Il GDPR recita: “Un data breach è una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. In Italia, sempre con maggiore frequenza, si sentono notizie su problemi di cybersecurity nella sanità e di data breach. E sovente comportano conseguenze molto gravi, come per esempio il blocco di ogni attività per giorni se non addirittura settimane, mettendo anche a rischio la vita delle persone.
Purtroppo, è impossibile impedire un data breach e quindi, sicuramente, sentiremo ancora parlare di strutture vittime di attacchi dei cybercriminali. Tuttavia, si può fare molto affinché tali attacchi trovino efficaci protezioni e, quindi, non riescano a raggiungere facilmente (o non raggiungano del tutto) il loro obiettivo.
Abbiamo chiesto di aiutarci a capire come a un esperto quale è Stefano Bodini – Direttore operativo di Fasternet, azienda specializzata nella sicurezza IT di strutture sanitarie pubbliche e private.
Indice degli argomenti
Provare a prevenire un data breach in Sanità
Secondo i dati riportati da Search Logistic , ogni minuto nel mondo ci sono 587 attacchi ransomware, molti dei quali sono veicolati tramite mail che sembrano assolutamente lecite.
Proprio per questo, Bodini non ha dubbi: “Quando si attiva un attacco, è quasi sicuramente perché qualcuno ha cliccato sul link sbagliato nel momento sbagliato. Questo ha portato a scaricare un malware, il quale è rimasto sottotraccia per parecchio tempo, anche per mesi. Quindi, ha avuto modo e tempo di verificare quali account sono più importanti, dove si trovano i dati, quali possono essere esfiltrati e venduti nel dark web. Quando ci si accorge del ransomware, la scoperta dei dati cifrati è solo il passaggio finale di una lunga trafila”.
Più in generale, se un attacco è stato avviato in modo casuale perché una persona ha cliccato su una mail di phishing, oppure non ha scelto correttamente la password favorendo i cybercriminali, molto probabilmente non ha funzionato la postura minima di cyber igiene, cioè non sono state seguite le tipiche pratiche di sicurezza. “Nell’ipotesi di un malware scaricato accidentalmente – precisa Bodini – una cosa che si deve sicuramente fare è usare i software di Endpoint Data Protection (EDR), che proteggono pc e device accorgendosi se sta succedendo qualcosa di anomalo e, spesso, riuscendo anche a porre rimedio in modo automatico. In pratica, a insaputa dell’utente, possono bloccare un’infezione prima che possa diventare più grave”.
Il furto delle credenziali
A fronte dell’ampia diffusione degli EDR, i cybercriminali trovano vie di accesso sempre più complicate e così stanno tentando di cambiare modalità, avvalendosi di credenziali valide rubate. Purtroppo, le persone tendono a usare password facilmente ricordabili, spesso sempre la stessa, e quindi per i cybercriminali reperire credenziali valide è sempre più facile.
“Però da questo punto di vista la tecnologia sta fornendo un importante aiuto – sostiene Bodini – attraverso software che si accorgono dei comportamenti anomali di una personalità informatica. Per esempio, individuano se qualcuno si sta loggando in orari e luoghi diversi dal consueto, se sta accedendo a file che normalmente non consulta o se sta scrivendo cose che solitamente non scrive. Con l’Intelligenza Artificiale, si sta cercando di proteggersi da questo abuso di credenziali valide tramite soluzioni Identity Threat Detection and Remediation (ITDR)”.
Non farsi cogliere impreparati
Se comunque si è vittima di un attacco che ha raggiunto i suoi obiettivi, si devono poter limitare i danni effettuando backup frequenti ed efficienti. “Soprattutto, si deve aver sperimentato cosa vuol dire ripristinare una situazione dopo un incidente informatico. In pratica, non basta aver predisposto una strategia di recovery, ma bisogna averla provata. Come si fa con le prove di evacuazione degli stabili, bisognerebbe simulare un blocco del sistema informativo per sapere come ripristinarlo in maniera corretta e per non farsi prendere dal panico nel momento in cui si deve intervenire”.
Ovviamente, un ruolo importante lo gioca la complessità dell’infrastruttura IT: quanti server sono usati, quante applicazioni e quali sono i dati. Infatti, quando un sistema è vittima di un attacco, il backup dei soli dati può non essere sufficiente per riprendere le attività in modo sicuro. Spesso bisogna ripristinare anche le applicazioni e, in certi casi, pure i sistemi operativi. Non è raro, infatti, il caso in cui i sistemi obsoleti siano l’effettiva causa di un incidente.
Il giusto compromesso
Avere una protezione che assicuri al 100% l’inviolabilità, è impossibile. Non solo perché i cybercriminali, se vogliono colpire un obiettivo, sicuramente raggiungono il risultato, ma anche perché, maggiore è il livello di sicurezza, più elevati sono i controlli e, quindi, alla fine, può anche risultare difficile lavorare. “Bisogna trovare un bilanciamento tra l’operatività che si vuole avere e il rischio che questa fa correre – precisa Bodini -. Questo numero potrebbe anche essere molto lontano dal 100% di sicurezza, l’importante è che i rischi che si corrono siano evidenti, chiari e trasparenti e non ci siano sorprese a posteriori.
Attualmente ci stiamo concentrando sulla protezione, ma ci stiamo dedicando poco alla rilevazione di anomalie e al successivo eventuale ripristino. Tuttavia – prosegue Bodini – non si deve sperare di non essere colpiti, ma essere pronti per quando si sarà colpiti”.
I sistemi di Intrusion Detection sono una risposta possibile alla rilevazione di anomalie perché possono individuare azioni malevole e denunciarle come possibili pericoli. Sta poi all’azienda stabilire se sono minacce reali oppure un comportamento normale. Per esempio, un salvataggio su Onedrive o su Dropbox potrebbe essere una clamorosa esfiltrazione di dati, ma potrebbe anche essere un normale backup che si fa in azienda.
Data breach in Sanità: poca consapevolezza dei rischi e dei danni
“Oggi, nella sanità pubblica, la consapevolezza sulla sicurezza è molto varia – afferma Bodini -.
C’è grande attenzione nei dipartimenti IT, ma – nel resto delle strutture – il concetto di cybersecurity sfuma moltissimo. Questo ci sorprende perché, al di là del blocco delle attività, un cybercriminale potrebbe divulgare tutti i dati che ha carpito creando un danno reputazionale elevatissimo. Però i vertici e il top management non sembrano rendersene conto. Non danno l’impressione di essere pronti e nemmeno preparati. D’altra parte, un data breach potrebbe comportare un danno economico clamoroso per un’unità ospedaliera, al punto di dover chiudere a causa degli indennizzi richiesti dalle assicurazioni a fronte della divulgazione dei dati”.
Quando si parla di sicurezza, non vanno dimenticate le consulenze esterne: per essere più sicuri, si dovrebbe pretendere che anche i fornitori o i subfornitori abbiano messo in atto un preciso livello di cybersecurity. Senza poi contare la verifica dei punti di contatto e gli accessi da remoto: quanti dati possono essere visibili? Da chi e come?
“Tutto questo lavoro di analisi non c’è, e se c’è è in forma embrionale. Per provare a proteggersi dagli attacchi serve la tecnologia, ma da sola non basta. Ci vuole la consapevolezza delle persone che porti un cambiamento nei comportamenti. Serve un percorso sia a livello personale sia, soprattutto, aziendale che vada a integrare le tecnologie con processi validati”, dichiara Bodini.
Prevenire il data breach in Sanità con una cultura diffusa e condivisa
Oggi si parla molto di sicurezza demandata all’esterno, ai Security Operation Center (SOC). Bodini ritiene che, probabilmente, sarà la strada del futuro perché, come è avvenuto per il Cloud, dotarsi di un’infrastruttura propria potrebbe non consentire mai di avere le armi adeguate a contrastare quelle che i cybercriminali riescono a reperire in maniera così semplice ed efficace.
“Questo però non ci esime dal fare una valutazione dei rischi e degli impatti – evidenzia Bodini – valutazione che deve essere sempre a carico della realtà che richiede i servizi di sicurezza. Anche in questo caso, bisognerà creare una cultura di trasparenza tra chi fruisce di un servizio e chi lo eroga”. Prova ne è che – a livello europeo – è stato emanato un documento che parla di Cybersecurity Shield e che identifica i SOC migliori per creare una sorta di scudo di protezione per tutte le realtà che intendono farne richiesta.
Non solo. L’ Agenzia per la Cybersicurezza Nazionale afferma che la sicurezza è un problema educativo e, quindi, qualunque ente pubblico o privato deve farsi carico della formazione e della divulgazione di questi argomenti. “Si sta creando un movimento culturale che non considera solo le tecnologie da utilizzare – conclude Bodini -. Il fatto che si muovano in tanti in quella direzione può probabilmente voler dire che, quando la cultura sarà veramente diffusa e condivisa, potremo contrastare in maniera davvero efficace i cybercriminali”.
Contributo editoriale sviluppato in collaborazione con Fasternet