più interessanti da questo punto di vista, ed è rivelatore di alcuni trend non ancora evidenti in altri settori della PA.
In accordo a recenti statistiche US, l’ultimo anno è stato particolarmente caldo dal punto di vista delle minacce informatiche che hanno portato alla disclosure di dati, soprattutto per il business (39%) ed il mondo sanitario, che hanno cumulato circa 1/3 ciascuno del totale dei data breach, mentre il settore governativo, finanza ed education hanno cumulato circa il 10% ciascuno. Ma la particolarità del mondo sanitario è quella di aver attirato in poco tempo l’attenzione del mondo cybercrime, a causa del valore dei propri asset e la mediamente minore protezione rispetto ad altri settori: il mondo sanitario è vittima di un numero di attacchi superiore del 340% rispetto ad altri settori.
# totale di data breach 27/10/2015 | % | |
Business/Retail | 249 | 38,8% |
Medicale/Sanitario | 232 | 36,2% |
Banking/Finanza/Credito | 60 | 9,4% |
Governativo/Militare | 51 | 8% |
Education | 49 | 7,6% |
TOTAL | 641 |
Il già citato report TrendMicro[1] mostra come le informazioni personali (PII Personal Identity Information) siano la principale categoria trafugata. Mentre, per quanto riguarda le tecniche usate, semplificando le categorie del report, fra i tre principali metodi (pari al 95%) troviamo la perdita di dispositivi (41%), l’information leakage (29%) e il malware (25%).
Si nota quindi come il malware renda direttamente conto “solo” di ¼ degli eventi di sottrazione dati. Tuttavia, incrociando varie altre indicazioni che mergono dal confronto tra i numerosi report disponibili si forma chiara la “sensazione” della presenza di scenari più complessi. Facciamo un esempio pratico per meglio capire, non lontano da quanto descritto dai report IBM e Verizon:
- In una PA avviene un furto di dati tramite malware generico o tramite uno dei metodi evidenziati nei report.
- I dati vengono venduti sul black market
- Un secondo attaccante acquista questi dati e capisce che la realtà specifica è vulnerabile in qualche modo oppure è particolarmente interessante e confeziona un targeted attack con un malware ad-hoc e l’utilizzo di tecniche di spear-phishing
- I sistemi interni dell’azienda vengono infettati senza che i servizi di protezione evidenzino alcunché
- L’attacco viene scoperto in corso anni dopo senza che ci sia una apparente correlazione con il data breach precedente e non si ha chiara indicazione di quanto sia stato portato via.
Come detto poco sopra, un’importante conseguenza dei data breach è la perdita di credenziali di amministrazione (in generale di PII) o configurazioni deboli dei sistemi (e.g, share aperti). Questi elementi, seppure in parte reperibili con altri metodi, sono spesso raccolti tramite malware che scovano automaticamente le vulnerabilità nei sistemi informativi (asset non protetti). Questa considerazione, confrontata con quanto asserisce Verizon permette inquadrare il problema dei malware ben oltre il semplice 25% di cui sopra.
La perdita di dispositivi non protetti
Oltre alle considerazioni sul malware risulta comunque evidente che la categoria principale sia la perdita di dispositivi. Questo fatto merita una riflessione a parte: in questo caso non ci si riferisce solamente ai terminali “mobili” (mobili nel senso di muovibili, cioè ad esempio smartphone, chiavette USB), ma anche a tutti quei dispositivi che vengono smaltiti senza particolari attenzioni, come hard-disk, vecchi PC ecc. Questo fenomeno è particolarmente evidente nell’ambito sanitario dove, nonostante esistano delle linee guida ben precise (ad esempio HIPAA negli US o HITEC Act, che obbligano a criptare i dati), circa il 50% dei data breach deriva da dispositivi rubati o smaltiti malamente, che contenevano dati sensibili. Questo dato è ancora più interessate se si pensa che solamente il 17% circa dei data breach in ambito sanitario deriva da attività di malware. A trainare queste statistiche è ancora una volta il settore sanitario, ma questo non deve alleviare la tensione da parte degli altri settori pubblici, perché non vi è motivo per ritenere con certezza che siano in condizioni meno vulnerabili. Quello dei data breach a seguito del furto di dispositivi è il tipico esempio di un problema che tecnologicamente potrebbe essere risolto piuttosto facilmente, almeno in relazione alla dotazione informatica dell’utilizzatore “tipo” che caratterizza le pubbliche amministrazioni, ma che non lo è per problemi “umani” o di policy non applicate.
A dire il vero comunque, il problema è così complesso da risolvere in termini pratici che nel mondo della security si sta affermando un nuovo mantra, una provocazione, intraducibile “ Forget=Protect”: se un dato non lo si può proteggere adeguatamente allora è meglio non memorizzarlo affatto .
[1] Il whitepaper già citato della TrendMicro è suggerito da ENISA come la fonte più autorevole fonte nell’ambito dei data breach per il 2015